7 podstępnych ataków używanych przez najbardziej przebiegłych hakerów

Miliony złośliwych programów i tysiące złośliwych gangów hakerów przemierzają dzisiejszy świat online, polując na łatwych oszustów. Używając ponownie tej samej taktyki, która sprawdzała się przez lata, jeśli nie dekady, nie robią nic nowego ani interesującego w wykorzystywaniu naszego lenistwa, błędów w osądzie lub zwykłego idiotyzmu.

Ale każdego roku badacze antymalware natrafiają na kilka technik, które podnoszą brwi. Wykorzystywane przez złośliwe oprogramowanie lub hakerów, te inspirujące techniki przekraczają granice złośliwego hakowania. Pomyśl o nich jako o innowacjach w dewiacji. Jak wszystko, co innowacyjne, wiele z nich jest miarą prostoty.

[Zapoznaj się z 14 brudnymi sztuczkami konsultantów ds. Bezpieczeństwa IT, 9 popularnymi praktykami bezpieczeństwa IT, które po prostu nie działają, i 10 szalonymi sztuczkami bezpieczeństwa, które działają. | Dowiedz się, jak zabezpieczyć swoje systemy dzięki specjalnemu raportowi PDF Przeglądarka internetowa Deep Dive i biuletynowi Centrum bezpieczeństwa, oba z witryny. ]

Weźmy na przykład makrowirusa Microsoft Excel z lat 90., który po cichu, w arkuszach kalkulacyjnych losowo zastępował zera dużymi literami O, natychmiast przekształcając liczby w etykiety tekstowe o wartości zero - zmiany, które w większości pozostały niewykryte do czasu, gdy systemy kopii zapasowych nie zawierały nic poza złe dane.

Dzisiejsze najbardziej pomysłowe złośliwe oprogramowanie i hakerzy są tak samo ukradkowe i przebiegłe. Oto niektóre z najnowszych technik, które wzbudziły moje zainteresowanie jako badacza bezpieczeństwa i wyciągnięte wnioski. Niektórzy stoją na barkach dawnych złośliwych innowatorów, ale wszyscy są dziś bardzo modni jako sposoby na oszukanie nawet najbardziej sprytnych użytkowników.

Atak z ukrycia nr 1: fałszywe punkty dostępu bezprzewodowego

Żaden hack nie jest łatwiejszy do wykonania niż fałszywy WAP (bezprzewodowy punkt dostępowy). Każdy, kto korzysta z oprogramowania i bezprzewodowej karty sieciowej, może reklamować swój komputer jako dostępny punkt WAP, który jest następnie połączony z prawdziwym, legalnym punktem WAP w miejscu publicznym.

Pomyśl o tym, ile razy Ty lub Twoi użytkownicy byliście w lokalnej kawiarni, na lotnisku lub w publicznym miejscu spotkań i połączeni z „bezpłatną siecią bezprzewodową”. Hakerzy w Starbucks, którzy nazywają swoją fałszywą sieć WAP „siecią bezprzewodową Starbucks” lub na lotnisku w Atlancie, nazywają ją „Atlanta Airport Free Wireless”, mają wielu ludzi łączących się z ich komputerem w ciągu kilku minut. Hakerzy mogą następnie wykryć niezabezpieczone dane ze strumieni danych przesyłanych między nieświadomymi ofiarami a ich docelowymi zdalnymi hostami. Zdziwiłbyś się, ile danych, nawet haseł, jest nadal wysyłanych w postaci zwykłego tekstu.

Bardziej nikczemni hakerzy poproszą swoje ofiary o utworzenie nowego konta dostępu, aby móc korzystać z ich WAP. Ci użytkownicy będą najprawdopodobniej używać wspólnej nazwy logowania lub jednego ze swoich adresów e-mail wraz z hasłem używanym gdzie indziej. Haker WAP może następnie spróbować użyć tych samych danych logowania na popularnych stronach internetowych - Facebook, Twitter, Amazon, iTunes itd. - a ofiary nigdy nie dowiedzą się, jak to się stało.

Lekcja: Nie można ufać publicznym punktom dostępu bezprzewodowego. Zawsze chroń poufne informacje przesyłane przez sieć bezprzewodową. Rozważ użycie połączenia VPN, które chroni całą komunikację i nie przetwarza haseł między witrynami publicznymi i prywatnymi.

Atak z ukrycia nr 2: kradzież ciasteczek

Pliki cookie przeglądarki to wspaniały wynalazek, który zachowuje „stan”, gdy użytkownik przegląda witrynę. Te małe pliki tekstowe, wysyłane do naszych maszyn przez witrynę internetową, pomagają witrynie internetowej lub usłudze śledzić nas podczas naszej wizyty lub podczas wielu wizyt, umożliwiając nam na przykład łatwiejszy zakup dżinsów. Czego nie lubić?

Odpowiedź: Kiedy haker kradnie nasze pliki cookie i na tej podstawie robi to, staje się nami - jest to obecnie coraz częstsze zjawisko. Są raczej uwierzytelniani w naszych witrynach internetowych, jakby byli nami, i podali prawidłową nazwę logowania i hasło.

Jasne, kradzież plików cookie istnieje od czasu wynalezienia sieci, ale obecnie narzędzia sprawiają, że proces jest tak prosty, jak kliknięcie, kliknięcie, kliknięcie. Na przykład Firesheep to dodatek do przeglądarki Firefox, który umożliwia kradzież niezabezpieczonych plików cookie innych osób. W przypadku użycia fałszywego WAP lub udostępnionej sieci publicznej przechwytywanie plików cookie może być całkiem skuteczne. Firesheep pokaże wszystkie nazwy i lokalizacje znalezionych plików cookie, a jednym kliknięciem myszy haker może przejąć sesję (zobacz blog Codebutler, aby zobaczyć, jak łatwo jest używać Firesheep).

Co gorsza, hakerzy mogą teraz kraść nawet pliki cookie chronione przez SSL / TLS i węszyć je z powietrza. We wrześniu 2011 r. Atak oznaczony przez jego twórców etykietą „BEAST” udowodnił, że można uzyskać nawet pliki cookie chronione protokołem SSL / TLS. Dalsze ulepszenia i udoskonalenia w tym roku, w tym dobrze nazwany CRIME, sprawiły, że kradzież i ponowne wykorzystanie zaszyfrowanych plików cookie jest jeszcze łatwiejsze.

Z każdym uruchomionym atakiem cookie strony internetowe i twórcy aplikacji są informowani, jak chronić swoich użytkowników. Czasami odpowiedzią jest użycie najnowszego szyfru kryptograficznego; innym razem jest to wyłączenie jakiejś niejasnej funkcji, której większość ludzi nie używa. Kluczem jest to, że wszyscy programiści WWW muszą stosować bezpieczne techniki programistyczne, aby ograniczyć kradzież plików cookie. Jeśli Twoja witryna nie aktualizowała ochrony szyfrowania od kilku lat, prawdopodobnie jesteś zagrożony.

Lekcje: Nawet zaszyfrowane pliki cookie mogą zostać skradzione. Połącz się ze stronami internetowymi, które wykorzystują bezpieczne techniki programowania i najnowsze kryptowaluty. Twoje witryny HTTPS powinny używać najnowszej kryptografii, w tym TLS w wersji 1.2.

Atak z ukrycia nr 3: Sztuczki z nazwami plików

Hakerzy używali sztuczek związanych z nazwami plików, aby skłonić nas do wykonania złośliwego kodu od samego początku istnienia złośliwego oprogramowania. Wczesne przykłady obejmowały nazwanie pliku czymś, co zachęcałoby niczego nie podejrzewające ofiary do kliknięcia go (np. AnnaKournikovaNudePics) i używanie wielu rozszerzeń plików (np. AnnaKournikovaNudePics.Zip.exe). Do dziś Microsoft Windows i inne systemy operacyjne z łatwością ukrywają „dobrze znane” rozszerzenia plików, dzięki czemu AnnaKournikovaNudePics.Gif.Exe będzie wyglądać jak AnnaKournikovaNudePics.Gif.

Wiele lat temu złośliwe programy wirusowe znane jako „bliźniaki”, „spawnery” lub „wirusy towarzyszące” polegały na mało znanej funkcji systemu Microsoft Windows / DOS, w której nawet po wpisaniu nazwy pliku Start.exe system Windows wyglądałby dla i, jeśli zostanie znaleziony, uruchom Start.com. Wirusy towarzyszące szukałyby wszystkich plików .exe na dysku twardym i tworzyły wirusa o tej samej nazwie co EXE, ale z rozszerzeniem .com. Microsoft już dawno to naprawił, ale jego odkrycie i wykorzystanie przez pierwszych hakerów położyło podwaliny pod innowacyjne sposoby ukrywania wirusów, które wciąż ewoluują.

Wśród bardziej wyrafinowanych sztuczek zmiany nazw plików, które są obecnie stosowane, jest użycie znaków Unicode, które wpływają na wyjście nazwy pliku, którą przedstawiają użytkownicy. Na przykład znak Unicode (U + 202E), nazywany przesłonięciem od prawej do lewej, może oszukać wiele systemów w celu wyświetlenia pliku o nazwie AnnaKournikovaNudeavi.exe jako AnnaKournikovaNudexe.avi.

Lekcja: Jeśli to możliwe, upewnij się, że znasz prawdziwą, pełną nazwę dowolnego pliku przed jego wykonaniem.

Atak z ukrycia nr 4: Lokalizacja, lokalizacja, lokalizacja

Inną interesującą sztuczką polegającą na ukrywaniu się, która wykorzystuje system operacyjny przeciwko sobie, jest trik lokalizacji pliku znany jako „względne kontra bezwzględne”. W starszych wersjach systemu Windows (Windows XP, 2003 i wcześniejszych) i innych wczesnych systemach operacyjnych, jeśli wpiszesz nazwę pliku i naciśniesz Enter lub jeśli system operacyjny szuka pliku w Twoim imieniu, zawsze będzie zaczynał się od Twój bieżący folder lub lokalizacja katalogu, zanim poszukasz gdzie indziej. To zachowanie może wydawać się wystarczająco wydajne i nieszkodliwe, ale hakerzy i złośliwe oprogramowanie wykorzystali to na swoją korzyść.

Na przykład załóżmy, że chcesz uruchomić wbudowany, nieszkodliwy kalkulator systemu Windows (calc.exe). Jest to dość łatwe (i często szybsze niż użycie kilku kliknięć myszą), aby otworzyć wiersz polecenia, wpisać calc.exei nacisnąć Enter. Ale złośliwe oprogramowanie może stworzyć złośliwy plik o nazwie calc.exe i ukryć go w bieżącym katalogu lub folderze domowym; kiedy próbowałeś uruchomić calc.exe, zamiast tego uruchomiłby fałszywą kopię.

Uwielbiałem ten błąd jako tester penetracji. Często, gdy włamałem się do komputera i musiałem podnieść swoje uprawnienia do poziomu Administratora, pobierałem niezałataną wersję znanego, wcześniej podatnego na ataki oprogramowania i umieszczałem go w folderze tymczasowym. Przez większość czasu wszystko, co musiałem zrobić, to umieścić jeden podatny plik wykonywalny lub bibliotekę DLL, pozostawiając w spokoju cały, wcześniej zainstalowany załatany program. Wpisywałem nazwę pliku wykonywalnego programu w folderze tymczasowym, a system Windows ładowałby mój podatny na atak, trojan wykonywalny z folderu tymczasowego, zamiast z ostatnio załatanej wersji. Bardzo mi się podobało - mogłem wykorzystać w pełni załatany system za pomocą jednego złego pliku.

W systemach Linux, Unix i BSD problem ten został rozwiązany od ponad dziesięciu lat. Firma Microsoft rozwiązała problem w 2006 r. W wydaniach systemu Windows Vista / 2008, chociaż problem występuje nadal w starszych wersjach z powodu problemów ze zgodnością wsteczną. Microsoft od wielu lat ostrzega i uczy programistów używania bezwzględnych (a nie względnych) nazw plików / ścieżek we własnych programach. Mimo to dziesiątki tysięcy starszych programów są podatne na sztuczki lokalizacyjne. Hakerzy wiedzą o tym lepiej niż ktokolwiek inny.

Lekcja: korzystaj z systemów operacyjnych, które wymuszają bezwzględne ścieżki katalogów i folderów, i szukaj najpierw plików w domyślnych obszarach systemowych.

Atak z ukrycia nr 5: przekierowanie pliku hostów

Większość dzisiejszych użytkowników komputerów nie zdaje sobie sprawy z istnienia pliku związanego z DNS o nazwie Hosts. Znajdujący się w C: \ Windows \ System32 \ Drivers \ Etc w systemie Windows plik Hosts może zawierać wpisy łączące wpisane nazwy domen z odpowiadającymi im adresami IP. Plik Hosts był pierwotnie używany przez DNS jako sposób na lokalne rozwiązywanie przez hosty wyszukiwania nazw na adresy IP bez konieczności kontaktowania się z serwerami DNS i wykonywania rekursywnego rozpoznawania nazw. W większości przypadków DNS działa dobrze, a większość ludzi nigdy nie wchodzi w interakcję z plikiem Hosts, mimo że tam jest.

Hakerzy i złośliwe oprogramowanie uwielbiają pisać własne złośliwe wpisy do hostów, więc gdy ktoś wpisze popularną nazwę domeny - na przykład bing.com - zostanie przekierowany do innego bardziej złośliwego miejsca. Złośliwe przekierowanie często zawiera prawie idealną kopię oryginalnej żądanej witryny, tak że użytkownik, którego dotyczy problem, nie jest świadomy przełączenia.

Ten exploit jest nadal w powszechnym użyciu.

Lekcja: Jeśli nie możesz dowiedzieć się, dlaczego jesteś złośliwie przekierowywany, sprawdź plik Hosts.

Atak z ukrycia nr 6: Ataki wodopoju

Ataki wodopojowe otrzymały swoją nazwę od ich genialnej metodologii. W tych atakach hakerzy wykorzystują fakt, że ich ofiary często spotykają się lub pracują w określonej fizycznej lub wirtualnej lokalizacji. Następnie „zatruwają” tę lokalizację, aby osiągnąć złośliwe cele.

Na przykład większość dużych firm ma lokalną kawiarnię, bar lub restaurację, która jest popularna wśród pracowników firmy. Atakujący utworzą fałszywe punkty WAP, próbując uzyskać jak najwięcej danych uwierzytelniających firmy. Lub osoby atakujące złośliwie zmodyfikują często odwiedzaną witrynę internetową, aby zrobić to samo. Ofiary są często bardziej zrelaksowane i niczego nie podejrzewają, ponieważ docelową lokalizacją jest portal publiczny lub społecznościowy.

Ataki wodopoju stały się ważną wiadomością w tym roku, kiedy kilka znanych firm technologicznych, w tym między innymi Apple, Facebook i Microsoft, zostało zaatakowanych z powodu popularnych witryn poświęconych tworzeniu aplikacji, które odwiedzali ich twórcy. Strony internetowe zostały zatrute złośliwymi przekierowaniami JavaScript, które instalowały złośliwe oprogramowanie (czasami zero dni) na komputerach programistów. Zhakowane stacje robocze programistów zostały następnie wykorzystane do uzyskania dostępu do sieci wewnętrznych firm ofiar.

Lekcja: Upewnij się, że Twoi pracownicy zdają sobie sprawę, że popularne „wodopoje” są częstym celem hakerów.

Atak z ukrycia nr 7: Przynęta i zamiana

Jedną z najbardziej interesujących technik hakerskich jest przynęta i zamiana. Ofiarom mówi się, że pobierają lub uruchamiają jedną rzecz i tymczasowo tak jest, ale następnie zostaje ona zastąpiona złośliwym elementem. Istnieje wiele przykładów.

Rozpowszechniacze złośliwego oprogramowania często kupują przestrzeń reklamową w popularnych witrynach internetowych. Witryny, podczas potwierdzania zamówienia, wyświetlają nieszkodliwy link lub treść. Serwis akceptuje ogłoszenie i pobiera pieniądze. Następnie zły facet zmienia odsyłacz lub treść na coś bardziej złośliwego. Często kodują nową złośliwą witrynę, aby przekierowywać przeglądających z powrotem do oryginalnego łącza lub treści, jeśli ogląda ją ktoś z adresu IP należącego do pierwotnej osoby zatwierdzającej. To komplikuje szybkie wykrywanie i usuwanie.

Najciekawsze ataki typu „przynęta i zamiana”, jakie ostatnio widziałem, dotyczą złoczyńców, którzy tworzą „darmowe” treści, które każdy może pobrać i wykorzystać. (Pomyśl o konsoli administracyjnej lub liczniku odwiedzających na dole strony internetowej). Często te bezpłatne aplety i elementy zawierają klauzulę licencyjną, która mówi, że „Mogą być swobodnie ponownie wykorzystywane, o ile pozostaje oryginalny link”. Niczego nie podejrzewający użytkownicy wykorzystują treść w dobrej wierze, pozostawiając oryginalny link nietknięty. Zwykle oryginalny link będzie zawierał tylko emblemat pliku graficznego lub coś innego, trywialnego i małego. Później, po umieszczeniu fałszywego elementu w tysiącach witryn internetowych, pierwotny złośliwy programista zmienia nieszkodliwą zawartość na coś bardziej złośliwego (np. Szkodliwe przekierowanie JavaScript).

Lekcja: Uważaj na linki do treści, nad którymi nie masz bezpośredniej kontroli, ponieważ można je wyłączyć w jednej chwili bez Twojej zgody.