Ausländische Webangriffe ändern Sicherheitsparadigma

Herkömmliche Sicherheitssysteme könnten unwirksam sein und bei der Abwehr von Internetangriffen, die von Ländern gestartet werden, veraltet sein, so Val Smith, Gründer von Attack Research. Zu den neuen Angriffstrends gehören Blog-Spam und SQL-Injektionen aus Russland und China, sagte Smith während seines Vortrags im Source Boston Security Showcase am Freitag.

"Client-seitige Angriffe sind das, wo das Paradigma geht", sagte Smith. "Monolithische Sicherheitssysteme funktionieren nicht mehr."

Hacker verwenden Webbrowser als Auswertungswerkzeuge, um Malware zu verbreiten und sensible Informationen zu sammeln. Smith verwendete Beispiele von Kunden seiner Firma, die Computerangriffe analysieren und untersuchen, um die Bedrohung durch Blog-Spam und SQL-Attacken zu demonstrieren.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Angreifer zielen hoch - Traffic-Websites mit Blog-Spam und Kommentare in Blogs gepostet, sagte er. Die Kommentare sahen merkwürdig aus und tendierten dazu, nicht-englische Phrasen in großen Textblöcken zu platzieren, mit zufälligen Worten verlinkt, sagte er. Ein Klick auf solche Links führte zu Seiten, die wie Blogs aussahen, aber Seiten, die mit Malware geladen waren, sagte Smith.

Eine chinesische Bank besaß die Domains für jede Malware-Site, aber die IP (Internet Protocol) -Adressen, die nach Deutschland zurückverfolgt wurden. Die Untersuchung der Links ergab, dass jeder einzelne Wörter auf Russisch oder Rumänisch enthielt, sagte Smith. Indem sie ihre ruchlosen Aktivitäten international aufpolierten, hofften die Hacker, jeden zu verwirren, der ihre Arbeit untersuchte, sagte er.

"Wie werden Sie diese zurückverfolgen zu den bösen Jungs?" Er sagte, dass das Tracking durch Sprachbarrieren erschwert werde, mit ausländischen Rechtsorganisationen arbeite und mit Ländern verhandle, "die einfach nicht mit uns reden wollen."

Während die Ziele von Blog-Spam-Attacken unklar bleiben, sagte Smith finanzielle Anreize dienen als Motivation. Adware, die installiert wird, nachdem ein Benutzer eine infizierte Site besucht hat, nistet ein Hacker-Geld, ebenso wie das Klicken auf eine Werbung auf der Seite. Andere Hacker versuchen, ihre Botnets oder Netzwerke kompromittierter Maschinen zu erweitern, die für böswillige Zwecke verwendet werden.

Smiths Untersuchung verfolgte die Angriffe auf ein DSL-Heimkonto in Russland. Die internationale Natur des Vorfalls machte eine Verfolgung unwahrscheinlich, sagte er.

Der von Smith diskutierte SQL-Injektionsangriff entstand in China und versuchte Informationen über die Unternehmen zu stehlen, die die Website des Unternehmens besuchten, die Smiths Kunde war.

Hacker starteten zuerst eine SQL-Injektion und luden eine Hintertür hoch, die es ihnen ermöglichte, die Kontrolle über das System zu übernehmen.

Zusätzliche SQL-Injektionen scheiterten, so dass die Hacker das System nach einem anderen Exploit durchsuchten. Sie haben eine Bibliotheksanwendung gefunden, mit der Bilder hochgeladen werden können. Hacker haben eine GIF-Datei mit einer Codezeile hochgeladen, die im Bild enthalten ist. Das Computersystem las das GIF-Tag und lud das Foto hoch und führte den Code automatisch aus.

Hacker "zielen auf eine App, die eigens geschrieben wurde, und starteten einen spezifischen Angriff gegen diese App", sagte Smith.

Hacker haben schließlich auf jeder Seite der Unternehmens-Website den HTML-Code "iFrame" platziert. Die iFrames verwiesen den Browser des Opfers auf einen Server, der den Computer mit einem Tool namens "MPack" infiziert. Dieses Tool profilierte das Betriebssystem und den Browser eines Opfers und stützte Angriffe basierend auf diesen Informationen.

Das Ergebnis ist, dass Opfer mit mehreren Angriffen getroffen werden, sagte Smith.

Heute sind SQL-Injection-Angriffe die größte Bedrohung für die Web-Sicherheit. sagte Ryan Barnett, Leiter der Anwendungssicherheit bei Breach Security, in einem von der Konferenz getrennten Interview.

Im vergangenen Jahr begannen Cyberkriminelle massive Webangriffe zu entfesseln, die nach Angaben des Sicherheitsanbieters mehr als 500.000 Websites kompromittiert haben.

"Sie haben im Januar angefangen und sind im Wesentlichen das ganze Jahr durchgegangen", sagte Barnett. Zuvor hatte die Erstellung eines SQL-Injection-Angriffs Zeit gekostet, aber letztes Jahr erstellten Angreifer einen Wurmcode, der automatisch sehr schnell Hunderttausende von Sites aufspüren und in diese einbrechen konnte.

Anstatt die Daten von den gehackten Websites zu stehlen, drehen sich die bösen Jungs zunehmend herum und pflanzen bösartige Skripte, die die Besucher der Website angreifen. "Jetzt wird die Website zu einem Malware-Depot", sagte er.

(Bob McMillan in San Francisco hat zu diesem Bericht beigetragen.)