Programmering

7 snigangreb brugt af nutidens mest lurede hackere

Millioner af stykker malware og tusindvis af ondsindede hacker-bander strejfer rundt i nutidens onlineverden, der byder på let dupes. Ved at genbruge de samme taktikker, der har fungeret i årevis, hvis ikke årtier, gør de intet nyt eller interessant i at udnytte vores dovenskab, bortfald i dommen eller almindelig idioti.

Men hvert år støder antimalwareforskere på et par teknikker, der hæver øjenbrynene. Brugt af malware eller hackere strækker disse inspirerede teknikker grænserne for ondsindet hacking. Tænk på dem som innovationer i afvigelse. Som alt nyt er mange et mål for enkelhed.

[Vers dig selv i 14 beskidte tricks til it-sikkerhedskonsulenter, 9 populære it-sikkerhedsmetoder, der bare ikke fungerer, og 10 skøre sikkerhedstricks, der gør det. | Lær, hvordan du beskytter dine systemer med webbrowseren Deep Dive PDF-specialrapport og Security Central-nyhedsbrevet, begge fra. ]

Tag Microsoft Excel-makrovirussen fra 1990'erne, der lydløst, tilfældigt erstattede nuller med store O'er i regneark, og omdannede straks tal til tekstetiketter med en værdi på nul - ændringer, der for det meste gik ubemærket indtil langt efter backup-systemer indeholdt intet andet end dårlige data.

Dagens mest geniale malware og hackere er lige så snigende og medrivende. Her er nogle af de nyeste bemærkninger, der har vækket min interesse som sikkerhedsforsker og de indhøstede erfaringer. Nogle står på skuldrene af tidligere ondsindede innovatorer, men alle er meget på mode i dag som måder at rive af selv de klogeste brugere.

Stealth-angreb nr. 1: falske trådløse adgangspunkter

Intet hack er lettere at udføre end et falsk WAP (trådløst adgangspunkt). Enhver, der bruger lidt software og et trådløst netværkskort, kan annoncere for deres computer som en tilgængelig WAP, der derefter er forbundet til den ægte, legitime WAP på et offentligt sted.

Tænk på alle de gange, du - eller dine brugere - er gået til den lokale kaffebar, lufthavn eller offentlige samlingssted og tilsluttet det "gratis trådløse" netværk. Hackere i Starbucks, der kalder deres falske WAP "Starbucks Wireless Network" eller i Atlanta lufthavn kalder det "Atlanta Airport Free Wireless" har alle mulige mennesker, der opretter forbindelse til deres computer på få minutter. Hackerne kan derefter snuse ubeskyttede data fra de datastrømme, der sendes mellem de ubevidste ofre og deres tilsigtede fjernværter. Du vil blive overrasket over, hvor meget data, selv adgangskoder, stadig sendes i klar tekst.

De mere ondskabsfulde hackere vil bede deres ofre om at oprette en ny adgangskonto for at bruge deres WAP. Disse brugere bruger mere end sandsynligt et fælles login-navn eller en af ​​deres e-mail-adresser sammen med en adgangskode, de bruger andre steder. WAP-hacker kan derefter prøve at bruge de samme loginoplysninger på populære websteder - Facebook, Twitter, Amazon, iTunes og så videre - og ofrene ved aldrig, hvordan det skete.

Lektion: Du kan ikke stole på offentlige trådløse adgangspunkter. Beskyt altid fortrolige oplysninger, der sendes via et trådløst netværk. Overvej at bruge en VPN-forbindelse, der beskytter al din kommunikation og ikke genbruge adgangskoder mellem offentlige og private websteder.

Stealth-angreb nr. 2: Cookietyveri

Browser-cookies er en vidunderlig opfindelse, der bevarer "tilstand", når en bruger navigerer på et websted. Disse små tekstfiler, der sendes til vores maskiner af et websted, hjælper hjemmesiden eller tjenesten med at spore os på tværs af vores besøg eller over flere besøg, så vi f.eks. Lettere kan købe jeans. Hvad kan ikke lide?

Svar: Når en hacker stjæler vores cookies og i kraft af at gøre det bliver os - en hyppigere forekomst i disse dage. Snarere bliver de godkendt til vores websteder, som om de var os og havde leveret et gyldigt login-navn og adgangskode.

Sikker på, cookietyveri har eksisteret siden opfindelsen af ​​Internettet, men i disse dage gør værktøjer processen så let som klik, klik, klik. Firesheep er for eksempel en Firefox-browser-tilføjelse, der giver folk mulighed for at stjæle ubeskyttede cookies fra andre. Når det bruges med en falsk WAP eller på et delt offentligt netværk, kan kapring af cookies være ret vellykket. Firesheep viser alle navne og placeringer af de cookies, den finder, og med et enkelt museklik kan hackeren overtage sessionen (se Codebutler-bloggen for et eksempel på, hvor let det er at bruge Firesheep).

Værre er, hackere kan nu stjæle selv SSL / TLS-beskyttede cookies og snuse dem ud af luften. I september 2011 beviste et angreb mærket "BEAST" af dets skabere, at der også kan opnås SSL / TLS-beskyttede cookies. Yderligere forbedringer og forbedringer i år, inklusive den velkendte CRIME, har gjort det lettere at stjæle og genbruge krypterede cookies.

Med hvert frigivet cookie-angreb får websteder og applikationsudviklere at vide, hvordan de skal beskytte deres brugere. Nogle gange er svaret at bruge den nyeste kryptokryptering; andre gange er det at deaktivere nogle uklare funktioner, som de fleste ikke bruger. Nøglen er, at alle webudviklere skal bruge sikre udviklingsteknikker for at reducere cookietyveri. Hvis dit websted ikke har opdateret sin krypteringsbeskyttelse i et par år, er du sandsynligvis i fare.

Lektioner: Selv krypterede cookies kan stjæles. Opret forbindelse til websteder, der bruger sikre udviklingsteknikker og den nyeste krypto. Dine HTTPS-websteder skal bruge den nyeste krypto, inklusive TLS version 1.2.

Stealth angreb nr. 3: Filnavn tricks

Hackere har brugt filnavnetricks for at få os til at udføre ondsindet kode siden starten af ​​malware. Tidlige eksempler omfattede at navngive filen til noget, der ville tilskynde intetanende ofre til at klikke på den (som AnnaKournikovaNudePics) og bruge flere filtypenavne (såsom AnnaKournikovaNudePics.Zip.exe). Indtil i dag skjuler Microsoft Windows og andre operativsystemer let "velkendte" filtypenavne, hvilket får AnnaKournikovaNudePics.Gif.Exe til at ligne AnnaKournikovaNudePics.Gif.

For mange år siden var malware-virusprogrammer kendt som "tvillinger", "spawners" eller "ledsagervirus" afhængige af en lidt kendt funktion i Microsoft Windows / DOS, hvor Windows selv ville se ud, selvom du indtastede filnavnet Start.exe. for og hvis fundet, udfør Start.com i stedet. Companion-vira vil kigge efter alle .exe-filer på din harddisk og oprette en virus med samme navn som EXE, men med filtypen .com. Dette er længe siden blevet rettet af Microsoft, men dets opdagelse og udnyttelse af tidlige hackere lagde grunden til opfindsomme måder at skjule vira, der fortsætter med at udvikle sig i dag.

Blandt de mere sofistikerede tricks til filomdøbning, der i øjeblikket er anvendt, er brugen af ​​Unicode-tegn, der påvirker output fra filnavnet, som brugere præsenteres. For eksempel kan Unicode-tegnet (U + 202E), kaldet Right to Left Override, narre mange systemer til at vise en fil, der faktisk hedder AnnaKournikovaNudeavi.exe som AnnaKournikovaNudexe.avi.

Lektion: Når det er muligt, skal du sørge for at kende det rigtige, komplette navn på en fil, før du udfører den.

Stealth-angreb nr. 4: Placering, placering, placering

Et andet interessant stealth-trick, der bruger et operativsystem mod sig selv, er et filplaceringstrick kendt som "relativ versus absolut." I ældre versioner af Windows (Windows XP, 2003 og tidligere) og andre tidlige operativsystemer, hvis du indtastede et filnavn og ramte Enter, eller hvis operativsystemet søgte en fil på dine vegne, ville det altid starte med din aktuelle mappe eller mappeplacering først, før du kigger andre steder. Denne adfærd kan virke effektiv og harmløs nok, men hackere og malware brugte den til deres fordel.

Antag for eksempel, at du ville køre den indbyggede, harmløse Windows-regnemaskine (calc.exe). Det er let nok (og ofte hurtigere end at bruge flere museklik) til at åbne en kommandoprompt, skriv ind calc.exe og tryk Enter. Men malware kan oprette en ondsindet fil kaldet calc.exe og skjule den i den aktuelle mappe eller din hjemmemappe. da du forsøgte at udføre calc.exe, kørte den i stedet den falske kopi.

Jeg elskede denne fejl som en penetrationstester. Ofte, efter at jeg havde brudt ind på en computer og havde brug for at hæve mine privilegier til administrator, tog jeg en ikke-patchet version af et kendt, tidligere sårbart stykke software og placerede det i en midlertidig mappe. Det meste af tiden var alt, hvad jeg skulle gøre, at placere en enkelt sårbar eksekverbar eller DLL-fil, mens jeg lod det hele, tidligere installerede programrettede program alene. Jeg ville skrive programmets eksekverbare filnavn i min midlertidige mappe, og Windows ville indlæse min sårbare Trojan-eksekverbare fra min midlertidige mappe i stedet for den nyere patchede version. Jeg elskede det - jeg kunne udnytte et fuldt patchet system med en enkelt dårlig fil.

Linux-, Unix- og BSD-systemer har fået dette problem løst i mere end et årti. Microsoft løste problemet i 2006 med udgivelserne af Windows Vista / 2008, selvom problemet forbliver i ældre versioner på grund af bagudkompatibilitetsproblemer. Microsoft har også advaret og lært udviklere om at bruge absolutte (snarere end relative) fil- / stienavne i deres egne programmer i mange år. Stadig titusinder af ældre programmer er sårbare over for lokaliseringstricks. Hackere ved dette bedre end nogen anden.

Lektion: Brug operativsystemer, der håndhæver absolutte biblioteks- og mappestier, og se først efter filer i standardsystemområder.

Stealth-angreb nr. 5: Omdirigering af værtsfil

Ubekendt for de fleste af nutidens computerbrugere er eksistensen af ​​en DNS-relateret fil ved navn Hosts. Placeret under C: \ Windows \ System32 \ Drivers \ Etc i Windows, kan Hosts-filen indeholde poster, der linker indtastede domænenavne til deres tilsvarende IP-adresser. Hosts-filen blev oprindeligt brugt af DNS som en måde, hvorpå værter lokalt kan løse navn-til-IP-adresseopslag uden at skulle kontakte DNS-servere og udføre rekursivt navneløsning. For det meste fungerer DNS bare fint, og de fleste mennesker interagerer aldrig med deres værtsfil, selvom den er der.

Hackere og malware elsker at skrive deres egne ondsindede poster til værter, så når nogen skriver et populært domænenavn - siger bing.com - bliver de omdirigeret til et andet sted, der er mere ondsindet. Den ondsindede omdirigering indeholder ofte en næsten perfekt kopi af det oprindelige ønskede websted, så den berørte bruger ikke er opmærksom på kontakten.

Denne udnyttelse er stadig i vid udstrækning i dag.

Lektion: Hvis du ikke kan finde ud af, hvorfor du ondsindet omdirigeres, skal du tjekke din Hosts-fil.

Stealth-angreb nr. 6: Vandhulangreb

Vandhulsangreb fik deres navn fra deres geniale metode. I disse angreb udnytter hackere det faktum, at deres målrettede ofre ofte mødes eller arbejder på et bestemt fysisk eller virtuelt sted. Derefter "forgifter" de dette sted for at nå ondsindede mål.

For eksempel har de fleste store virksomheder en lokal kaffebar, bar eller restaurant, der er populær blandt virksomhedens ansatte. Angribere opretter falske WAP'er i et forsøg på at få så mange firmaoplysninger som muligt. Eller angriberne vil ondsindet ændre et ofte besøgt websted for at gøre det samme. Ofre er ofte mere afslappede og intetanende, fordi den målrettede placering er en offentlig eller social portal.

Vandhulsangreb blev store nyheder i år, da flere højt profilerede teknologivirksomheder, herunder blandt andet Apple, Facebook og Microsoft, kompromitterede på grund af populære applikationsudviklingswebsteder, deres udviklere besøgte. Webstederne var blevet forgiftet med ondsindede JavaScript-omdirigeringer, der installerede malware (undertiden nul dage) på udviklernes computere. De kompromitterede udviklerarbejdsstationer blev derefter brugt til at få adgang til ofrenes virksomheders interne netværk.

Lektion: Sørg for, at dine medarbejdere er klar over, at populære "vandhuller" er almindelige hackermål.

Stealth-angreb nr. 7: Agn og switch

En af de mest interessante igangværende hackerteknikker kaldes lokkemad og switch. Ofre får at vide, at de downloader eller kører en ting, og det er de midlertidigt, men det slukkes derefter med et ondsindet emne. Eksempler bugner.

Det er almindeligt, at malware-spredere køber reklameplads på populære websteder. Webstederne, når de bekræfter ordren, vises et ikke-skadeligt link eller indhold. Hjemmesiden godkender annoncen og tager pengene. Den dårlige fyr skifter derefter linket eller indholdet med noget mere ondsindet. Ofte koder de det nye ondsindede websted for at omdirigere seerne tilbage til det oprindelige link eller indhold, hvis de ses af nogen fra en IP-adresse, der tilhører den oprindelige godkender. Dette komplicerer hurtig detektion og nedtagning.

De mest interessante agn-og-switch-angreb, jeg har set for sent, involverer skurke, der opretter "gratis" indhold, der kan downloades og bruges af alle. (Tænk administrativ konsol eller en besøgstæller i bunden af ​​en webside.) Ofte indeholder disse gratis applets og elementer en licensbestemmelse, der siger om effekten "Kan genbruges frit, så længe det originale link forbliver." Intetanende brugere anvender indholdet i god tro og efterlader det oprindelige link uberørt. Normalt vil det originale link ikke indeholde andet end et grafikfilemblem eller noget andet trivielt og lille. Senere, efter at det falske element er inkluderet i tusindvis af websteder, ændrer den oprindelige ondsindede udvikler det harmløse indhold til noget mere ondsindet (som en skadelig JavaScript-omdirigering).

Lektion: Pas på ethvert link til indhold, der ikke er under din direkte kontrol, fordi det kan slås ud med et øjebliks varsel uden dit samtykke.