116
手機隻需發條消息即可開始大規模SQL注入攻擊
SQL注入(SQLi)利用不安全 Web App 和數據庫驅動的類似軟件,抽取或篡改數據(如用戶賬戶記錄),甚至在服務器上執行Shell指令。
這是合法用戶和攻擊者提交的代碼,沒有經過驗證和清晰所導致的結果。被攻擊軟件或許期待的是一個訂單號,而黑客發過去的卻是一條SQL語句,而這惡意代碼片段被包含到接下來的數據庫查詢中,讓服務器按黑客的指令吐出敏感數據或執行他/她期待的動作。
據所掌握的信息可知,用戶可租用喀秋莎掃描器專業版(Katyusha Scanner Pro)每月200美元租金;或者在自己的係統上安裝一個,500美元。該軟件使用免費滲透測試工具Anarchi掃描器對網站執行SQLi攻擊。最重要的是,它能通過Telegram即時消息係統進行控製。
所以,基本上,用戶可以在聯網服務器上執行喀秋莎——無論是租用還是自己安裝,然後用Telegram發送指令——比如攻擊somepoorbastard.biz或mydietpillsnotascam.org之類的網站,直到命中一個有漏洞的網站。如果有專業版,還可以自動抽取登錄憑證和內部數據庫內容。輕量級版本也可用——隻要你覺得自己可以利用任何已知漏洞。
這基本上意味著,沒有技術背景的罪犯,也能很容易地用手機對無數公司企業發起攻擊。如上所述,可通過Web門戶控製,也可以通過Telegram文字消息控製。威脅情報公司 Recorded Future 的研究人員,是在暗網最封閉的隱藏黑客論壇上發現該軟件包的售賣的。
Recorded Future 在博客中解釋稱:“在黑客過程可通過標準Web接口控製的同時,喀秋莎掃描器的獨特功能,還能讓罪犯上傳目標網站列表,對多個目標發起同步攻擊,通過Telegram並行無縫地進行控製。”
該技術受到了腳本小子的一致好評,其專業的客戶支持也收到了極高讚譽。當然,經驗老道的網絡罪犯,也可以在他們的智能手機或平板上用SSH隧道做到這些;但喀秋莎實在是太易用了——令人擔憂的地方正在於此。
攻擊演示:某人通過telegram控製喀秋莎
掃描完成後,喀秋莎會對每個發現的目標顯示Alexa網站評級,提供所發現Web安全漏洞的潛在重要性與利用可能性指南。
喀秋莎掃描器這種高度健壯又不貴的在線工具,降低了網絡攻擊的技術門檻,隻會進一步惡化各公司遭受的數據泄露問題,凸顯出定期基礎設施安全審計的重要性。
信息安全廠商 Positive Technologies 的一份調查研究顯示,2017年第一季度流傳最廣的攻擊形式就是SQLi和跨站腳本攻擊,各占被檢測攻擊總數的1/3。該報告將政府機構的Web應用列為了黑客首要攻擊目標,其後是IT公司和金融機構,教育機構排在第四位。
注:喀秋莎這個工具名,映射的是蘇聯在二戰期間研發的一款標誌性多管火箭發射器,以其隱秘性和破壞性成為了納粹軍隊的噩夢。
本文作者:nana
來源:51CTO
最後更新:2017-11-03 16:33:58