Näkymättömien iFrame-kehysten lukitseminen

Ajo-haittaohjelmia käsittelevän seminaarin aikana puhuja kosketti lyhyesti iFrameja; mainitsemalla, että ne ovat näkymättömiä, vaikeasti havaittavissa, ja syy siihen, miksi ajettu haittaohjelma on niin onnistunut.

Kuunnellessani tajusin, etten tiennyt kuinka iFrames toimi ja mitä hän tarkoitti näkymättömäksi. Se, joka sitoutuu "Tunne vihollisesi", se ei ole hyvä. Juuri silloin päätin muuttaa sen.

iFrameja

Ensimmäinen asia, jonka löysin: miljoonat verkkosivustot sisältävät iFrame-kehykset, mutta ne ovat näkyviä . Iframe (Inline Frame) on määritelmän mukaan HTML-tunniste, joka mahdollistaa HTML-asiakirjan upottamisen toisen sisälle. IFrame-elementti lisää sisältöä toisesta lähteestä, kuten mainosta, iFrame-sisältöä sisältävälle verkkosivulle. Tässä on esimerkki:

Tämä koodi lisää seuraavan:

Okei, mutta miten iFrame voidaan tehdä näkymättömäksi? Pyysin tätä varten tunnetuilta turvallisuusanalyytikoilta ja DeepEnd Researchin perustajilta André M. DiMinolta apua:

Tässä on miltä todellinen (elää tässä kirjoituksessa, mutta ei-fanged) näkymätön iframe näyttää:
 Itse iframe-kehyksessä ei ole haittaohjelmia, on vain linkki toiseen sivustoon, joka yrittää hyödyntää sitä. 

Joten koodi, joka määrittelee leveyden = 0 ja korkeuden = 0, saa iFramen katoamaan. Ja syy siihen, että iFrame katoaa, on estää uhria näkemästä hyväksikäyttökoodia isännöivää verkkosivua oikeutetun verkkosivun näkyvän osan keskellä.

Kysyin Andrelta, olisiko käyttäjän aktivoitava iFrame:

Ei, hyväksikäyttö voi asentaa ja suorittaa haittaohjelmat ilman käyttäjän tietämystä. Pelkkä verkkosivustolla käynti muodostaa yhteyden uudelleenohjaussivustoon. Kun uudelleenohjaus on tehty, hyväksikäyttö asentuu hyödyntämällä käyttäjän selaimen tai laajennuksen haavoittuvuutta.

Istuttaa haitallisia iFrame-kehyksiä

Saan nyt kuinka iFrameista tulee näkymättömiä. En saa sitä, miten iFrame sijoittuu. Mainitsin tämän Lenny Zeltserille, veteraanien turvallisuusammattilaiselle, kirjailijalle ja SANS-ohjaajalle. Hän tarjosi seuraavan selityksen:

Hyökkääjät voivat luoda haitallisen verkkosivuston, mutta heidän on tuotava kävijät kyseiselle verkkosivustolle. Tämä voidaan tehdä monin tavoin. Hyökkääjä voi esimerkiksi käyttää aggressiivisia SEO-tekniikoita haitallisen sivuston näyttämiseksi hakutuloksissa.

Toinen lähestymistapa sisältää haitallisten mainosten sijoittamisen. Hyökkääjän mainos voi sisältää koodin, joka ohjeistaa uhrin selainta vierailemaan vahingollisella verkkosivustolla.

Kiinnostunut menetelmä sisältää laillisen verkkosivuston käyttämisen ohjaamaan kävijöitä haitalliselle verkkosivustolle. Hyökkääjä saattaa vaarantaa laillisen sivuston käyttämällä tekniikoita, kuten SQL-injektiota, näkymättömien iFrame-kehyksien lisäämiseksi, jotka ohjaavat vierailijat automaattisesti sivustolle, joka isännöi hyväksikäyttöä.

Mitä voimme tehdä?

Kysyin Andréltä ja Lennyltä, voisimmeko tehdä jotain estääksemme haittaohjelmia? He tekivät seuraavat ehdotukset:

  • Pidä tunnettujen haitallisten verkkosivustojen luetteloita. (Toimiva, mutta täysin reaktiivinen)
  • Tutustu tietoturvatyökaluihin, jotka tutkivat verkkoliikennettä käyttäytymis- ja heuristisen analyysin avulla. (Parempi, mutta kallis ja edelleen reaktiivinen)
  • Varmista, että kaikki tietokoneet - myös verkkopalvelimet - ovat kunnolla paikoillaan. (Paras, ellei nollapäivää)

André mainitsi myös NoScriptin kaltaisista työkaluista. Se oli kaikki mitä tarvitsin. Minulla on ollut tarkoitus nähdä, oliko Nocriptin luoja Giorgio Maone paremmin. Tässä on mitä Giorgion oli sanottava:

NoScript suojaa tätä vastaan, koska tietylle sivulle annetut oikeudet eivät ole asteikolla sen sulkeumille ja sulautuksille (mukaan lukien iFrames) eri lähteistä. Siksi, vaikka vaarannettu sivusto olisi sallittujen luetteloissa, hyökkääjän hallinnassa oleva kolmannen osapuolen sivusto on edelleen estetty.

Minulta kysytään usein, miksi "Salli kaiken tämän sivun" NoScript-komento on toistettava useita kertoja ennen kaikkien lähteiden lukituksen poistamista. Tämä johtuu siitä, että NoScript antaa luvan vain resursseihin, joita näet valikossa, kun annat komennon, sen sijaan, että antaisi ilmaisen passin sisältölle, jonka alkuperä on tuntematon.

Tällä tavalla sinulle annetaan aina mahdollisuus tutkia jokaista alkuperää ennen sallimista (esim. Napsauttamalla keskellä sen "Salli xyz.com" -valikkokohtaa), eikä oikeuksia voida koskaan antaa sokeasti.

Mitä se tarkoittaa?

Ohitetun haittaohjelman tavoitteena on ottaa väliaikainen hallinta kohteen selaimeen; pakota se sitten lataamaan ja suorittamaan haittaohjelma ilman uhrin tietämistä. Onneksi koko toiminta riippuu näkymättömistä iFrameista. Jos voimme avata ne, koko prosessi hajoaa.

Haluaisin käyttää hetken ja kiittää kolmea herraa heidän avustaan. Olen tuntenut jokaisen jo jonkin aikaa, ja heidän asiantuntemuksensa ja avunhalukkuutensa arvostetaan.

© Copyright 2020 | mobilegn.com