شماره: IRCNE2011041070
يك كمپين بزرگ تزريق SQL كه مشابه آن در گذشته نيز مشاهده شده است، دامنه هاي بسيار زيادي را در وب هدف قرار داده است. سايتهاي دولتي و خصوصي در كره، چين، انگلستان، امارات، كانادا، استراليا، ايالات متحده آمريكا و كشورهاي ديگر تحت تاثير اين حملات تزريق SQL قرار گرفته اند. در ميان سايتهايي كه هدف اين حملات قرار گرفته اند، تعدادي از URL هاي iTunes نيز مشاهده ميشوند. دامنه حمله كننده اوليه كه lizamoon.com بود، اكنون از كار افتاده است، اما سروري كه اين دامنه را ميزباني ميكند همچنان فعال است. پيش از اينكه اين دامنه از كار بيفتد، دامنه تزريق شده كاربران را به برنامه هاي آنتي ويروس جعلي هدايت ميكرد. تعداد سايتهاي آسيب ديده در اين حملات به بيش از 600 هزار دامنه رسيده است. اكنون سه دامنه alias-carter.com، alexblane.com و t6ryt56.info نيز به lizamoon پيوسته اند كه تعداد سايتهاي آسيب ديده را به مراتب بيشتر مي كنند.
اين حمله در يك پروسه خودكار به سرعت گسترش يافته و كد تزريق شده، جاوا اسكريپت را از lizamoon.com دريافت كرده و قربانيان را به آدرس defender-uqko.in كه يك دامنه آنتي ويروس جعلي بسيار شناخته شده است و در برخي موارد به سمت انواع ديگري از بدافزار هدايت ميكند. محققان Websense اظهار داشته اند كه تنها چند روز از عمر دامنه lizamoon ميگذرد.
عمده دامنه هاي آسيب ديده در اين حملات با استفاده از ASP طراحي شده بودند و ساير دامنه ها نيز از PHP استفاده ميكردند. اين پلتفورمها بسته به نوع استفاده از آنها، در مقابل بردارهاي حمله متعددي از جمله تزريق SQL و XSS آسيب پذير هستند.
برخي از URL هاي آسيب ديده، لينكهايي به فيدهاي iTunes بوده اند. Websense در گزارشي پيرامون اين تزريقها اشاره كرده است كه روش كار iTunes به اين ترتيب است كه فيدهاي RSS/XML را دانلود ميكند تا پادكست و ليست خود را به روز نمايد. به اعتقاد محققان اين شركت، اين فيدهاي RSS/XML توسط كد تزريق شده مورد سوء استفاده قرار گرفته اند. نكته مثبت در اين ميان اين است كه iTunes برچسبهاي اسكريپت را كدگذاري ميكند كه اين بدان معناست كه اين اسكريپت بر روي كامپيوتر كاربر اجرا نميشود.
اكنون عمده URL هاي iTunes كه تحت تاثير اين حمله تزريق قرار گرفته اند از گوگل حذف شده اند.
به عقيده Websense، اين مساله كه دامنه لينك شده در حال حاضر از كار افتاده است تاثير كمي بر كاهش خطر دارد، چرا كه صاحب اين دامنه ميتواند به راحتي آن را بازگرداند.
مدير ارشد تحقيقات امنيتي در Websense معتقد است كه مجرمان، با علم به حضور تعداد بسيار زيادي از كاربران در سايتهاي هدف، حملات تزريق SQL را بر روي اين سايتها انجام داده اند تا تعداد بيشتري از كاربران آسيب ببينند. تحقيقات آزمايشگاه Websense نشان ميدهد كه نزديك به 80 درصد از وب سايتهاي خرابكار، در حقيقت وب سايتهاي معتبري هستند كه آسيب ديده و مورد سوء استفاده قرار گرفته اند.
- 2