Buitenlandse webaanvallen wijzigen beveiligingsparadigma

Traditionele beveiligingssystemen kunnen ineffectief zijn en verouderd zijn in het afweren van webaanvallen door landen, volgens Val Smith, oprichter van Attack Research. Nieuwe aanvalstrends omvatten blogspam en SQL-injecties uit Rusland en China, zei Smith tijdens zijn lezing tijdens de Source Boston Security Showcase op vrijdag.

"Aan aanvallen aan de zijde van de klant gaat het paradigma", zei Smith. "Monolithische beveiligingssystemen werken niet meer."

Hackers gebruiken webbrowsers als uitbuitingshulpmiddelen om malware te verspreiden en gevoelige informatie te verzamelen. Smith gebruikte voorbeelden van klanten van zijn bedrijf, die computeraanvallen analyseren en onderzoeken, om de dreiging van blog-spam en SQL-aanvallen te demonstreren.

[Lees meer: ​​Hoe malware van uw Windows-pc te verwijderen]

Aanvallers waren gericht op hoge -Traffic sites met blog spam en gepost commentaar op blogs, zei hij. De opmerkingen zagen er vreemd uit en hadden de neiging om niet-Engelse uitdrukkingen in grote tekstblokken te plaatsen met willekeurige woorden met hyperlinks, zei hij. Door op dergelijke links te klikken, werden gebruikers naar sites geleid die op blogs leken, maar werden pagina's met malware geladen, zei Smith.

Een Chinese bank was eigenaar van de domeinen voor elke malwaresite, maar de IP-adressen (internetprotocol) zijn getraceerd naar Duitsland. Het bestuderen van de links onthulde dat elke taal woorden in het Russisch of Roemeens bevat, zei Smith. Door een internationale draai te geven aan hun snode activiteiten, hoopten de hackers iemand die zijn werk onderzocht te verwarren, zei hij.

"Hoe ga je deze terug traceren bij de slechteriken?" zei hij, waarbij hij opmerkte dat het volgen gecompliceerd is door taalbarrières, het werken met organisaties van buitenlands recht en het omgaan met landen "die misschien niet met ons willen praten." Hoewel de doelen van blog-spamaanvallen onduidelijk blijven, zei Smith financiële prikkels dienen als motivatie. Adware die wordt geïnstalleerd nadat een gebruiker een geïnfecteerde site bezoekt, haalt geld van een hacker, net als klikken op een advertentie op de pagina. Andere hackers proberen hun botnets uit te breiden, of netwerken van besmette machines die worden gebruikt voor kwaadwillende doeleinden. Smiths onderzoek traceerde de aanvallen op een DSL-thuisaccount in Rusland. Het internationale karakter van het incident maakte vervolging onwaarschijnlijk, zei hij.

De SQL-injectie-aanval die Smith besprak, was afkomstig uit China en probeerde informatie te stelen over de bedrijven die de website van het bedrijf bezochten, dat de klant van Smith was.

Hackers lanceerden eerst een SQL-injectie en uploadden een achterdeur waarmee ze de controle over het systeem konden overnemen.

Aanvullende SQL-injecties mislukten, dus de hackers zochten het systeem door naar een andere exploit. Ze vonden een bibliotheektoepassing waarmee afbeeldingen kunnen worden geüpload. Hackers hebben een GIF-bestand geüpload met een regel code in de afbeelding. Het computersysteem heeft de GIF-tag gelezen en de foto geüpload en de code automatisch uitgevoerd.

Hackers hebben een app getarget die intern is geschreven en heeft een specifieke aanval op die app uitgevoerd, "zei Smith.

Hackers plaatsten uiteindelijk de HTML-code "iFrame" op elke pagina van de website van het bedrijf. De iFrames hebben de browser van het slachtoffer doorgestuurd naar een server die de computer infecteert met een hulpprogramma genaamd 'MPack'. Deze tool profileerde het OS en de browser van een slachtoffer en lanceerde aanvallen op basis van die informatie.

Het resultaat is dat slachtoffers worden geraakt door meerdere aanvallen, aldus Smith. <> Nu zijn SQL-injectieaanvallen de grootste bedreiging voor internetbeveiliging, zei Ryan Barnett, directeur van applicatiebeveiliging bij Breach Security, in een apart interview van de conferentie.

"Ze begonnen in januari en gingen het hele jaar door," zei Barnett. Voorheen kostte het vervaardigen van een SQL-injectieaanval tijd, maar aanvallers maakten vorig jaar wormcode die automatisch honderdduizenden sites automatisch kon vinden en erin kon opnemen.

Nu, in plaats van het stelen van gegevens van de gehackte websites, draaien de slechteriken zich steeds meer om en planten kwaadwillende scripts die de bezoekers van de site aanvallen. "Nu wordt de site een malwaredepot", zei hij.

(Bob McMillan in San Francisco heeft bijgedragen aan dit rapport.)