更新資訊:已修復 (2007/4/2 @ 20:30)
HiNet 理財網又被植入惡意連結,此惡意連結會嘗試連至其他的網站,但目前在我的測試環境中是無法連上那些網站 (hxxp://www.ipqwe.com 和 hxxp://www.ok8vs.com),所以,無法順利執行惡意程式,不過,能不能在各位的環境中執行成功,我就不知道了。在此要注意的是 HiNet 理財網應該有系統或軟體漏洞,導致攻擊者利用此漏洞,將惡意連結寫入檔案中 (小心最近的 ANI 零時差攻擊),他們的網管或 SOC 應該要好好檢查此網站,以免消費者權益受損,至於消費者的資料有沒有外洩,就不得而知,除非他們秉持良心,公佈詳細資訊 (這樣才會進步) 。請各位暫時不要瀏覽這個網站,以免中毒,等確認他們已經修復後,會在此更新訊息。
**請幫忙通知他們,謝謝**
惡意連結是放置在 indexchart1.js 檔案中的 (hxxp://www.hiet.tw/…):
惡意程式碼的一部份為:
解碼之後,惡意程式碼的一部分為:
最後,Hinet 網站提供 ScanAlert 防駭服務 (如下圖),可能要先把自己的網站搞定,才能讓客戶放心,否則,只是花錢買心安而已 (Hinet 應該要聘請我當顧問,我可以好好幫他們檢視整個 SOC 的流程喔!開玩笑的啦,怎麼可能呢)。
文章標籤
全站熱搜
COMMENT: Hinet 網站提供 ScanAlert 防駭服務.. 感覺在自己家 都會中毒..資訊人員 是不是要打屁股 不過..感覺都是對岸跟我們合作 大陸負責入侵 台灣的負責提錢 對岸也可能用轉帳功能 直接匯款 不過..真的蠻可怕的..
COMMENT: ROGER:業安 有一事不太明白;我用firefox2.0進hinet理財網我的AntiVir並沒有傳出警告訊息,我在用ie進hinet就會正常得到AntiVir的攔截警告,這.....是不是Firefox2.0中文版有問題? 或是有用firefox2.0中文版的大大可以解答.....感恩
COMMENT: 邱大哥 我家電腦之前也中過讀,而當時nod32掃毒的結果,該檔案會連結到www.ok8vs.com這個網址,所以...真是讓我看的皮皮挫(又是ok8vs ~"~) -----
COMMENT: 目前大部分是針對IE的漏洞,Firefox 通常不會受影響,因為無法處理某些encode和VBScript的內容。你所遇到的問題可能是Firefox沒有去下載惡意檔案,所以,防毒軟體當然也就不會發現囉。
COMMENT: 請問有人分析過這個案例所用的方式跟解決的方法嗎?
COMMENT: 之前OpenBlue有分析過,我記得是利用SQL injection的方式。