1,5 miljoen pagina's gehackt door LizaMoon-aanval
De grootschalige webaanval van deze week is veel groter dan in eerste instantie werd aangenomen, inmiddels zijn al 1,5 miljoen pagina's van kwaadaardige code voorzien. De aanvallers gebruiken SQL-injectie voor het kraken van de pagina's en het plaatsen van de code. De geplaatste code wijst onder andere naar het domein lizamoon.com, vandaar de naam LizaMoon-aanvallen. Inmiddels worden ook andere domeinen gebruikt, waaronder stats-master111.info. Deze domeinnaam was op 21 oktober geregistreerd, wat mogelijk bewijs is dat de aanvallen toen voor het eerst plaatsvonden.
Scareware
Gebruikers die de gehackte pagina's bezoeken worden door de geïnjecteerde code naar een website doorgestuurd die een nep-virusscanner aanbiedt. De website bevat geen drive-by downloads en probeert bezoekers via social engineering te misleiden tot het installeren van de scareware. De meeste slachtoffers zijn afkomstig uit de Verenigde Staten, gevolgd door Brazilië.
Beveiligingsbedrijf Websense merkt op dat Google inmiddels 1,5 miljoen resultaten op de kwaadaardige geïnjecteerde code weergeeft. "Dit is misschien een opgeblazen getal, maar het is veilig om te zeggen dat het om honderdduizenden gaat." Beveiligingsonderzoeker Dancho Danchev schrijft dat de gebruikte domeinen zijn geregistreerd via automatisch geregistreerde Gmail-accounts. "Uit voorzorg om het lastiger te maken de campagne via één e-mailadres te onthullen."
dan heb je het nog niet echt goed gelezen, er wordt een melding gemaakt van SQL injection. Daar wordt dus gebruik van gemaakt. Aangezien dit een generiek probleem is voor de meeste webservers is het dus niet specifiek aan één OS/App toe te kennen.
Helaas detecteren Firewalls en IPS'en dit soort aanvallen niet, vaak alleen al niet omdat het verkeer geencrypt is (HTTPS) waardoor dit soort aanvallen nog op grote schaal kunnen voorkomen.
De enige echte oplossingen zijn goede input validatie op de website (kijk eens op www.owasp.org) of het plaatsen van een WAF (Web Applicatie Firewall) welke de rol van input validatie kan overnemen als de programmeurs dit zelf niet kunnen / willen oplossen.
Context-afhankelijk escapen of geparametriseerd werken werkt wel.
Hoe kan ik dit op mijn PC opsporen?
Helaas detecteren Firewalls en IPS'en dit soort aanvallen niet, vaak alleen al niet omdat het verkeer geencrypt is (HTTPS) waardoor dit soort aanvallen nog op grote schaal kunnen voorkomen.
Volgens mij zal een Firewall dit ook nooit ontdekken. Als het puur een firewall is bepaal je daar alleen maar of er verkeer ( eventueel met protocoll ) via een bepaalde port doorgelaten wordt of niet. En ik kan nergens opmaken dat de meeste sites HTTPS gebruiken, en denk dat dan ook niet, maar goed. En wat betreft de IPS ( IDS ) dat is wel een mogelijkheid maar als dit een nieuwe manier is, kan het best zijn dat er nog geen regels voor zijn en dan zal dit ook niet gedetecteerd worden.
Inderdaad lijkt het wel door het grote aantal dat dit op een of andere manier geautomatiseerd is.
http://www.google.nl/#q=%22%3Cscript+src%3Dhttp://*/ur.php%22&hl=nl&safe=off&prmd=ivns&ei=1MmZTf_-Lc7qOYbvpMAH&start=10&sa=N&fp=b9d808cc2b330b30
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
