駭客收割SQL Injection成果　發動Flash零時差攻擊

文/趙郁竹 2008-05-28

駭客已經在昨天下午開始發動Flash的零時差攻擊，而上週發現的十萬網頁遭SQL Injection攻擊，就是在替此次的零時差攻擊佈局。



本週二（5/27）開始，安全廠商紛紛發現已有駭客開始針對Adobe Flash發動大規模零時差攻擊（Zero Day Attack），利用具備rootkit功能的後門程式，竊取使用者帳號密碼。使用者在Adobe釋出修補程式前，最好先將Flash關閉。

包括趨勢科技、阿碼科技、WebSense等資安業者上週都發稿指出，駭客針對中文網頁發動大規模SQL Injection攻擊。一夜之間有十萬個網頁遭植入惡意程式，且可能是同一集團所為，台灣也有數千個知名大站受影響。

當時就已有資安廠商推測，犯罪集團正在進行大規模網站佈局，等待下一個瀏覽器零時差攻擊出現後大量收割。包括趨勢科技、賽門鐵克、阿碼科技等資安廠商也都在昨天開始發現駭客發動Flash零時差攻擊。

趨勢科技Trend Lab在昨天發現首次針對Flash的零時差攻擊，並已將最新危險網頁加入WRS中。趨勢科技資深技術顧問戴燊指出，駭客是透過已在上波攻擊受害的網站中，將使用者轉址到預藏swf檔案的網頁，使用者就會自動執行Flash而受害。也就是說，上波受害的十萬中文網頁現在都有危險。

阿碼科技執行長黃耀文則表示，駭客已經在昨天下午開始發動Flash的零時差攻擊，而上週發現的十萬網頁遭SQL Injection攻擊，就是在替此次的零時差攻擊佈局。

他說，上週許多被植入的javascrip都是空的，並不會作用，也因此包括Google搜尋的危險網站警告、或是阿碼的Hack Alert都偵測不到。一直等到駭客現在手上已經掌握了漏洞後發動零時差攻擊，加上又是透過使用率相當高的Flash，因此影響力會相當大。

賽門鐵克是透過全球智慧偵測網路發現Flash零時差攻擊的情形，賽門鐵克資深技術顧問莊添發表示，昨天凌晨接到總部訊息告知，有駭客利用Flash的swf檔案進行攻擊，且是大量的、自動化工具。

他進一步指出，這次的攻擊主要是利用SQL Injection植入scrip，如在Google輸入「dota11」就可找到上萬筆被植入此程式的網站，使用者點入那些網站時，惡意程式就會自動呼叫執行swf檔，使用者也會因此受害。

黃耀文進一步解釋此次攻擊的特殊之處，他說，先前駭客都是靠手動的方式，透過SQL Injection入侵，且掛在網站上的攻擊並非零時差，而是當使用者某些元件中沒有安裝修補程式時才會受害。此次卻是自動化的攻擊，並且透過Flash進行大量零時差攻擊，使用者可能根本不會注意到，不過影響力會相當大。

零時差攻擊雖然並非新模式，不過戴燊指出，利用Flash漏洞的零時差攻擊還是第一次。先前例如微軟Windows在去年傳出的動態游標檔案（.ani）的漏洞，也是零時差攻擊的案例。

由於零時差攻擊只能等待軟體廠商釋出更新修補程式，Adobe已得知此訊息，正在加緊修補中。因此在尚未安裝更新程式前，使用者最好暫時先關閉Flash，才能確保安全。

原文出處：http://www.ithome.com.tw/itadm/article.php?c=49134

請大家自行檢查自己的網站是否已被SQL Injection攻擊，而成為本次FLASH零時差攻擊的跳板

檢視方法：
使用IE瀏覽器 檢視自己的網站（http://xxx.xxxx.xxx.xxx），然後利用檢視原始檔的功能，檢視原始碼

並在原始檔中搜尋「dota11」，若找到類似以下程式碼，就表示你中招了

如：
＜script src=http://www.dota11.cn/m.js＞＜/script＞......

由於本SQL Injection攻擊方法為將此段程式碼塞入資料庫欄位當中，因此光檢查你自己手上的原始檔是不會找到這些內容的，一定要找你放在網路上的才行。

基本上若你的網頁沒有用到資料庫，可能就不會有事，否則請檢查

以下為GOOGLE中找得到的被攻陷名單

http://www.google.cn/search?complete=1&hl=z...dota11&start=0&sa=N

YAHOO找到的被攻陷名單

http://tw.search.yahoo.com/search?ei=UTF-8&fr=sfp&p=do...l=0&vf=all&vd=all&iscqry=

轉貼自 http://bbs.flash2u.com.tw/di...44_1_1.html

感謝告知新訊息，針對：
將「Shockwave Flash Object」選項停用
應該如何停用？請指導一下，謝謝！

圖 1.

圖 2.

下面是引用andyf於2008-05-31 07:42發表的 :
感謝告知新訊息，針對：
將「Shockwave Flash Object」選項停用
應該如何停用？請指導一下，謝謝！

你可以點上面的 工具->網際網路選頁 ->程式集

非常感謝指導。再請教：
目前是否只要安裝防毒軟體及更新到最新病毒碼，
就不需要把它停用了？

最新消息是
只有flash 9.0.115.0或之前的版本受影響
所以一般使用者請更新到9.0.124.0

檢查你的flash是哪個版本
http://kb.adobe.com/selfservice/vie...rnalId=tn_15507