Анализ техник и инструментов хакерских атак, отчёт Imperva

Компания Imperva выпустила обновлённую редакцию аналитического отчёта Web Application Attack Report (PDF), в котором представлен анализ техник и инструментов хакерских атак на публичные веб-сайты в июне-ноябре 2011 года.

Специалисты отмечают, что количество сетевых атак продолжает расти. По их опыту, любой крупный веб-сайт «прощупывается» хакерами каждые несколько минут. В целом по интернету общее количество хакерских атак за месяц они оценивают примерно в 38 тыс. (в ноябре 2011 года), то есть десять атак в секунду.

Хакеры используют свободно доступные в онлайне программы для автоматического сканирования сайтов на уязвимости, при этом в последнее время увеличилось количество проверяемых уязвимостей. Эксперты упоминают о двух таких программах:

1. FBPwn: созданная в Египте программа автоматически создаёт копии аккаунтов Facebook, френдит пользователей и извлекает персональные данные у тех, кто принимает запрос на дружбу.
   
   
2. Retrief: инструмент, разработанный хактивистской группой Anonymous, автоматизирует атаки типа SQL Injection с целью вывести сайт из строя. Таким образом, успешная DDoS-атака может быть проведена не армией ботом, а всего одним хакером.
   

Самыми распространёнными классическими видами атак являются следующие пять:

1. Remote File Inclusion (RFI)
   
2. SQL Injection (SQLI)
   
3. Local File Inclusion (LFI)
   
4. Cross Site Scripting (XSS)
   
5. Directory Traversal (DT)
   

Наиболее популярны две последних — XSS и DT.

Отдельно исследователи отмечают два вида атак типа BLA (Business Logic): извлечение e-mail'ов (EmExt) и спам в комментариях (ComSpm). Они непосредственно не являются взломом сайта, а представляют собой вредоносный трафик, эксплуатирующий естественную функциональность сайтов. Относительное соотношение всех видов атак показано на диаграмме.


Интересно, что анализ географических источников атак показывает особенную популярность спама в комментариях у российских и украинских злоумышленников (количество атак в тысячах).


Отчёт Imperva составлен на основе шестимесячного мониторинга трафика для 40 веб-приложений.