Yeni tespit edilen bir SQL injection saldırısı çeşitli sitelerden kötü amaçlı kod toplayan görünmez bir iframe ile yaklaşık olarak 300,000 web sayfasını etkiledi.
Kötü amaçlı kod Adobe Flash, Internet Explorer ve bazı diğer uygulamaların güvenlik açığı bulunan sürümlerini tarıyor ve sonrasında online bankacılık bilgilerini çalma amaçlı programı sisteme kuruyor.
Bulaşma
Enjekte edilen iframe <script src=hxxp://318x.com> , 318x.com/a.htm’e yeni bir iframe yaratan bir script çalıştırıyor. Bu iframe (a.htm) 2 şey yapıyor:
1. aa1100.2288.org/htmlasp/dasp/alt.html adresinden 2. bir iframe yüklüyor.
2. Takip için js.tongji.linezing.com/1358779/tongji.js scriptini yüklüyor.
aa1100.2288.org/htmlasp/dasp/alt.html frame’i:
* aa1100.2288.org/htmlasp/dasp/share.html adresini 3. bir iframe e yüklüyor
* yukarıdakine benzer fakat farklı numarada bir script yüklüyor js.tongji.linezing.com/1364067/tongji.js
* Eğer script çalıştırma kapalıysa <noscript> , bir resim kaynağı img.tongji.linezing.com/1364067/tongji.gif ile www.linezing.com a yönlendiren bir href bulunduruyor.
share.html browser tipini tespit ediyor ve aynı klasörde bulunan içeriği anlamsız, okunması zorlaştırılmış hale getirilmiş (obfuscated) çeşitli script dosyalarına işaret eden iframe ler yüklüyor. MDAC, OWC10 ve Adobe Flash’in çeşitli sürümleri kontrol ediliyor. Sonuçlara göre aşağıdaki exploit’lerden birini uyguluyor:
Gözlemlenen exploit’ler:
* Adobe Flash oynatıcısındaki Integer taşması açığı (CVE-2007-0071)
* MDAC ADODB.Connection ActiveX açığı (MS07-009)
* Microsoft Office web bileşenleri açıkları (MS09-043)
* Microsoft video Active açığı (MS09-032)
* Internet Explorer sıfırlanmamış hafıza boulması açığı (MS09-002)
Başarılı exploit sonucu hxxp://windowssp.7766.org/down/down.css dosyası indirilip çalıştırılıyor. down.css aslında Backdoor.Win32.Buzus ailesinden bir truva varyantı olan Win32 çalıştırılabilir dosyası.
Ref: sans.org
Ref: http://www.net-security.org/secworld.php?id=8604
Ref: http://www.theregister.co.uk/2009/12/10/mass_web_attack/
About the author /
Mustafa Kaya
Hacks – Threatpost
- Fin7 Cybergang Retools With New Malicious Code 11 Ekim 2019A new dropper and payload show that Fin7 isn't going anywhere despite a crackdown on the infamous group by law enforcement in 2018.
- Iran-Linked ‘Charming Kitten’ Touts New Spearphishing Tactics 11 Ekim 2019A campaign first observed last year has ramped up its attack methods and appears to be linked to activity targeting President Trump’s 2020 re-election campaign.
- APT Groups Exploiting Flaws in Unpatched VPNs, Officials Warn 08 Ekim 2019U.S. and U.K. agencies warn consumers to update VPN technologies from Fortinet, Pulse Secure and Palo Alto Networks.
- California Bans Deepfakes in Elections, Porn 07 Ekim 2019A pair of laws provides recourse for victims of deepfake technology.
- Alabama Hospitals Pay Up in Ransomware Attack 07 Ekim 2019A trio of Alabama hospitals have decided to pay for a decryption key.
- Virus Bulletin 2019: VoIP Espionage Campaign Hits U.S. Utilities Supplier 04 Ekim 2019An attacker whose motives are unclear compromised an Asterisk server in a highly targeted campaign.
Leave a reply