Yeni

Software-Defined Data Center(SDDC)
Vmware vCenter 6.5 Virtual Appliance (VCSA) Kurulum – OVF Deploy
You are here: Home / Güvenlik / Yeni SQL Enjeksiyon saldırısı görünmez iFrame yüklüyor
injection2
Güvenlik

Yeni SQL Enjeksiyon saldırısı görünmez iFrame yüklüyor

09 Temmuz 2010 By 0 101

Yeni tespit edilen bir SQL injection saldırısı çeşitli sitelerden kötü amaçlı kod toplayan görünmez bir iframe ile yaklaşık olarak 300,000 web sayfasını etkiledi.

Kötü amaçlı kod Adobe Flash, Internet Explorer ve bazı diğer uygulamaların güvenlik açığı bulunan sürümlerini tarıyor ve sonrasında online bankacılık bilgilerini çalma amaçlı programı sisteme kuruyor.

Bulaşma
Enjekte edilen iframe <script src=hxxp://318x.com> , 318x.com/a.htm’e yeni bir iframe yaratan bir script çalıştırıyor. Bu iframe (a.htm) 2 şey yapıyor:
1. aa1100.2288.org/htmlasp/dasp/alt.html adresinden 2. bir iframe yüklüyor.
2. Takip için js.tongji.linezing.com/1358779/tongji.js scriptini yüklüyor.

aa1100.2288.org/htmlasp/dasp/alt.html frame’i:
* aa1100.2288.org/htmlasp/dasp/share.html adresini 3. bir iframe e yüklüyor
* yukarıdakine benzer fakat farklı numarada bir script yüklüyor  js.tongji.linezing.com/1364067/tongji.js
* Eğer script çalıştırma kapalıysa <noscript> , bir resim kaynağı  img.tongji.linezing.com/1364067/tongji.gif ile www.linezing.com a yönlendiren bir href bulunduruyor.

share.html browser tipini tespit ediyor ve aynı klasörde bulunan içeriği anlamsız, okunması zorlaştırılmış hale getirilmiş (obfuscated) çeşitli script dosyalarına işaret eden iframe ler yüklüyor. MDAC, OWC10 ve Adobe Flash’in çeşitli sürümleri kontrol ediliyor. Sonuçlara göre aşağıdaki exploit’lerden birini uyguluyor:
Gözlemlenen exploit’ler:
* Adobe Flash oynatıcısındaki Integer taşması açığı (CVE-2007-0071)
* MDAC ADODB.Connection ActiveX açığı (MS07-009)
* Microsoft Office web bileşenleri açıkları (MS09-043)
* Microsoft video Active açığı (MS09-032)
* Internet Explorer sıfırlanmamış hafıza boulması açığı (MS09-002)

Başarılı exploit sonucu hxxp://windowssp.7766.org/down/down.css dosyası indirilip çalıştırılıyor. down.css aslında Backdoor.Win32.Buzus ailesinden bir truva varyantı olan Win32 çalıştırılabilir dosyası.

Ref: sans.org
Ref: http://www.net-security.org/secworld.php?id=8604
Ref: http://www.theregister.co.uk/2009/12/10/mass_web_attack/

About the author / 

Mustafa Kaya

Leave a reply

Your email address will not be published. Required fields are marked *

Haftanın Klibi

BEN ANADOLU’YUM – HACI GÜRHAN

Bir yanımdan şafak sökerken bir baştan bir başa,
Her gün selam veriyor güneş kurda kuşa.
Dört mevsim bir yaşarım, yok cihanda böyle eş, akşam sefasından ufuklardan batıyor Güneş.
İşte ben Anadolu'yum, yiğidim çatıktır kaşım,
Bir babanın öz oğluyum, yedi kardaşım.
Yedi oğlum var biri Aras'tır, bir ucunda serhat,
Bir kızım var Dicle'dir, bir oğlum var Fırat, İki ikizim var Seyhan, Ceyhan kıskançlık verirler yada,
Her nesneye can verilir, yeşil Çukurova'da.
Bir oğlum var, uzun boyludur rengi kızıl ya,
Bir kızım vardır, kaşları hilaldir adı Sakarya.
İşte benim ben, ben Anadolu'yum.
Ben Türküm, Kürdüm, Zazayım, Lazım, Çerkezim, Dadaşım
Dedik ya bir babanın öz oğluyum, yedi kardaşım
Ben Karadeniz'de Lazım Hazar denizinde Ahbazım,
Bir elimde kemençe bir elimde sazım.
İşte benim ben, ben Anadolu'yum.
Ağrı Dağında güvercinim.
Bitlis'te Ahlat, Van'da Gevaş'ım
Ben Bingöl dağların da çobanım, Muş ile kardaşım.
Hakkâri'de Ahmed-i Hani, Feqiye Teyran'a kuşum,
Ben Cizre yollarında Mem-u Zin ile yoldaşım.
Batman da petrol, Diyarbakır ovasında pamuk, Melik Ahmet dükkanında kumaşım.
Siirt'te Koçero, Mardin'de Süryani Antep'te Şahin, Urfa'da Halil-ul Rahman sofrasında aşım.
Ben Erzincan'da Terzi Baba Elâzığ'da Gagoşum.
Ben Munzur'da Alevi, Sivas'ta Kızılbaşım.
İşte benim ben, ben Anadolu'yum.
Ben Hatay da Arap'ım Habib-i Neccar'a yandaşım,
Ben Malatya, Adıyaman, ben Maraş'ım,
Ben Kayseri, Kırşehir, Kırıkkale, eğilmez başım.
Ben Yozgat, Tokat, Ankara vatan duvarında taşım.
Adana, Antalya, İzmir, Bursa'dan hoşum,
Sakarya, İzmit, İstanbul aşkıylan sarhoşum,
Egede efe Trakya'da Roman Marmara'da Mamoş'um,
Ben Yurtta Sulh Cihanda Barışım,
Ben Kur'an-ı Kerim in ışığında çağdaşım,
Ben Anadolu erenleri Mevlana, Yunus, Hacı Bektaş'ım
Ey sevgili kendine gel ,sen bensin ben sizim.
Çanakkale'de yatan binlerce kefensizim.
Beni benden ayırmak ne mümkün, aynı bedenim, aynı kemiğim, aynı tırnağım, aynı dişim.
Ben anayım, ben babayım, ben dayı, yeğenim, ben eşim.
Ya Rabbi sana arzu niyazım var ayırma beni haktan.
Ya rab koru beni düşmanlardan dış mihraklardan.
Otuz beş yıldır ne baharım var ne yazım, mevsimde kışım.
Ben üzgünüm, ben kırgınım, ben ağlayan gözlerde yaşım.
Ben Gürhan'ım, garip ozanım, bu topraklarda vatandaşım.

RSS Threatpost | The first stop for security news

Türkçe Konuş
Lütfen thanks yerine teşekkürler kelimesini kullanın.