SQL注入(SQLi)利用不安全 Web App 和資料庫驅動的類似軟體,抽取或篡改資料(如使用者賬戶記錄),甚至在伺服器上執行Shell指令。
這是合法使用者和攻擊者送出的代碼,沒有經過驗證和清晰所導緻的結果。被攻擊軟體或許期待的是一個訂單号,而黑客發過去的卻是一條SQL語句,而這惡意代碼片段被包含到接下來的資料庫查詢中,讓伺服器按黑客的指令吐出敏感資料或執行他/她期待的動作。
據所掌握的資訊可知,使用者可租用喀秋莎掃描器專業版(Katyusha Scanner
Pro)每月200美元租金;或者在自己的系統上安裝一個,500美元。該軟體使用免費滲透測試工具Anarchi掃描器對網站執行SQLi攻擊。最重要的是,它能通過Telegram即時消息系統進行控制。
是以,基本上,使用者可以在聯網伺服器上執行喀秋莎——無論是租用還是自己安裝,然後用Telegram發送指令——比如攻擊somepoorbastard.biz或mydietpillsnotascam.org之類的網站,直到命中一個有漏洞的網站。如果有專業版,還可以自動抽取登入憑證和内部資料庫内容。輕量級版本也可用——隻要你覺得自己可以利用任何已知漏洞。
這基本上意味着,沒有技術背景的罪犯,也能很容易地用手機對無數公司企業發起攻擊。如上所述,可通過Web門戶控制,也可以通過Telegram文字消息控制。威脅情報公司
Recorded Future 的研究人員,是在暗網最封閉的隐藏黑客論壇上發現該軟體包的售賣的。
Recorded Future 在部落格中解釋稱:“在黑客過程可通過标準Web接口控制的同時,喀秋莎掃描器的獨特功能,還能讓罪犯上傳目标網站清單,對多個目标發起同步攻擊,通過Telegram并行無縫地進行控制。”
該技術受到了腳本小子的一緻好評,其專業的客戶支援也收到了極高贊譽。當然,經驗老道的網絡罪犯,也可以在他們的智能手機或平闆上用SSH隧道做到這些;但喀秋莎實在是太易用了——令人擔憂的地方正在于此。
攻擊示範:某人通過telegram控制喀秋莎
掃描完成後,喀秋莎會對每個發現的目标顯示Alexa網站評級,提供所發現Web安全漏洞的潛在重要性與利用可能性指南。
喀秋莎掃描器這種高度健壯又不貴的線上工具,降低了網絡攻擊的技術門檻,隻會進一步惡化各公司遭受的資料洩露問題,凸顯出定期基礎設施安全審計的重要性。
資訊安全廠商 Positive Technologies
的一份調查研究顯示,2017年第一季度流傳最廣的攻擊形式就是SQLi和跨站腳本攻擊,各占被檢測攻擊總數的1/3。該報告将政府機構的Web應用列為了黑客首要攻擊目标,其後是IT公司和金融機構,教育機構排在第四位。
注:喀秋莎這個工具名,映射的是蘇聯在二戰期間研發的一款标志性多管火箭發射器,以其隐秘性和破壞性成為了納粹軍隊的噩夢。
本文作者:nana
來源:51CTO