深入解析Mass SQL Injection

從攻擊的對象、攻擊手法的更新與規模來看，亞洲地區的攻擊，可說在技術上較為成熟且快速，攻擊對象也較具有經濟效益。這種攻擊手法採用了既有的入侵手法、重新組合，只要了解其中的特質及可能受影響的各種系統，就能協助你擬定可行的防禦措施。

近期的Mass SQL Injection攻擊，讓整個華語地區的企業IT陷入恐慌的氣氛，IT人員深感無力，對廠商更有迫切的壓力。其實，只要心態上如履薄冰，做法上扎實穩健，看清攻擊手法的本質後，在IT人與廠商共同配合之下，應該可以度過難關。

在亞洲地區擴大災情之前，其實在國外早有攻擊事件發生，只是規模不若亞洲地區。由於國外的攻擊事件，目標集中在學校（.edu）及組織（.org），而非企業或政府，所以並沒有引起亞洲地區的廣泛注意。

就筆者的觀察，假設此次Mass SQL Injection攻擊與國外的事件有關聯，則國外的攻擊事件可視為在亞洲地區大規模攻擊之前的測試場所。從攻擊的對象、攻擊手法的更新與規模來看，亞洲地區的攻擊，可說在技術上較為成熟且快速，攻擊對象也較具有經濟效益，很難不讓人聯想到攻擊之前的恐嚇行為，與攻擊成功之後的勒索取財等。

當然我們IT人員也不能處於挨打的局面，想要突破困境別無他法，俗話說：「攻擊是最好的防禦」。既然要反擊，總需要有個施力點，因此筆者想就此次的Mass SQL Injection攻擊，分享一些經驗及看法。另外，要打勝這場仗，千萬不要悶著頭幹，也請你的廠商一起來幫忙。

先攻陷資料庫、網站，接著綁架個人端電腦，最後，發動大量攻擊
注意！這次的攻擊路徑與方式並非是全新的型態，而是將舊的手法重新組合！



從圖中我們可以看出來：對伺服器的攻擊屬於SQL Injection類型，至於對使用者電腦入侵則是使用網路釣魚（Phishing）手法。

以往駭客是建立一些含有惡意程式的網站，然後透過電子郵件、即時通訊、部落格等途徑，誘騙使用者上當，進而瀏覽這些網站。只不過，這次駭客不再被動地等魚上鉤，而是主動讓正常的網站變成魚餌，讓使用者在不知不覺中已經上鉤。

筆者將此次的攻擊大致上可分成3階段：
第1階段：Mass SQL Injection
駭客鎖定具有SQL Injection漏洞的網站伺服器及後端的資料庫伺服器，執行Mass SQL Injection。這些漏洞包含靜態網頁中HTML的text、radio button、checkbox和option等表單項目，加上動態網頁中的資料庫伺服器內容，以及網頁呈現會使用到的應用程式，如Flash。

前兩者利用的目標是傳統的SQL Injection，後者則利用應用程式的bug，但皆可將攻擊步驟製作成全自動攻擊工具並大量散播。這部分就如同某些資訊安全廠商所公布的，當自動化工具產生後，攻擊的來源會擴大，攻擊的速度也隨之增快。結果就是將惡意程式或惡意連結植入靜態網頁、資料庫伺服器和Flash中。

第2階段：鎖定使用者電腦
這個階段包含3個步驟，當使用者瀏覽這些遭到攻陷的網站時，被駭客植入的惡意程式或惡意連結，會將使用者的連線重新導引至惡意程式所在的伺服器，然後，從中下載更多的惡意程式，例如特洛依木馬、後門、USB病毒和遠端控制程式。這些做法，無非是為了綁架這些使用者的電腦，以便後續利用，甚至有可能透過USB病毒，持續在企業內部擴大綁架範圍。

第3階段：商業行為
這個階段才是最終目的。這些被綁架的電腦成為被利用的工具及商品，換句話說，當駭客接單後，依金主(非雇主)的要求發動對競爭對手的DDoS攻擊，或是以恐嚇方式迫使目標付出金錢。目前已知的駭客商業行為，通常是在異地接單後，在異地遙控本地被綁架的電腦執行攻擊行為，在電腦犯罪的蒐證上具有相當的難度。