骇客收割SQL Injection成果　发动Flash零时差攻击

文/赵郁竹 2008-05-28

骇客已经在昨天下午开始发动Flash的零时差攻击，而上周发现的十万网页遭SQL Injection攻击，就是在替此次的零时差攻击布局。



本周二（5/27）开始，安全厂商纷纷发现已有骇客开始针对Adobe Flash发动大规模零时差攻击（Zero Day Attack），利用具备rootkit功能的后门程式，窃取使用者帐号密码。使用者在Adobe释出修补程式前，最好先将Flash关闭。

包括趋势科技、阿码科技、WebSense等资安业者上周都发稿指出，骇客针对中文网页发动大规模SQL Injection攻击。一夜之间有十万个网页遭植入恶意程式，且可能是同一集团所为，台湾也有数千个知名大站受影响。

当时就已有资安厂商推测，犯罪集团正在进行大规模网站布局，等待下一个浏览器零时差攻击出现后大量收割。包括趋势科技、赛门铁克、阿码科技等资安厂商也都在昨天开始发现骇客发动Flash零时差攻击。

趋势科技Trend Lab在昨天发现首次针对Flash的零时差攻击，并已将最新危险网页加入WRS中。趋势科技资深技术顾问戴燊指出，骇客是透过已在上波攻击受害的网站中，将使用者转址到预藏swf档案的网页，使用者就会自动执行Flash而受害。也就是说，上波受害的十万中文网页现在都有危险。

阿码科技执行长黄耀文则表示，骇客已经在昨天下午开始发动Flash的零时差攻击，而上周发现的十万网页遭SQL Injection攻击，就是在替此次的零时差攻击布局。

他说，上周许多被植入的javascrip都是空的，并不会作用，也因此包括Google搜寻的危险网站警告、或是阿码的Hack Alert都侦测不到。一直等到骇客现在手上已经掌握了漏洞后发动零时差攻击，加上又是透过使用率相当高的Flash，因此影响力会相当大。

赛门铁克是透过全球智慧侦测网路发现Flash零时差攻击的情形，赛门铁克资深技术顾问庄添发表示，昨天凌晨接到总部讯息告知，有骇客利用Flash的swf档案进行攻击，且是大量的、自动化工具。

他进一步指出，这次的攻击主要是利用SQL Injection植入scrip，如在Google输入「dota11」就可找到上万笔被植入此程式的网站，使用者点入那些网站时，恶意程式就会自动呼叫执行swf档，使用者也会因此受害。

黄耀文进一步解释此次攻击的特殊之处，他说，先前骇客都是靠手动的方式，透过SQL Injection入侵，且挂在网站上的攻击并非零时差，而是当使用者某些元件中没有安装修补程式时才会受害。此次却是自动化的攻击，并且透过Flash进行大量零时差攻击，使用者可能根本不会注意到，不过影响力会相当大。

零时差攻击虽然并非新模式，不过戴燊指出，利用Flash漏洞的零时差攻击还是第一次。先前例如微软Windows在去年传出的动态游标档案（.ani）的漏洞，也是零时差攻击的案例。

由于零时差攻击只能等待软体厂商释出更新修补程式，Adobe已得知此讯息，正在加紧修补中。因此在尚未安装更新程式前，使用者最好暂时先关闭Flash，才能确保安全。

原文出处：http://www.ithome.com.tw/itadm/article.php?c=49134

请大家自行检查自己的网站是否已被SQL Injection攻击，而成为本次FLASH零时差攻击的跳板

检视方法：
使用IE浏览器 检视自己的网站（http://xxx.xxxx.xxx.xxx），然后利用检视原始档的功能，检视原始码

并在原始档中搜寻「dota11」，若找到类似以下程式码，就表示你中招了

如：
＜script src=http://www.dota11.cn/m.js＞＜/script＞......

由于本SQL Injection攻击方法为将此段程式码塞入资料库栏位当中，因此光检查你自己手上的原始档是不会找到这些内容的，一定要找你放在网路上的才行。

基本上若你的网页没有用到资料库，可能就不会有事，否则请检查

以下为GOOGLE中找得到的被攻陷名单

http://www.google.cn/search?complete=1&hl=z...dota11&start=0&sa=N

YAHOO找到的被攻陷名单

http://tw.search.yahoo.com/search?ei=UTF-8&fr=sfp&p=do...l=0&vf=all&vd=all&iscqry=

转贴自 http://bbs.flash2u.com.tw/di...44_1_1.html

感谢告知新讯息，针对：
将「Shockwave Flash Object」选项停用
应该如何停用？请指导一下，谢谢！

图 1.

图 2.

下面是引用andyf于2008-05-31 07:42发表的 :
感谢告知新讯息，针对：
将「Shockwave Flash Object」选项停用
应该如何停用？请指导一下，谢谢！

你可以点上面的 工具->网际网路选页 ->程式集

非常感谢指导。再请教：
目前是否只要安装防毒软体及更新到最新病毒码，
就不需要把它停用了？

最新消息是
只有flash 9.0.115.0或之前的版本受影响
所以一般使用者请更新到9.0.124.0

检查你的flash是哪个版本
http://kb.adobe.com/selfservice/vie...rnalId=tn_15507