Массовая SQL-инъекция затронула уже миллион сайтов

Массовая атака с внедрением SQL-кода, схожая с атаками LizaMoon, получившими широкую известность прошлой весной, заразила уже более миллиона сайтов, работающих на технологии ASP.NET, сообщили сегодня исследователи из Armorize. Согласно исследователям безопасности баз данных, успех используемого атакой метода внедрения SQL-кода зависит от небрежности настройки серверов и back-end баз данных, которая когда-то способствовала проникновению в них LizaMoon.



"Эта атака очень похожа на LizaMoon", - сказал Уэйн Хуан, президент Armorize, который, вместе со своей командой, первым доложил о скрипте на сайтах, работающих на ASP.NET. Этот скрипт загружет на сайт iFrame для инициации работы эксплоитов, использующих уязвимости браузеров посетителей для загрузки им вредоносного ПО.

Первоначальный отчет Armorize показал, что скрипт поразил 180 000 сайтов, но Хуан сказал сайту Dark Reading, что, согласно исследованию Google, уже 1 миллион сайтов содержит внедренный код.

По словам Джоша Шоула, технического директора Application Security Inc., новости о заражении, пришедшие вслед за шумихой вокруг LizaMoon, делают такую ошибку еще обиднее.

"Это очень печально, потому что LizaMoon заражала этот же тип систем из-за точно таких же проблем с настройками безопасности", - сказал Шоул. "Такое ощущение, что людям, которые работают с этими системами, нет до них никакого дела".

Шоул сказал, что очень часто проблемы возникают из-за того, что организации отключают проверку вводимых данных на своих серверах, способствуя таким образом внедрению кода и порче баз данных, пишет xakep.ru.

"Отключать проверку вводимых данных – это безумие", - говорит Шоул. "На ASP.NET есть скриптовая функция, которая проверяет вводимые данные, и она включена по умолчанию. Эти люди выключили ее, и я просто не могу представить, зачем они это сделали".

Хуан также сказал, что само количество инфекций, вызванных атакой и цепочка улик, которые удалось раскопать его команде, наводит на мысль, что большинство этих сайтов создавалось малыми и средними предприятиями практически без какого-либо понимания безопасности.

Он порекомендовал предприятиям начать обновлять свои библиотеки и фреймворки на новые версии, чтобы бороться с SQL-инъекциями. Еще им следовало бы научиться лучше использовать бесплатные инструменты для поиска уязвимого кода, а также службами для поиска уязвимостей веб-сайтов, за которые они, возможно, платят, даже не зная всех их возможностей.

Что касается больших предприятий, то, по словам Хуана, "у них нет никакого оправдания" в том, что они пали жертвами подобных массовых атак. Он заметил, что это происходит нечасто. Организациям, которые пострадали из-за разгильдяйского отношения к внутренней безопасности, нужно начать беспокоиться, ибо подобные массовые атаки могут позволить продвинутым хакерам проводить разведывательную работу в организации.

"Это словно всесетевое сканирование уязвимостей. Ты идешь и вслепую внедряешь SQL-код в серверы вроде ASP.NET. А потом ждешь, пока Google сообщит, в какие сайты тебе удалось внедрить свой SQL. Теперь у тебя на руках дорожная карта по уязвимым сайтам", - сказал он. "Остается только выбрать, на каких из них имеются данные, которые стоить украсть. Так что все это может быть сложнее, чем кажется. Впоследствии может произойти связка нацеленных атак на людей, относящихся к безопасности баз данных настолько халатно, чтобы хранить в них что-то, что действительно стоит украсть".

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

NETSCOUT: в 2020 году DDoS-активность достигла рекордных высот

В прошлом году специалисты по сетевой безопасности из компании NETSCOUT Systems зафиксировали рекордное количество DDoS-атак — 10 089 687. Больше трети из них (3,75 млн) были проведены на территории стран EMEA.

Команда ASERT (ATLAS Security Engineering & Response Team) из NETSCOUT публикует свою статистику по интернет-угрозам по итогам каждого полугодия. За основу берутся данные, предоставленные партнерами компании, использующими ее информационно-аналитическую платформу ATLAS. В настоящее время к ATLAS подключено более 300 организаций по всему миру, включая интернет-провайдеров разного уровня, что позволяет экспертам мониторить около трети трафика в глобальной Сети.

Представляя новые результаты анализа DDoS-активности, специалисты отметили, что она существенно возросла во второй половине 2020 года — на 22% в сравнении с первым полугодием. Росту показателя в большой мере способствовало нездоровое оживление в стане вымогателей, прибегающих к демонстрации силы в виде DDoS-атаки в надежде получить выкуп.

За год количество жалоб на вымогательство под угрозой DDoS, по оценке ASERT, увеличилось на 125%. При этом 83% жертв отметили такие последствия показательных атак, как перегрузки на файрволах и VPN-концентраторах — критически важных элементах инфраструктуры в условиях карантина по ковиду.

Пик DDoS-вымогательства пришелся на середину августа, когда на авансцену вышла группировка, которую в ASERT условно именуют Lazarus Bear Armada (LBA). Проведя серию мультивекторных DDoS-атак мощностью от 50 до 450 Гбит/с, шантажисты эффективно вывели из строя веб-ресурсы неплательщиков — новозеландской фондовой биржи и компаний, вовлеченных в разработку и тестирование вакцин от COVID-19.

В целом в разделении по вертикалям от DDoS-атак больше прочих страдали провайдеры услуг связи. В ТОП-5 мишеней вошли также платформы для публикаций в интернете и широкого вещания — такие как Netflix и Zoom, а также интернет-магазины и сервисы доставки.

 

В минувшем году дидосеры также поставили рекорд по частоте атак. Ежемесячная норма таких инцидентов в марте взлетела до 800 тыс. и держалась на этом уровне до конца года, превышая прежние показатели в среднем на 130 тысяч.

Наиболее мощная DDoS-атака на пике показала 1,12 Тбит/с. Максимальная скорость передачи пакетов (другой важный показатель плотности мусорного потока), зафиксированная экспертами, оказалась довольно высокой — 537 Mpps. Средняя продолжительность атак составила около 40 минут.

Из техник DDoS злоумышленники наиболее часто использовали отражение и усиление трафика с помощью DNS. Второе место в этом рейтинге занял TCP ACK flood, третье — нестареющий SYN flood. Исследователи также не преминули отметить появление новых посредников в атаках, проводимых по методу отражения / усиления потока, — сервисы RDP, PMSSDP (Plex Media SSDP) и DTLS.

 

Многовекторные DDoS сохранили свою актуальность. Более того, количество техник, используемых в рамках одной атаки, в 2020 году резко увеличилось — до рекордных 26.

В качестве плацдарма для проведения DDoS-атак злоумышленники зачастую использовали ботнеты, построенные на основе вариантов Mirai. Теневые бизнесмены обычно сдают такие инструменты в аренду, постоянно наращивая их потенциал за счет уязвимых к брутфорсу IoT-устройств.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru