Автоматизированные атаки на сайты путем SQL-инъекций давно не новы, но проведение их с ботнета, построенного на браузерных аддонах, — явление достаточно необычное. Известный журналист и исследователь Брайан Кребс сообщает, что такая бот-сеть уже создана под именем Advanced Power и функционирует в Интернете как минимум с мая 2013 года. В ее состав входят 12,5 тыс. Windows-машин, которые волей операторов уже обнаружили около 2 тыс. уязвимых сайтов среди ресурсов, посещаемых жертвами инфекции. Каким образом происходит заражение, пока не установлено, известно лишь, что боты распространяются под видом аддона Microsoft .NET Framework Assistant для Firefox, хотя на самом деле не имеют ничего общего с одноименным легитимным продуктом.

По словам Кребса, ботоводы Advanced Power используют зараженные ПК как распределенную платформу для сканирования сайтов на предмет SQL-уязвимостей. Наличие ботнета в данном случае позволяет автоматизировать процесс, который обычно выполняется вручную и достаточно долог. Кребсу вторит Алекс Холден (Alex Holden), гендиректор Hold Security LLC, который поведал Threatpost, что пентестеры, например, обычно проверяют открытые переменные на веб-сайте с помощью безвредных SQL‑операторов. Похожие действия выполняет данный ботнет, но в значительно более широком масштабе.

Холден также заявил Threatpost, что впервые столкнулся с использованием ботнета в качестве средства автоматизации SQL-инъекций. «У нас нет каких-либо свидетельств кражи, — добавил он. — Единственным очевидным применением данного ботнета является поиск SQL-уязвимостей. Смею предположить, что плохие парни просто просматривают логи и пытаются угадать, какие сайты действительно уязвимы, а какие показали ложное срабатывание. Произведя оценку, они переходят к непосредственной эксплуатации брешей».

«Нормальное приложение воспринимает SQL‑операторы как бессмысленный мусор, — поясняет Холден. — Однако после их интерпретации SQL-сервер начинает возвращать некие результаты. Главная задача программиста — не допустить взаимодействия конечного пользователя с SQL-сервером. В этом и кроется основная проблема SQL-инъекций: если у вас есть возможность взаимодействовать с SQL-сервером, вы можете заставить его выполнить любой произвольный запрос».

В данном случае, по словам эксперта, злоумышленники запрограммировали в SQL команду, которая обеспечивает 5-секундную задержку при возврате данных. «Для плохого парня это сигнал, — поясняет Холден. — Заметив такую задержку, он поймет, что SQL-сервер выполняет команду, а не само приложение».

Руководитель Hold Security также отметил, что 1,8 тыс. уязвимых веб-сайтов, обнаруженных Advanced Power, имеют нестандартный профиль и разнятся по величине и направленности. Пока жертва заражения занимается веб-серфингом, вредоносный аддон в фоновом режиме производит проверку посещаемых сайтов на наличие эксплуатируемых уязвимостей. «В итоге плохие парни получили дорожную карту, — резюмирует Холден. — Вместо того чтобы сканировать весь Интернет, они без особого труда обрели 1,8 тыс. готовых мишеней».

Сам зловредный аддон, по свидетельству Кребса, оказался способным воровать пароли, однако этот функционал, по всей видимости, пока не включен. В настоящее время зловреда детектируют две трети антивирусов из списка VirusTotal. Mozilla со своей стороны поспешила обеспечить адекватную защиту пользователям Firefox и уже блокирует вредоносный компонент. Его отключение в браузере производится автоматически и не требует какого-либо вмешательства пользователя.

Категории: Главное, Уязвимости