Yeni tespit edilen bir SQL injection saldırısı çeşitli sitelerden kötü amaçlı kod toplayan görünmez bir iframe ile yaklaşık olarak 300,000 web sayfasını etkiledi.
Kötü amaçlı kod Adobe Flash, Internet Explorer ve bazı diğer uygulamaların güvenlik açığı bulunan sürümlerini tarıyor ve sonrasında online bankacılık bilgilerini çalma amaçlı programı sisteme kuruyor.
Bulaşma
Enjekte edilen iframe <script src=hxxp://318x.com> , 318x.com/a.htm’e yeni bir iframe yaratan bir script çalıştırıyor. Bu iframe (a.htm) 2 şey yapıyor:
1. aa1100.2288.org/htmlasp/dasp/alt.html adresinden 2. bir iframe yüklüyor.
2. Takip için js.tongji.linezing.com/1358779/tongji.js scriptini yüklüyor.
aa1100.2288.org/htmlasp/dasp/alt.html frame’i:
* aa1100.2288.org/htmlasp/dasp/share.html adresini 3. bir iframe e yüklüyor
* yukarıdakine benzer fakat farklı numarada bir script yüklüyor js.tongji.linezing.com/1364067/tongji.js
* Eğer script çalıştırma kapalıysa <noscript> , bir resim kaynağı img.tongji.linezing.com/1364067/tongji.gif ile www.linezing.com a yönlendiren bir href bulunduruyor.
share.html browser tipini tespit ediyor ve aynı klasörde bulunan içeriği anlamsız, okunması zorlaştırılmış hale getirilmiş (obfuscated) çeşitli script dosyalarına işaret eden iframe ler yüklüyor. MDAC, OWC10 ve Adobe Flash’in çeşitli sürümleri kontrol ediliyor. Sonuçlara göre aşağıdaki exploit’lerden birini uyguluyor:
Gözlemlenen exploit’ler:
* Adobe Flash oynatıcısındaki Integer taşması açığı (CVE-2007-0071)
* MDAC ADODB.Connection ActiveX açığı (MS07-009)
* Microsoft Office web bileşenleri açıkları (MS09-043)
* Microsoft video Active açığı (MS09-032)
* Internet Explorer sıfırlanmamış hafıza boulması açığı (MS09-002)
Başarılı exploit sonucu hxxp://windowssp.7766.org/down/down.css dosyası indirilip çalıştırılıyor. down.css aslında Backdoor.Win32.Buzus ailesinden bir truva varyantı olan Win32 çalıştırılabilir dosyası.
Ref: sans.org
Ref: http://www.net-security.org/secworld.php?id=8604
Ref: http://www.theregister.co.uk/2009/12/10/mass_web_attack/
About the author /
Mustafa Kaya
Hacks – Threatpost
- Hackers Favor Weekdays for Attacks, Share Resources Often 14 Haziran 2019Traffic analysis sheds light on weekday habits of attackers such as the most likely day for attacks and how malicious infrastructure is shared.
- Linux Command-Line Editors Vulnerable to High-Severity Bug 11 Haziran 2019A bug impacting editors Vim and Neovim could allow a trojan code to escape sandbox mitigations.
- WordPress Sites Worldwide Hit with ‘Call-Girl’ Search-Engine Pollution 10 Haziran 2019A web spam campaign targeting Koreans is affecting non-hacked websites worldwide.
- How to Model Risk in an Apex Predator Cyber-World 10 Haziran 2019Large-scale existential threats exist everywhere and can annihilate us with only trivial effort. Should we all throw everything we can at them?
- VLC Player Gets Patched for Two High-Severity Bugs 10 Haziran 2019Popular media player receives 33 security bug fixes, two of which are rated high severity.
- SandboxEscaper Debuts ByeBear Windows Patch Bypass 07 Haziran 2019SandboxEscaper is back, with a second bypass for the recent CVE-2019-0841 Windows patch.
Leave a reply