Атака на ASP.NET сайты - заражено более 1 млн. страниц

asp.net Security взлом
Атака на ASP.NET сайты - заражено более 1 млн. страниц
Для заражения сайтов злоумышленники используют SQL-инъекцию. После удачной эксплуатации уязвимости, злоумышленники подключают вредоносный файл urchin.js с внешнего сервера. Вследствие компрометации в базу данных приложения внедряется следующий код:
[CODE] [/CODE]
Вот список адресов, которые были замечены в атаке
  • 94.102.52.27 (недоступен)
  • nbnjkl.com (146.185.248.3 - активен)
  • jjghui.com (недоступен)
  • nbnjki.com (146.185.248.3 - активен)
Загружаемый с внешнего сервера обфуцированный JavaSscript сценарий выглядит следующим образом:
[IMG ID=771]
Новый пейлоад генерируется каждые несколько минут.
Декодированный JavaScript выглядит так:

В результате пользователь перенаправляется на сайт www3.strong-scanervqh.rr.nu(178.32.238.105), где ему отображается предложение просмотреть видео. При нажатии на кнопку просмотра видео, пользователю предлагают установить Flash Player.

После нажатия на кнопку установки на систему скачивается файл scandsk.exe (MD5: 351a3810958285c37b72a30d4769dfdd) с сайта www1.firsttdchecker.rr.nu (217.23.11.219), который, согласно данным VirusTotal, читается опасным только 7 из 42 антивирусных приложений.

Согласно поисковой статистике Google, скомпрометировано более 1 млн. страниц. Все скомпрометированные сайты работают на ASP.NET.
Изображение:
asp.net Security взлом
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь
article-title

Валерий Марчук

Блог посвящен безопасности и жизни секлаба