Внешние атаки в Интернете Изменение парадигмы безопасности

Традиционные системы безопасности могут быть неэффективными и стать устаревшими в защите веб-атак, запущенных странами, по словам Валь Смита, основателя Attack Research. Новые тенденции атаки включают в себя спам в блогах и инъекции SQL из России и Китая, сказал Смит во время своего выступления на выставке Source Boston Security Showcase.

«Атаки на стороне клиента - это парадигма, - говорит Смит. «Монолитные системы безопасности больше не работают».

Хакеры используют веб-браузеры в качестве инструментов для развертывания вредоносного ПО и сбора конфиденциальной информации. Смит использовал примеры от клиентов своей компании, которая анализирует и исследует компьютерные атаки, чтобы продемонстрировать угрозу, создаваемую спамом в блогах и атаками SQL.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с ОС Windows]

Атакующие, - трафик сайтов с блогами спама и размещены комментарии к блогам, сказал он. Комментарии выглядели странно и, как правило, имели неанглийские фразы, размещенные в больших блоках текста со случайными словами, гиперссылками, сказал он. По словам Смита, нажатие на такие ссылки заняло пользователей на сайтах, которые, похоже, были блогами, но были загружены с вредоносными программами.

Китайский банк владел доменами для каждого вредоносного сайта, но адреса IP (Интернет-протокола) были связаны с Германией. Изучение связей показало, что каждый из них содержал слова на русском или румынском языке, сказал Смит. По его словам, хакеры надеялись запутать любого, кто расследует их работу, сказал он.

«Как вы собираетесь отследить их назад к плохим парням?» сказал он, отметив, что отслеживание осложняется языковыми барьерами, работой с иностранными юридическими организациями и работой со странами, «которые, возможно, не хотят разговаривать с нами».

Хотя цели атак на спам в блогах остаются неясными, Смит сказал, что финансовые стимулы служат мотивацией. Рекламное ПО, установленное после того, как пользователь посещает зараженный сайт, получает деньги от хакеров, как и нажатие на рекламу на странице. Другие хакеры стремятся расширить свои бот-сети или сети скомпрометированных машин, используемых в злонамеренных целях.

Расследование Смита выявило атаки на домашнюю учетную запись DSL в России. Международный характер инцидента сделал обвинение маловероятным, сказал он.

Атака SQL-инъекций Smith обсуждалась в Китае и попыталась украсть информацию о предприятиях, посетивших веб-сайт компании, которая была клиентом Смита.

Хакеры сначала запустили SQL-инъекцию и загрузили заднюю дверь, которая позволила им взять под контроль систему.

Дополнительные инъекции SQL не удались, поэтому хакеры обыскали систему для другого эксплойта. Они нашли приложение для библиотеки, которое позволяет загружать изображения. Хакеры загрузили GIF-файл с линией кода, содержащейся в изображении. Компьютерная система читала тег GIF и загружала фотографию и автоматически выполняла код.

Хакеры "предназначались для приложения, которое было написано на заказ, и на нем была запущена определенная атака на это приложение", - сказал Смит.

Хакеры в конечном итоге разместили HTML-код «iFrame» на каждой странице веб-сайта компании. IFrames перенаправил браузер жертвы на сервер, заражающий компьютер с помощью инструмента под названием «MPack».

В результате жертвы пострадали от нескольких атак, сказал Смит.

Сегодня атаки SQL-инъекций являются главной угрозой для безопасности в Интернете, сказал Райан Барнетт (Ryan Barnett), директор по безопасности приложений в компании Breach Security, в интервью, отдельно от конференции.

В прошлом году киберпреступники начали развязывать массивные веб-атаки, которые скомпрометировали более 500 000 веб-сайтов, согласно поставщику безопасности.

«Они начались в январе и прошли практически целый год», - сказал Барнетт. Раньше для создания атаки SQL-инъекции требовалось время, но в прошлом году злоумышленники создали код червя, который мог быстро искать и разбивать сотни тысяч сайтов очень быстро.

Теперь, вместо того, чтобы красть данные с взломанных веб-сайтов, плохие парни все чаще оборачиваются и устанавливают вредоносные сценарии, которые атакуют посетителей сайта. «Теперь сайт становится хранилищем вредоносных программ», - сказал он.

(Боб Макмиллан в Сан-Франциско внес свой вклад в этот отчет.)