Video: What can we learn from an ethical hacker | Milan Gabor | TEDxLjubljana (Oktober 2024)
Vi taler meget om eksotiske malware-angreb og uklare sikkerhedssårbarheder her på SecurityWatch, men et angreb kan drage fordel af noget så grundlæggende som hvordan windows vises på din skærm. En forsker har demonstreret en teknik, hvor ofre bliver narret til at køre malware bare ved at trykke på brevet "r."
Sent i sidste måned skrev forsker Rosario Valotta et indlæg på sin hjemmeside, hvor han skitserede et angreb, der er bygget op omkring "misbrug af browserbrugergrænseflader." Teknikken gør brug af nogle quirks i webbrowsere, med bare en smule social engineering kastet ind.
Angrebet
Det kaldes "keyjacking" efter clickjacking-teknikken, hvor ofrene bliver narret til at klikke på et objekt, der genererer uventede svar. I Valottas eksempel besøger du et ondsindet websted, og en automatisk download begynder. I Internet Explorer 9 eller 10 til Windows 7 udløser dette et alt for velkendt dialogvindue med indstillingerne til Kør, Gem eller Annuller.
Her kommer tricket: angriberen angiver webstedet for at skjule bekræftelsesvinduet bag en webside, men holder bekræftelsesvinduet i fokus. Hjemmesiden beder brugeren om at trykke på bogstavet "R", måske ved hjælp af en captcha. Et blinkende markør-gif på webstedet får brugeren til at tro, at hans eller hendes tastetryk vises i den falske captchas dialogboks, men den sendes faktisk til bekræftelsesvinduet, hvor R er genvej til Kør.
Angrebet kan også bruges i Windows 8, med det socialtekniske aspekt ændret for at lokke offeret til at ramme TAB + R. Til dette foreslår Valotta at bruge et typetestspil.
For alle os Chrome-brugere derude, har Valotta fundet ud af et andet trick, der er i den traditionelle clickjacking-vene. I dette scenarie går offeret til at klikke på noget kun for at få det forsvundet i det sidste sekund og klikregistret i et vindue nedenunder.
"Du åbner et popunder-vindue ved nogle specifikke skærmkoordinater og sætter det under forgrundsvinduet, starter derefter download af en eksekverbar fil, " skriver han. Et vindue i forgrunden beder brugeren om at klikke - måske for at lukke en annonce.
"Angriberen, der bruger nogle JS, er i stand til at spore musemarkørens koordinater, så snart musen svæver på knappen, kan angriberen lukke forgrundsvinduet, " fortsætter Valotta. "Hvis timingen er passende, er der gode chancer for, at offeret klikker på den underliggende popunder-meddelelsesbjælke, så faktisk starter den eksekverbare fil selv."
Den uhyggeligste del af dette angreb er socialteknik. I sit blogindlæg påpeger Valotta, at M.Zalewski og C.Jackson allerede har undersøgt sandsynligheden for, at en person falder for klikjacking. Ifølge Valotta var det succes over 90 procent af tiden.
Panik ikke for meget
Valotta indrømmer, at der er et par hikke til hans plan. For det første kan Microsofts Smartscreen-filter udslette denne form for angreb, når de er rapporteret. Hvis den skjulte eksekverbare kræver administratorprivilegier, genererer brugeradgangskontrol en anden advarsel. Selvfølgelig er Smartscreen ikke idiotsikker, og Valotta adresserer UAC-spørgsmålet ved at spørge, "har du virkelig brug for administrative privilegier for at forårsage alvorlige skader på dine ofre?"
Som altid er den nemmeste måde at undgå angrebet ved ikke at gå til webstedet. Undgå tilbud på mærkelige downloads og out-of-the-blue links fra folk. Bemærk også, hvilke vinduer der er fremhævet på din skærm, og klik på tekstfelter, før du skriver. Du kan også bruge browsers indbygget support til pop-up / popunder-blokering.
Hvis ikke andet, er denne undersøgelse en påmindelse om, at ikke alle sårbarheder er slurvet kode eller eksotisk malware. Nogle kan være skjult på de steder, vi ikke forventer - som VoIP-telefoner - eller drage fordel af det faktum, at computere er designet til at give mening for mennesker foran dem.
