अपना पासवर्ड भूल गए
नया यूजर
नाइन बॉल ने 40000 से अधिक वैध वेब साइटस् को कॉम्प्रमाइज़ किया
Last Updated on:
Apr 08, 2010 12:45 PM
Websense सुरक्षा लेबोरेटरीज ™ ThreatSeeker ™ नेटवर्क ने Beladen और Gumblar आक्रमणों के बाद एक और व्यापक मास इंजेक्शन आक्रमण (जो विशाल व्यापक स्तर पर एक साथ कई हजार उपयोगकर्ताओं को क्षति पहुँचा सकता है) को खोज लिया है। हम इस मास कॉम्प्रमाइज़ को अंतिम लैंडिंग साइट की वजह से नाइन बॉल कहते हैं पर हम 6/03/2009 से नाइन बॉल मास कॉम्प्रमाइज़ को खोज रहे हैं। आज की तिथि तक, 40000 से भी अधिक वैध वेब साइटस् को ऑफसकेटेड कोड के साथ कॉम्प्रमाइज़ किया गया है जो कि एक बहुस्तरीय पुननिर्देश आक्रमण की ओर ले जाता है, जो उपयोगकर्ता की मशीन पर एक ट्रोजन डाउनलोडर ड्राइव-बाई श्रृंखला में समाप्त होता है।
संक्रमित वेब साइटस् की संख्या:
यदि उपयोगकर्ता/प्रयोक्ता संक्रमित साइटस् में किसी एक को विजिट करता है, तो उन्हें आक्रमणकारी के स्वामित्वयुक्त विविध साइटस् की एक श्रृंखला के माध्यम से पुनः निर्देशित कर दिया जाता है जहाँ अंतिम लैंडिंग कोड होता है (यह पुर्ननिर्देशन शोषण पथ नीचे दिखाया गया है)। अंतिम लैंडिंग पृष्ठ आगंतुक का आईपी पता रिकॉर्ड कर लेता है। पहली बार विजिट करने पर, उपयोगकर्ता को पेलोड साइट पर पुनर्निर्देशित किया जाता है। परंतु दोबारा एक ही आईपी से विजिट किया जाए तो उपयोगकर्ता ask.com की साइट करने के लिए निर्देशित किया जाता है।
इन वैध वेब साइटस् में अंतःक्षिप्त यह ऑफसकेशन (obfuscation) कोड कुछ यादृच्छिक है, लेकिन सभी संक्रमणों में डीऑफसकेशन अल्गोरिदम निरंतर है। यह अल्गोरिदम दशमलव मूल्यों का एक हिस्सा एक स्ट्रिंग में कन्वर्ट करने के लिए जावा स्क्रिप्ट विधि ‘String.fromCharCode का उपयोग करता है।’ इस deobfuscation के बाद प्राप्त होनेवाली स्ट्रिंग एक आइफ्रेम है जो अंततः एक साइट शोषण की ओर ले जाती है। इंजेक्टेड साइट का एक उदाहरण यहाँ है:
इन वैध वेब साइटस् में अंतःक्षिप्त यह ऑफसकेशन (obfuscation) कोड कुछ यादृच्छिक है, लेकिन सभी संक्रमणों में डीऑफसकेशन अल्गोरिदम निरंतर है। यह अल्गोरिदम दशमलव मूल्यों का एक हिस्सा एक स्ट्रिंग में कन्वर्ट करने के लिए जावा स्क्रिप्ट विधि ‘String.fromCharCode का उपयोग करता है।’ इस deobfuscation के बाद प्राप्त होनेवाली स्ट्रिंग एक आइफ्रेम है जो अंततः एक साइट शोषण की ओर ले जाती है। इंजेक्टेड साइट का एक उदाहरण यहाँ है:
पुनर्निर्देशन (Redirection) के बाद, एक्सप्लॉइट पेलोड साइट उच्च दुर्भावनापूर्ण कोड obfuscated साइट वापस लाती है। यह दुर्भावनापूर्ण कोड MS06-014 का शोषण करने का प्रयास करता है (MDAC लक्ष्यीकरण के साथ) और CVE-2006-5820 (AOL SuperBuddy लक्ष्यीकरण), और साथ ही Acrobat Reader और QuickTime का लक्ष्यीकरण कर के एक्सप्लॉइटस् की नियुक्ति करता है। यह MS06-014 एक्सप्लॉइट कोड निम्न एवी दर के साथ एक ट्रोजन ड्रॉपर (dropper) डाउनलोड करेगा। पता लगाने की. यह ड्रॉपर विंडोज सिस्टम फ़ोल्डर में SOCKET2.DLL नाम के साथ एक DLL छोड देगा। उपयोगकर्ता की जानकारी चोरी करने के लिए इस फ़ाइल का प्रयोग किया जाता है। एक्सप्लॉइट साइट द्वारा दी गई, इस दुर्भावनापूर्ण पीडीएफ फाइल का, भी ए वी पहचान दर बहुत निम्न है।
Websense ® संदेश और Websense वेब सुरक्षा ग्राहक इस आक्रमण के विरूध्द सुरक्षित हैं।
स्रोत: Websence Security Labs
Websense ® संदेश और Websense वेब सुरक्षा ग्राहक इस आक्रमण के विरूध्द सुरक्षित हैं।
स्रोत: Websence Security Labs
No rating set
Document Actions
Share
|
