Sql-aanval Lilupophilupop die begin december 2011 werd ontdekt, heeft wereldwijd al 450.000 websites besmet. Volgens securitywebsite Internet Storm Center zijn er met 123.000 stuks vooral Nederlandse domeinnamen geïnfecteerd.
Er wordt op een internetpagina een link geplaatst die verwijst naar de site lilupophilupop.com. Vervolgens worden bezoekers met een nep-virusscanner geïnfecteerd. Op 12 december 2011 waren er nog maar veertienduizend Nederlandse sites getroffen, wat inhoudt dat het aantal besmettingen hier de afgelopen tijd explosief is gestegen.
Volgens Tweakers.net is er nog geen verklaring voor het grote aantal Nederlandse sites dat besmet is. De malware zou gedeeltelijk geautomatiseerd werken en dat kan erop wijzen dat er gericht aanvallen worden gedaan op Nederland. Bovendien geeft Internet Storm Center aan dat er waarschijnlijk een lange voorbereiding zit in deze Lilupophilupop-aanval.
“De malware zou gedeeltelijk geautomatiseerd werken en dat kan erop wijzen dat er gericht aanvallen worden gedaan op Nederland”
Software die automatisch 🙂 werkt is speciaal gericht op Nederland??
Software die automatisch 🙂 werkt is speciaal gericht op Nederland??
————————————————————————
De malware zou gedeeltelijk geautomatiseerd werken en dat kan erop wijzen dat er gericht aanvallen worden gedaan op Nederland.
Wat een vragen roept dit artikel op… Hoe werkt die SQL aanval dan in combinatie met malware? Ik vind dat raar, onder een “SQL (injectie?) aanval” verwacht ik een aanval op mijn database server, dan zou de malware bijvoorbeeld alleen maar werken als ik op de (productie) server zit te browsen wie doet dat nou? Of worden SQL clients aangevallen? Of worden keyboard loggers, network sniffers of identity cloaks geinstalleerd die gespecialiseerd zijn in het ondervangen van SQL credentials?
Ik ben zelf maar het onderzoek gaan doen wat Computable heeft laten liggen. http://isc.sans.edu/diary.html?storyid=12127 bevat veel informatie.
Het heeft weinig met malware te maken, alles met SQL injection. Is niks nieuws onder de zon, als je geen datavalidatie doet op input formulieren kan b.v. de waarde:
“); drop database;
al problemen oplossen in
insert into table (field) value (”
Dat is een oud probleem van slecht gecodeerde webpagina’s.
De “injected SQL” werkt overigens alleen op MS SQL Server, handig om erbij te vermelden.
Op bovengenoemde link staan duidelijke instructies hoe te herkennen of je gehackt bent en wat eraan te doen. Deze informatie, op zijn minst verwijzing daarnaa, mist toch wel in dit artikel Computable! En verder nogmaals: niks nieuws onder de zon, SQL injectie is al zo oud als dat er webformulieren zijn. En ik vind de term “installeert malware” in combinatie daarmee op zijn minst verwarrend.
Happy new year, uw security specialist,
Thijs Cobben