Witajcie użytkownicy SG. Jako autor tego badania, wyjaśniam kwestie, które są niejasne:
Niektórych rzeczy nie da się wyjaśnić wprost. Trzeba zrozumieć pewne kwestie techniczne. W każdym razie uwagę przyjmuję na przyszłość. Co do przeglądarki - chociaż exploit był wykorzystany z grudnia i dotyczył wszystkich wersji FF do 51.0, to wykorzystanie exploita 0-day, który również pozwoli na RCE, da takie same rezultaty albo i jeszcze gorsze z punktu widzenia antywirusów.
Jesteś bezpieczny, ale pod warunkiem, że nie przytrafi Ci się atak, gdzie ktoś zastosuje exploita 0-day. Wtedy najlepiej zdać się na programy zabezpieczające, które chronią przed takimi atakami i posiadają wielowarstwową ochronę.
Jeśli atak był powstrzymany na poziomie przeglądarki np. [F] 1/-/-/-, to zastosowano drugi scenariusz ataku [S], gdzie te same wirusy znajdowały się na złośliwej stronie, do której użytkownik trafi, jeśli jakaś strona zostanie zhackowana i będzie zawierać szkodliwy redirect:
zaufana strona -> przejęcie kontroli nad stroną przez hakerów -> umieszczenie w kodzie strony przekierowania -> użytkownik jest przekierowywany do zainfekowanej strony.
W przypadku scenariusza drugiego, [S], chcieliśmy sprawdzić, czy jest jakaś różnica w ochronie pomiędzy wirusem, który zostanie pobrany przez przeglądarkę i uruchomiony, i tym sam wirusem, który zostanie pobrany na zainfekowaną maszynę i uruchomiony w wyniku uzyskania dostępu do powershella. I okazuje się, że różnice są znaczne.
W przypadku pierwszego ataku [F], gdzie dostęp zdalny do maszyny uzyskiwano poprzez zastosowanie exploita i przeniesienia payloadu (tutaj mamy faktycznie do czynienia z drive-by download), dostęp do interpretera powershell daje przestępcy ogromne możliwości. I większość popularnych antywirusów nie radzi sobie z tym.
(25.06.2017, 10:12)karola napisał(a):[Aby zobaczyć linki, zarejestruj się tutaj]
Może i ciekawy ale tak zagmatwany i niejasno wytłumaczony, że pewnie z 90% czytelników nie przebrnie przez pierwszą stronę opisu sobie daruje czytanie. Czy dobrze rozumiem, że jeśli mam najnowszą wersję Firefoxa, to mechanizm ataku, który jest opisany w tekście mnie na dzień dzisiejszy nie dotyczy? Czy dotyczy? Tak się atakuje masowo (tysiące maili z linkami), czy to atak skierowany na kogoś konkretnego?
Niektórych rzeczy nie da się wyjaśnić wprost. Trzeba zrozumieć pewne kwestie techniczne. W każdym razie uwagę przyjmuję na przyszłość. Co do przeglądarki - chociaż exploit był wykorzystany z grudnia i dotyczył wszystkich wersji FF do 51.0, to wykorzystanie exploita 0-day, który również pozwoli na RCE, da takie same rezultaty albo i jeszcze gorsze z punktu widzenia antywirusów.
(25.06.2017, 11:07)karola napisał(a):[Aby zobaczyć linki, zarejestruj się tutaj]
Czyli test ma charakter rozważań akademickich i przy aktualnej przeglądarce nie ma się co nim przejmować? Takie testowanie skuteczności wykrywania wirusów DOSowych?Dobrze rozumuję?
Jesteś bezpieczny, ale pod warunkiem, że nie przytrafi Ci się atak, gdzie ktoś zastosuje exploita 0-day. Wtedy najlepiej zdać się na programy zabezpieczające, które chronią przed takimi atakami i posiadają wielowarstwową ochronę.
(25.06.2017, 12:02)zord napisał(a):[Aby zobaczyć linki, zarejestruj się tutaj]
Nie do końca rozumiem ten test miało być driveby a potem autor wyjaśnia że jeśli atak został powstrzymany już na poziomie przeglądarki to po prostu pobierał i ręcznie uruchamiał zainfekowane pliki.
Jeśli atak był powstrzymany na poziomie przeglądarki np. [F] 1/-/-/-, to zastosowano drugi scenariusz ataku [S], gdzie te same wirusy znajdowały się na złośliwej stronie, do której użytkownik trafi, jeśli jakaś strona zostanie zhackowana i będzie zawierać szkodliwy redirect:
zaufana strona -> przejęcie kontroli nad stroną przez hakerów -> umieszczenie w kodzie strony przekierowania -> użytkownik jest przekierowywany do zainfekowanej strony.
W przypadku scenariusza drugiego, [S], chcieliśmy sprawdzić, czy jest jakaś różnica w ochronie pomiędzy wirusem, który zostanie pobrany przez przeglądarkę i uruchomiony, i tym sam wirusem, który zostanie pobrany na zainfekowaną maszynę i uruchomiony w wyniku uzyskania dostępu do powershella. I okazuje się, że różnice są znaczne.
W przypadku pierwszego ataku [F], gdzie dostęp zdalny do maszyny uzyskiwano poprzez zastosowanie exploita i przeniesienia payloadu (tutaj mamy faktycznie do czynienia z drive-by download), dostęp do interpretera powershell daje przestępcy ogromne możliwości. I większość popularnych antywirusów nie radzi sobie z tym.