16 907
Tesztek Android Google Apple Microsoft Samsung Huawei Linux Okostelefon Biztonság Tudomány Facebook Videojáték Film
https://lh3.googleusercontent.com/-O6SzV_EhAbY/UPG6_aC2mNI/AAAAAAAACQQ/4weoCW3CDI4/s800/blackhole_snippet.png

Blackhole exploit kit: A hackerek kincsesládája

Black Cell Kft.2013.01.12. 20.40
https://lh3.googleusercontent.com/-O6SzV_EhAbY/UPG6_aC2mNI/AAAAAAAACQQ/4weoCW3CDI4/s800/blackhole_snippet.pngAz elmúlt néhány évben a malware-ek száma drasztikus mértékben nőtt, köszönhetően igen nagy részben az automatizált eszközkészleteknek, az exploit kiteknek. Ezek a programok és szolgáltatások azzal a céllal lettek megalkotva, hogy leegyszerűsítsék a kártékony, ártalmas kódok létrehozását és disztribúcióját, valamint, hogy lehetőséget biztosítsanak fertőzött számítógépek, botnetek rendszerszerű menedzselésére.

A Blackhole 2010-es megjelenése óta napjaink leginkább elterjedt exploit kit-jévé vált, amit a támadó arra használ, hogy telepítse a programját az áldozat PC-jére, ami legtöbb esetben egy ártalmas payload. Ahogy a neve is sugallja, egy olyan eszköz arzenálról beszélünk, mely a számítógépek sérülékenységeit aknázza ki.

Érdekes módon azok az emberek, akik megírták, nem azok, akik használják is. Nekik szimplán az az üzlet, hogy az exploit kiteket és hozzájuk kapcsolódó szolgáltatásokat eladják a „kiberbűnözőknek”. Javarészt Saas-ként (software as a service) értékesítik, amit három, hat, és tizenkét hónapos licencel tudunk vásárolni, bérelni számos különböző variációban, melyek tartalmazzák a frissítéseket, prémium csomag esetén pedig a nulladik napi (zero-days) „aknákat”, amik ellen a csupán szignatúra alapú antivírus programok egyszerűen tehetetlenek. A legújabb verzióban már a mobiltelefonok és a Windows 8 sérülékenységei is támadhatóak.

Hogyan eshet a felhasználó áldozatul?

Az exploit kittel elkövetett támadások a felhasználók webes böngészését irányítják át arra az oldalra, amit a támadó kreált direkt arra a célra, hogy ráfussanak az aknájára. Sok fórumon, oldalon még maga a HTML séma (LinkedIn, Facebook, stb.) is előre le van programozva, csak fel kell használni. Ha Blackhole-ról van szó, három különböző technikával lehet elérni az elterelést:

Legitim weboldalak kompromittálása: Itt a támadó egy teljesen mezei, törvényesen működő weboldalra, szerverre helyezi el a kódját. Amikor a felhasználó ezen az oldalon böngészik, a kód csendben betölti a tartalmat az exploittal gazdagított oldalról, de a Twitter csábító linkjei között is be lehet kapni. Általában ezek az átirányításos injektálások, nem linkelnek át direktbe a Blackhole exploit oldalra. Ez az eljárás lehetőséget enged a kódolónak, hogy a felhasználót árucikként értékesítse. Ha egy cracker (hogy ne sértsek meg senkit) egy összetettebb műveletet akar elvégezni, akkor szüksége lesz botnetekre, zombikra. Számos webáruház áll a rendelkezésére, hogy bevásároljon a feladathoz, például figyelem eltereléséhez tökéletes megoldás egy 30 botnetes DOS támadás. Én személy szerint az orosz webáruházak palettáját tartom a leggazdagabbnak.

Spam üzenetek: Annak ellenére, hogy napjainkra gyakorlatilag mindenki tisztában van azzal, hogy a spam nem jó, kevesen tudják megmondani miért is nem. Így továbbra is kockázati tényezőként kell vele számolni. Sajnos igen hasznos eszköznek tud bizonyulni a támadók kezében, mivel egy egyszerű URL linkkel elindul a JavaScript, ami aztán átirányít a Blackhole oldalra vagy HTML-es csatolmányként is érkezhet.

Fogadó oldal: Akármilyen eljárást is használ a támadó a felhasználó webes forgalmának kontrollálására az eredmény ugyanaz: az áldozat böngészője betölti a kódot az explot kit fogadó oldaláról. A fogadó oldal lehet:
- Egy pénzügyi cégtől érkező fizetési felszólítás, ami átirányítja az áldozatot, aki lehet specifikus személy vagy egy adott csoport egyaránt
- Leveszi a PC-k információit – ujjlenyomatait – , hogy kiderítse az operációs rendszer típusát, böngésző, Java, Adobe Reader, Adobe Flash verzióját
- Betölti az oda illő exploit-ot, így nem kell a támadónak, Nmap-ozni és Metasploit-ban, ExploitDB-ben keresgetni, mivel ugye automata

Hogyan működik a Blackhole?

A Blackhole első komponense egy derekasan összekuszált JavaScript. Egészen egyszerűen azért, mert a JavaScript számos lehetőséget kínál a kód bújtatására és relatív könnyen beilleszthető a kompromittálni kívánt oldalra. Tulajdonképpen ez az agresszív kódkavarás emeli a Blackhole-t a legszívósabb támadási vektorok közé.

A szkript sérülékenységek után kutat a PC védelmében, tipikusan többféle kódolást alkalmazva, hogy megnehezítse a víruskergető dolgát az analitikában és a beazonosításban. Célja egyszerűen a telepített böngésző és pluginok verzióinak meghatározása. A Blackhole igen gazdag exploit készlete lehetővé teszi, hogy az adott verzió ellen a leghatékonyabb támadást vesse be. Például ha a támadás egy Flash betöltésén alapul, tudni kell az Adobe szoftver verzióját, így a régi verzióhoz egy régebbi exploitot, frissebb verzióhoz újabb exploitot alkalmaz. Ha pedig a Windows Help és Support Centert veszi célba, akkor a megfelelő Java verziót nézi.

CVE

Target

Description

CVE-2011-3544

Java

Oracle Java SE Rhino Script Engine Remote Code Execution Vulnerability

CVE-2011-2110

Flash

Adobe Flash Player unspecified code execution (APSB11-18)

CVE-2011-0611

Flash

Adobe Flash Player unspecified code execution (APSA11-02)

CVE-2010-3552

Java

Skyline

CVE-2010-1885

Windows

Microsoft Windows Help and Support Center (HCP)

CVE-2010-1423

Java

Java Deployment Toolkit insufficient argument validation

CVE-2010-0886

Java

Unspecified vulnerability

CVE-2010-0842

Java

JRE MixerSequencer invalid array index

CVE-2010-0840

Java

Java trusted Methods Chaining


Mindegyik támadásnak ugyanaz a célja: egy malware-t futtasson a megcélzott PC-n. A támadó - aki vagy licenceli vagy bérli a Blackhole-t – dönti el, milyen malware-re van éppen szüksége, a program mit bocsájtson a rendelkezésére. Napjainkban a leggyakoribbak a hamis anti-virusok, ransomware – amik titkosítják a áldozat gépét és csak fizetség ellenében szolgáltatják ki a jelszavakat – az adatlopó trójaik, mint például a Zeus, vagy olyan rootkitek, mint a TDSS, és a ZeroAccess.

Hogyan lehet védekezni?

Általánosságban nézve a támadásnál három szintről tudunk beszélni:

1. A kezdeti kapcsolat, email vagy egy módosított weboldal formájában
2. A támadó oldalára való átirányítás, ami a sérülékenységeket puhatolja ki
3. A exploit „kézbesítése”, aminek eredménye a malware bevetése

A rabló-pandúr játék szerencsére a technikai oldalon is nagyjából kiegyenlített. Így pénztárcától függően meg lehet találni az ideális megoldást a következők alapján:

Email filter: Napjainkra a pontozás alapú spam szűrők elavultnak számítanak. Ha jó email szűrőt akarunk, akkor nézzük meg, hogy a pontozás mellett, milyen előfizetési listákon van rajta az alkalmazott gyártó. Ez nagyobb hatékonysággal ismeri fel a botnet-bázis eredetet. Emellett globális szabályba kell rögzíteni, hogy JavaScript tartalmakat kidobja, kivétel szabályokat utána be tudunk állítani.

Web filter: Igen hasznos mind hálózat, mind kliens szinten, mivel még ha engedélyezve is van a felhasználó számára a böngészés oldalon belül is képes tiltani a JavaScript tartalmat. Itt is fontos a jó megoldás választása, mivel nem mindegyik céleszköz, szoftver képes erre.

Patchelés: Operációs rendszer és alkalmazás szinten egyaránt rendkívül fontos, mivel a gyártók sokat dolgoznak a programjaik védelmén, éljünk ezzel a lehetőséggel! Nagyobb rendszerek esetén központosítottan kell megoldani a patch kérdését, mert az ember itt nagy hibatényező és a feledékenység nagy luxus. Sajnos azonban a 0day támadások ellen annyit ér, mint halottnak a puszi.

Az utolsó tanácsnál közhelyes leszek, oktassunk, oktassunk és oktassunk! Igen ám, de fontos, hogy hogyan. A legjobb, ha úgy festünk képet, hogy a felhasználó rá tudja vetíteni a saját bőrére, tudja kapcsolni valamihez. Így a súly problémákkal küzdő munkatárs akármennyire is le akar fogyni, kétszer is meggondolja, hogy ráklikkeljen-e „dagi magazin” ismeretlen eredetű linkjére.

A cikket a Black Cell Kft. biztosította az Androbit.org online informatikai magazin számára Gyebnár Gergő tollából
Kattints ide  ➜

Az Androbit technológiai és tudományos magazinnál hiszünk abban, hogy az információ mindenkit megillet. Hosszú évek munkájával megszerzett hírnevünknek köszönhetően megadatott számunkra az a lehetőség, hogy műszaki témájú médiumként is elérhessünk minden internetező korosztályt. Tesszük ezt olyan hírekkel és cikkekkel, amik között egyaránt szerepel nagyobb tömegeket és kisebb szakmai csoportokat érintő tartalom is.

A témák gondos összeválogatásának és a cikkek minőségi kidolgozottságának hála mára Magyarország egyik legnépszerűbb technológiai és tudományos információforrásává váltunk – fejlesztéseinkkel és kutatásainkkal pedig igyekszünk mindig egy lépéssel a versenytársak előtt járni.

A weboldalunkon található, szerkesztőségünk által készített tartalmakra vonatkozó összes felhasználási jogot az Androbit technológiai és tudományos magazin birtokolja. A tartalmak egyes részleteinek felhasználását kizárólag látványos (vagy jól hallható) forrásmegjelöléssel engedélyezzük. A feltételek megszegésének jogi következményei lehetnek. A feltételektől eltérő tartalomfelhasználás kizárólag megegyezés útján lehetséges.
Copyright © 2007-2016 – Makay József (makay@androbit.net)