Analyse neuer SQL-Attacken

SQL-Injection-Angriffe mit neuen Angriffsmustern

| Autor / Redakteur: Adi Kaplou, Eliran Goshen* / Peter Schmitz

SQL-Injections nutzen Sicherheitsschwachstellen in Anwendungssoftware und können für Angriffe auf SQL-Datenbanken aller Art verwendet werden.
SQL-Injections nutzen Sicherheitsschwachstellen in Anwendungssoftware und können für Angriffe auf SQL-Datenbanken aller Art verwendet werden. (Bild: adimas - Fotolia.com)

SQL-Injection-Angriffe auf Datenbanken, bei denen bösartige SQL-Abfragen zur Ausführung in ein Eingabefeld eingegeben werden, gehören zu den weltweit häufigsten Angriffsvektoren. Sicherheitsexperten zeigen, welche Entwicklungen es in den letzten Monaten gegeben hat und worauf sich IT-Verantwortliche einstellen müssen.

Vor einem Jahr hat das Check Point-Forscher Team ein automatisches SQL-Injection Tool namens „Havij“ (Karotte) analysiert und allgemein aufgezeigt, wie sich SQL-Injection basierte Attacken abwehren lassen. Inzwischen hat sich einiges getan und SQL-Injection-Angriffe nehmen zu. Welche Entwicklungen es in den letzten Monaten gegeben hat und worauf sich Sicherheits-Verantwortliche einstellen müssen, schildern die Experten von Check Point im folgenden Beitrag.

SQL-Injection-Angriffe, bei denen bösartige SQL-Abfragen zur Ausführung in ein Eingabefeld eingegeben werden, gehören zu den weltweit häufigsten Angriffsvektoren. SQL-Injections nutzen Sicherheitsschwachstellen in Anwendungssoftware und können für Angriffe auf SQL-Datenbanken aller Art verwendet werden.

Im vergangenen Jahr hat Check Point für seine IPS-Software-Blade mehrere angepasste Schutzfunktionen gegen SQL-Injections entwickelt. Die Analyse des Verkehrs, der diese Schutzfunktionen in den durch Managed Security Service von Check Point überwachten Netzwerken auslöste, ermöglichte das Erkennen aktueller Trends und Muster von versuchten SQL-Injection-Angriffen.

SQL-Injection durch Werbeanzeigen

Laut reddit.com zwingt dieser Angriffsvektor die angegriffenen Server, Anzeigen zu hosten. Die Check Point IPS-Schutzfunktion „SQL Servers MySQL Vendor-specific SQL Injection“ fand HTTP-Anforderungen im ermittelten Verkehr, der die Zeichenfolge „Wo man die Abtreibungspille kaufen kann“ enthielt. Einer der Berichte deutet an, dass diese Kampagne nicht neu ist und bereits im Juli 2014 als Spam-Kampagne aktiv war (per inman.com).

SQL-Injection durch Werbeanzeigen: Vollständige Quelle
SQL-Injection durch Werbeanzeigen: Vollständige Quelle (Bild: Check Point)

Gemeinsame Erkennung durch mehrere Schutzfunktionen

Die zwei Funktionen „SQL Servers MySQL Vendor-specific SQL Injection“ und „SQL Servers SQL Injection Evasion Techniques“ ermittelten einen Angriffsversuch zum Schutz vor SQL-Injections. Ausgelöst wurden diese beiden Schutzfunktionen von Verbindungen, die die gleiche HTTP-Anforderung enthielten, wie oben gezeigt:

Beispielcode eines Angriffsversuchs zum Schutz von SQL-Injections
Beispielcode eines Angriffsversuchs zum Schutz von SQL-Injections (Bild: Check Point)

Diese Schutzfunktionen wurden nacheinander und von denselben IP-Quelladressen ausgelöst. Hierbei handelt es sich jedoch keinesfalls um den einzigen Fall, bei dem mehr als eine Schutzfunktion Versuche zur Ausnutzung von SQL-Schwachstellen erkennt. Die Analyse mehrerer, in überwachten Netzwerken entdeckter Angriffsversuche, zeigt, dass der Angreifer versucht, jeweils mehrere SQL-Schwachstellen gleichzeitig auszunutzen.

Einige der Schutzfunktionen, von denen mindestens je vier zusammen ausgelöst wurden, sind im Folgenden aufgeführt:

  • 1. SQL Servers Blind SQL Injection
  • 2. SQL Servers MySQL Vendor-specific SQL Injection
  • 3. SQL Servers SQL Injection Evasion Techniques
  • 4. SQL Servers UNION Query-based SQL Injection
  • 5. SQL Servers Oracle Vendor-specific SQL Injection
  • 6. SQL Servers Unauthorized Commands SQL Injection
  • 7. SQL Servers Time-based SQL Injection
  • 8. SQL Servers Stack Query SQL Injection

Havij Tool-Erkennung durch mehr als eine SQL-Injections- Schutzfunktion

Bei einigen der von der Schutzfunktion „SQL Servers UNION Query-based SQL Injection“ entdeckten Angriffe gab es einen wiederholten hexadezimalen Text in den HTTP-Anforderungen:

‚31303235343830303536’ - die entschlüsselte Zeichenfolge lautet: 1025480056. Diese Zeichenfolge wurde dem Havij SQL-Injection-Tool zugeordnet (stackexchange.com, isc.sans.edu). Hinzu kommt, dass diese Schutzfunktion zur gleichen Zeit ausgelöst wurde, in der der Traffic entdeckt wurde, der das automatisierte Havij SQL-Injection-Tool verwendete. Das Havij-Tool findet im Verlauf von SQL-Injection-Angriffen breite Anwendung. Daher bedeutet jede Erkennung seiner Aktivität einen weiteren Schritt im Bewusstsein und im Umgang mit einem SQL-Injection-Angriff.

Nächste Seite: Die neuesten SQL-Injection Muster ‚in freier Wildbahn’

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43419136 / Sicherheitslücken)