• Revista PROGRAMAR: Já está disponível a edição #53 da revista programar. Faz já o download aqui!

herakty

Exemplo de vida real de ataque a clientes por exploração de sites-HTTP

1 mensagem neste tópico

Tutorial: Real Life HTTP Client-side Exploitation Example

Exemplo de vida real de ataque a clientes por exploração de sites-HTTP

nota introdutória: sabiam que são os utilizadores comuns que enviam todo esse spam que nós recebemos? como é obvio eles não sabem que estão infectados e a enviar spam, pois já tinha anulado o worm dedicado a fazer relay de emails... são utilizadores que são infectados por diversas técnicas, que estão nos seus PC´s a servir de sistema de enviu ao serviço de spammers. isto porque há quem ache que tudo isto é mitologia e não realidade

um exemplo que mostra a grandiosidade dos numeros:

Worm      PC´s infectados/Zoombies      capacidade de emails enviados por dia 

Conficker 10,000,000+[8]                10 billion/day

IN: Botnet´s at wikepedia  (botnet é o nome que se dá a redes de milhões de pc´s infectados com determinado worm que é gerido remotamente pelo atacante)

http://en.wikipedia.org/wiki/Botnet

Vou apresentar um tutorial passo-a-passo de uma situação destas, que é o atacante infectar um servidor que depois infecta quem o visita

o malware pode usar diversos vectores para infecção, pois é composto por varias partes e técnicas. pode ser composto por um exploit de vulnerabiliade de rede que se auto-propaga para quem têm esse serviço exposto ou pode-se propagar através do que vou falar neste tópico (o cracking é como um lego... montes de peças que se podem montar de diversas formas e isso aumento em mt a dificuldade de uma boa defesa. mas nunca há 100% de defesa :D)

não vou dizer muito mais pois está lá tudo (alguem duvida da fonte? SANS) e já falei tanto sobre estas técnicas que pouco mais tenho a acrescentar. vou só resumir para introduzir (a minha ideia de resumir é questionável :))

é abordado o mais recente vector de ataque... segurança e defesa é como o gato e o rato e se as defesas vão subindo, as técnicas de ataque ultrapassam-nas

como a maioria das pessoas quer tirar partido da web visita sites como foruns, blogs, wikis, sites socias e qualquer outro site, que tiram partido de complexas tecnologias (vou falar de exemplos, mas não se está a dizer que é apenas com estes componente... isto para não aparecer logo alguem a dizer que usa NOSCRIP e tal... mt coisa pode ser explorada sem proteção, como têm vindo a ocorrer varios casos de vulnerabilidades em browsers como o IE e o Firefox, mas também nos seus componente e sub-aplicações que usam (ver uma simples imagem pode ser sufeciente... tenho um exploit desses que já dispoibilizei noutro topico, media players diversos, cenas tipo adobe reader e até casos de drivers explorados)

um exemplo recente para firefox em linux e windows é este (Mozilla Firefox XSL Parsing 'root' XML Tag Remote Memory Corruption Vulnerability)

analisem o exploit e vejam que basta que o utilizador aceder aos ficheiros e já está...depois de ser publico é corrigida a vulnerabilidade mas claro que no underground andam mts que não são ainda publicos...a infecção, ou seja a leitura dos ficheiros pode acontecer visitando um site, lendo em email... então no caso de andarem na rede do visinho nem se fala, pois é tão simples redirecionar para o exploit :)

http://www.securityfocus.com/bid/34235/exploit

http://www.milw0rm.com/exploits/8285

o atacante ataca o site que é a parte simples e pode ser conseguido com uma plataforma e exploit "out-of-the-box" devido ao facto destes servidores não serem actualizados regularmente

depois o servidor é infectado com algo que se destina a infectar o cliente/visitante desse site. pode-se alterar uma pagina do site para chamar ficheiros maliciosos ou até há mesmo casos de se postar em foruns/blogs ou sites sociais ligações a esses ficheiros, sem que o utilizador se aperceba de nada

In Step 0, the attacker begins by placing content on a trusted third-party website, such as a social networking, blogging, photo sharing, or video sharing website, or any other web server that hosts content posted by public users. The attacker's content includes exploitation code for unpatched client-side

e atenção que não há limites... muitas outras coisas como outros componentes podem ser explorados...

Step 1: Client-Side Exploitation

In Step 1, a user on the internal Acme Widgets enterprise network surfs the Internet from a Windows machine that is running an unpatched client-side program, such as a media player (e.g., Real Player, Windows Media Player, iTunes, etc.), document display program (e.g., Acrobat Reader), or a component of an office suite (e.g., Microsoft Word, Excel, Powerpoint, etc.). Upon receiving the attacker's content from the site, the victim user's browser invokes the vulnerable client-side program passing it the attacker's exploit code. This exploit code allows the attacker to install or execute programs of the attacker's choosing on the victim machine, using the privileges of the user who ran the browser. The attack is partially mitigated because this victim user does not have administrator credentials on this system. Still, the attacker can run programs with those limited user privileges.

pela minha experiencia acho que a maioria dos utilizadores usa previlegios de administração mas como podemos ver mesmo que não seja o caso pode ser infectado. há tb técnicas para elevação de previlégios

enfim... NÃO QUERO CRIAR um cenario de fim do mundo, mas antes alertar para estes novos perigos, pois acho ser a melhor forma de nos protegermos. e tenho visto que a maioria dos surfistas da web não sabem sequer da existencia destas coias :P

uma das coisas que mais faço é ajudar pessoas amigas que me chamam por estarem completamente infectados de worms, trojans, virus... e todos dizer "eu uso anti-virus e não vou a sites estranhos"... pois... não é sufeciente...

os Anti-virus só detectam o que conhecem (por assinaturas) e os sites que visitamos podem estar infectados sem que os donos o saibam

vejam os detalhes aqui  (pelo forum Portugal a programar há muitos posts que explicam técnicas ao detalhe) é normal não se ir aos primeiros posts mas digo que nesta secção há mts bons tópicos logo no inicio. vale a pena ir lá ver

http://www.sans.org/top-cyber-security-risks/#tutorial

teckV

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Crie uma conta ou ligue-se para comentar

Só membros podem comentar

Criar nova conta

Registe para ter uma conta na nossa comunidade. É fácil!


Registar nova conta

Entra

Já tem conta? Inicie sessão aqui.


Entrar Agora