Utenlandske webangrep Endre sikkerhetsparadigm

Tradisjonelle sikkerhetssystemer kan være ineffektive og bli foreldet i å avværge nettangrep som lanseres av land, ifølge Val Smith, grunnlegger av Attack Research. Nye angrepstrender inkluderer blogspost og SQL-injeksjoner fra Russland og Kina, sa Smith under samtalen på Source Boston Security Showcase på fredag.

"Klient-sideangrep er hvor paradigmet går," sa Smith. "Monolittiske sikkerhetssystemer virker ikke lenger."

Hackere bruker nettlesere som bruksverktøy for å spre malware og samle sensitiv informasjon. Smith brukte eksempler fra kundene i hans firma, som analyserer og undersøker dataanfall, for å demonstrere trusselen fra bloggenspam og SQL-angrep.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Angripere målrettet høyt -traffic nettsteder med blogg spam og lagt kommentarer på blogger, sa han. Kommentarene så merkelige og tendens til å ha ikke-engelske setninger plassert i store tekstblokker med tilfeldige ord hyperkoblede, sa han. Ved å klikke på slike koblinger tok brukere til nettsteder som virket som blogger, men ble sider lastet med skadelig programvare, sa Smith.

En kinesisk bank eide domenene for hvert malware-nettsted, men IP-adressene (Internet Protocol) spores til Tyskland. Å studere koblingene viste at hver enkelt inneholdt ord på russisk eller rumensk, sa Smith. Ved å plassere et internasjonalt spinn på sine falske aktiviteter, håper hackerne å forvirre noen som undersøker sitt arbeid, sa han. «

« Hvordan skal du spore disse tilbake til de onde? » sa han og merket at sporing er komplisert av språkbarrierer, arbeider med utenlandske lovorganisasjoner og håndterer land "som kanskje ikke vil snakke med oss."

Mens målene for bloggens spamangrep forblir uklare, sa Smith økonomiske incitamenter tjene som motivasjon. Adware installert etter at en bruker besøker et infisert nettsted, nettverkshacker penger, og det klikker på en annonse på siden. Andre hackere ser ut til å utvide sine botnett eller nettverk av kompromitterte maskiner som brukes til ondsinnede formål.

Smiths undersøkelse trakk angrepene til et hjem DSL-konto i Russland. Den internasjonale arten av hendelsen gjorde uskyldig påtalemyndighet, sa han.

SQL-injeksjonsangrepet Smith diskuterte stammer fra Kina og forsøkte å stjele informasjon om virksomheter som besøkte selskapets nettside, som var Smiths klient.

Hackere lanserte først en SQL-injeksjon og lastet opp en bakdør som tillot dem å ta kontroll over systemet.

Ekstra SQL-injeksjoner mislyktes, slik at hackerne søkte systemet for en annen utnyttelse. De fant et biblioteksprogram som lar bilder lastes opp. Hackere lastet opp en GIF-fil med en linje med kode som finnes i bildet. Datasystemet leser GIF-taggen og lastet opp bildet og kjørte automatisk koden.

Hackere "målrettet en app som er skreddersydd, internt og lansert et bestemt angrep mot den aktuelle appen," sa Smith. > Hackere plasserte til slutt "iFrame" HTML-koden på hver side av selskapets nettsted. IFrames omdirigert offerets nettleser til en server som infiserer datamaskinen ved hjelp av et verktøy kalt "MPack." Dette verktøyet profilerte et offers OS og nettleser og lanserte angrep basert på denne informasjonen.

Resultatet er at ofrene blir rammet av flere angrep, sier Smith.

I dag er SQL-injeksjonsangrep den største trusselen mot websikkerhet, sier Ryan Barnett, direktør for applikasjonssikkerhet ved Breach Security, i et intervju som er skilt fra konferansen.

I fjor begynte cyberkriminelle å utløse massive webangrep som har kompromittert mer enn 500 000 nettsteder, ifølge sikkerhetsleverandøren.

"De startet i januar og gikk gjennom i hovedsak hele året," sa Barnett. Tidligere skapte angripere et verktøy for injeksjon av SQL-injeksjon, men i fjor skapte angriperne ormekoder som automatisk kunne søke og bryte inn i hundretusenvis av nettsteder veldig raskt.

Nå, i stedet for å stjele data fra de hackede nettsidene, dreper de slemmene stadig mer og plantet ondsinnede skript som angriper nettstedets besøkende. "Nå blir nettstedet skadet," sa han.

(Bob McMillan i San Francisco bidro til denne rapporten.)