Атака на ASP.NET сайты - заражено более 1 млн. страниц

asp.net Security взлом
Атака на ASP.NET сайты - заражено более 1 млн. страниц
Для заражения сайтов злоумышленники используют SQL-инъекцию. После удачной эксплуатации уязвимости, злоумышленники подключают вредоносный файл urchin.js с внешнего сервера. Вследствие компрометации в базу данных приложения внедряется следующий код:
[CODE] [/CODE]
Вот список адресов, которые были замечены в атаке
  • 94.102.52.27 (недоступен)
  • nbnjkl.com (146.185.248.3 - активен)
  • jjghui.com (недоступен)
  • nbnjki.com (146.185.248.3 - активен)
Загружаемый с внешнего сервера обфуцированный JavaSscript сценарий выглядит следующим образом:
[IMG ID=771]
Новый пейлоад генерируется каждые несколько минут.
Декодированный JavaScript выглядит так:

В результате пользователь перенаправляется на сайт www3.strong-scanervqh.rr.nu(178.32.238.105), где ему отображается предложение просмотреть видео. При нажатии на кнопку просмотра видео, пользователю предлагают установить Flash Player.

После нажатия на кнопку установки на систему скачивается файл scandsk.exe (MD5: 351a3810958285c37b72a30d4769dfdd) с сайта www1.firsttdchecker.rr.nu (217.23.11.219), который, согласно данным VirusTotal, читается опасным только 7 из 42 антивирусных приложений.

Согласно поисковой статистике Google, скомпрометировано более 1 млн. страниц. Все скомпрометированные сайты работают на ASP.NET.
Изображение:
asp.net Security взлом
Alt text

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!
article-title

Валерий Марчук

Блог посвящен безопасности и жизни секлаба