image

Grootschalige aanval op 30.000 sites

vrijdag 17 juni 2011, 11:10 door Redactie, 7 reacties

De afgelopen acht dagen zijn 30.000 websites gehackt en voorzien van malware. Volgens beveiligingsbedrijf Armorize gaat het om een "mass meshing" injectie-aanval. In tegenstelling tot 'mass SQL-injectie-aanvallen', die de afgelopen jaren vaak voorkwamen, gebruiken de aanvallers nu geen SQL-injectie om toegang tot de website te krijgen.

In dit geval beschikken de aanvallers over de FTP-inloggegevens en kunnen zo de kwaadaardige code op de website plaatsen. Het grote verschil tussen SQL-injectie-aanvallen en 'Mass meshing' is de redirect naar de kwaadaardige website met exploits, die ongepatchte internetgebruikers kunnen infecteren. Bij Mass meshing wordt het redirect script in de root directory van de website geplaatst.

Het geplaatste bestand heet sidename.js, en is een geobfusceerd script dat een iframe genereert dat naar de exploit server wijst. Bij de recente aanvallen gaat het om de websites frankieeus.ru, gaufridboris.ru, stephanos.ru, waarop de BlackHole exploitkit draait.

Blacklist
Door het gebruik van mass meshing zijn er geen statisch geïnjecteerde redirects die beveiligingsbedrijven kunnen detecteren, aldus Armorize. Elke redirect is in dit geval een besmet domein, wat betekent dat blacklisting lastiger wordt en er meer kans op false positives is.

Op dit moment gebruiken de aanvallers alleen het bestand sidename.js, dat te blacklisten is. Gaan de aanvallers over op dynamisch gegenereerde namen, dan wordt detectie volgens Armorize een stuk lastiger. Is de aanval succesvol, dan wordt er een backdoor geïnstalleerd die door 3 van de 42 virusscanners wordt herkend.

Reacties (7)
17-06-2011, 11:20 door Nimrod
Ja welke drie virusscanners?
Niet prettig zulke hax
17-06-2011, 11:40 door Mysterio
Door Nimrod: Ja welke drie virusscanners?
Niet prettig zulke hax
Moeilijk hè? Een beetje lezen? Kaspersky, McAfee-GW-Edition en Panda. http://www.virustotal.com/file-scan/report.html?id=5e2c460de85b21fab54fbc1d5d58b361a1a0ef01cd2e1eded4dbf338f13382d7-1307661080
17-06-2011, 11:53 door Anoniem
Door Mysterio:
Door Nimrod: Ja welke drie virusscanners?
Niet prettig zulke hax
Moeilijk hè? Een beetje lezen? Kaspersky, McAfee-GW-Edition en Panda. http://www.virustotal.com/file-scan/report.html?id=5e2c460de85b21fab54fbc1d5d58b361a1a0ef01cd2e1eded4dbf338f13382d7-1307661080
Reply; Zozo,McAfee nog wel.Soms doen ze ook nog wel eens iets goed.
17-06-2011, 12:01 door gizmokke
maar goed dat panda,kaspersky.dat nog zien.heb altijd gezegd dat die 2 av's beste pogramma's zijn.
17-06-2011, 12:40 door Bitwiper
Door gizmokke: maar goed dat panda,kaspersky.dat nog zien.heb altijd gezegd dat die 2 av's beste pogramma's zijn.
Toeval dat Kaspersky deze malware detecteert. Ik gebruik het zelf, maar het genoeg malware gezien die niet door Kaspersky maar wel door sommige anderen wordt gedetecteerd. Virusscanners zijn totaal onbetrouwbaar voor verse malware.
17-06-2011, 16:28 door Mysterio
Door Bitwiper:
Door gizmokke: maar goed dat panda,kaspersky.dat nog zien.heb altijd gezegd dat die 2 av's beste pogramma's zijn.
Toeval dat Kaspersky deze malware detecteert. Ik gebruik het zelf, maar het genoeg malware gezien die niet door Kaspersky maar wel door sommige anderen wordt gedetecteerd. Virusscanners zijn totaal onbetrouwbaar voor verse malware.
Klopt als een bus! Je moet geluk hebben wanneer je een vers gevalletje voor de kiezen krijgt. Soms is het een kwestie van vaak updaten. Ik kom er nogal wat tegen en meld het dan aan bij de verschillende partijen. Dan zie je wel verschil in hoe snel ze zijn.
20-06-2011, 13:31 door Anoniem
Verzin is iets anders dan alleen SQL-injecties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.