
Yeni tespit edilen bir SQL injection saldırısı çeşitli sitelerden kötü amaçlı kod toplayan görünmez bir iframe ile yaklaşık olarak 300,000 web sayfasını etkiledi.
Kötü amaçlı kod Adobe Flash, Internet Explorer ve bazı diğer uygulamaların güvenlik açığı bulunan sürümlerini tarıyor ve sonrasında online bankacılık bilgilerini çalma amaçlı programı sisteme kuruyor.
Bulaşma
Enjekte edilen iframe <script src=hxxp://318x.com> , 318x.com/a.htm’e yeni bir iframe yaratan bir script çalıştırıyor. Bu iframe (a.htm) 2 şey yapıyor:
1. aa1100.2288.org/htmlasp/dasp/alt.html adresinden 2. bir iframe yüklüyor.
2. Takip için js.tongji.linezing.com/1358779/tongji.js scriptini yüklüyor.
aa1100.2288.org/htmlasp/dasp/alt.html frame’i:
* aa1100.2288.org/htmlasp/dasp/share.html adresini 3. bir iframe e yüklüyor
* yukarıdakine benzer fakat farklı numarada bir script yüklüyor js.tongji.linezing.com/1364067/tongji.js
* Eğer script çalıştırma kapalıysa <noscript> , bir resim kaynağı img.tongji.linezing.com/1364067/tongji.gif ile www.linezing.com a yönlendiren bir href bulunduruyor.
share.html browser tipini tespit ediyor ve aynı klasörde bulunan içeriği anlamsız, okunması zorlaştırılmış hale getirilmiş (obfuscated) çeşitli script dosyalarına işaret eden iframe ler yüklüyor. MDAC, OWC10 ve Adobe Flash’in çeşitli sürümleri kontrol ediliyor. Sonuçlara göre aşağıdaki exploit’lerden birini uyguluyor:
Gözlemlenen exploit’ler:
* Adobe Flash oynatıcısındaki Integer taşması açığı (CVE-2007-0071)
* MDAC ADODB.Connection ActiveX açığı (MS07-009)
* Microsoft Office web bileşenleri açıkları (MS09-043)
* Microsoft video Active açığı (MS09-032)
* Internet Explorer sıfırlanmamış hafıza boulması açığı (MS09-002)
Başarılı exploit sonucu hxxp://windowssp.7766.org/down/down.css dosyası indirilip çalıştırılıyor. down.css aslında Backdoor.Win32.Buzus ailesinden bir truva varyantı olan Win32 çalıştırılabilir dosyası.
Ref: sans.org
Ref: http://www.net-security.org/secworld.php?id=8604
Ref: http://www.theregister.co.uk/2009/12/10/mass_web_attack/
Haftanın Klibi
Desem Ki
Desem ki vakitlerden bir Nisan akşamıdır,
Rüzgarların en ferahlatıcısı senden esiyor,
Sende seyrediyorum denizlerin en mavisini,
Ormanların en kuytusunu sende gezmekteyim,
Senden kopardım çiçeklerin en solmazını,
Toprakların en bereketlisini sende sürdüm,
Senden tattım yemişlerin cümlesini.
Desem ki sen benim için,
Hava kadar lazım,
Ekmek kadar mübarek,
Su gibi aziz bir şeysin;
Nimettensin, nimettensin!
Desem ki...
İnan bana sevgilim inan,
Evimde şenliksin, bahçemde bahar;
Ve soframda en eski şarap.
Ben sende yaşıyorum,
Sen bende hüküm sürmektesin.
Bırak ben söyleyeyim güzelliğini,
Rüzgarlarla, nehirlerle, kuşlarla beraber.
Günlerden sonra bir gün,
Şayet sesimi farkedemezsen,
Rüzgarların, nehirlerin, kuşların sesinden,
Bil ki ölmüşüm.
Fakat yine üzülme, müsterih ol;
Kabirde böceklere ezberletirim güzelliğini,
Ve neden sonra
Tekrar duyduğun gün sesimi gökkubbede,
Hatırla ki mahşer günüdür
Ortalığa düşmüşüm seni arıyorum.
Cahit Sıtkı Tarancı
Kategoriler
Hacks – Threatpost
- Malware Gangs Partner Up in Double-Punch Security Threat 26 Şubat 2021From TrickBot to Ryuk, more malware cybercriminal groups are putting their heads together when attacking businesses.
- Malicious Mozilla Firefox Extension Allows Gmail Takeover 25 Şubat 2021The malicious extension, FriarFox, snoops in on both Firefox and Gmail-related data.
- Microsoft Lures Populate Half of Credential-Swiping Phishing Emails 24 Şubat 2021As more organizations migrate to Office 365, cybercriminals are using Outlook, Teams and other Microsoft-themed phishing lures to swipe user credentials.
- Daycare Webcam Service Exposes 12,000 User Accounts 23 Şubat 2021NurseryCam suspends service across 40 daycare centers until a security fix is in place.
- TDoS Attacks Take Aim at Emergency First-Responder Services 22 Şubat 2021The FBI has warned that telephony denial-of-service attacks are taking aim at emergency dispatch centers, which could make it impossible to call for police, fire or ambulance services.
- Chinese Hackers Hijacked NSA-Linked Hacking Tool: Report 22 Şubat 2021APT31, a Chinese-affiliated threat group, copied a Microsoft Windows exploit previously used by the Equation Group, said researchers.
Leave a reply