7 проникващи атаки, използвани от най-коварните хакери днес

Милиони парчета злонамерен софтуер и хиляди злонамерени хакерски банди бродят в днешния онлайн свят, като се радват на лесни измами. Използвайки повторно същите тактики, които са работили години наред, ако не и десетилетия, те не правят нищо ново или интересно в експлоатацията на мързела ни, липсата на преценки или обикновения идиотизъм.

Но всяка година изследователите на антималуер се натъкват на няколко техники, които повдигат веждите. Използвани от злонамерен софтуер или хакери, тези вдъхновени техники разширяват границите на злонамереното хакване. Мислете за тях като за нововъведения в отклонението. Както всичко иновативно, много от тях са мярка за простота.

[Разберете себе си в 14 мръсни трикове за ИТ консултант, 9 популярни практики за ИТ сигурност, които просто не работят, и 10 луди трикове за сигурност, които работят. | Научете как да защитите системите си със специален отчет за уеб браузър Deep Dive PDF и бюлетин на Security Central, и от двете. ]

Вземете макро вируса на Microsoft Excel от 90-те години, който безшумно замества нулите с главни букви O в електронни таблици, незабавно превръщайки числата в текстови етикети със стойност нула - промени, които в по-голямата си част остават неоткрити, докато резервните системи не съдържат нищо лоши данни.

Днешните най-гениални зловреден софтуер и хакери са също толкова крадливи и снизходителни. Ето някои от най-новите техники на бележка, които предизвикаха интереса ми като изследовател по сигурността и научените уроци. Някои стоят на раменете на минали злонамерени новатори, но всички са много на мода днес като начини да се откъснат и най-умните потребители.

Стелт атака №1: Фалшиви точки за безжичен достъп

Няма по-лесно хакване от фалшив WAP (безжична точка за достъп). Всеки, който използва малко софтуер и безжична мрежова карта, може да рекламира компютъра си като наличен WAP, който след това е свързан с реалния, легитимен WAP на публично място.

Помислете за всички времена, когато вие - или вашите потребители - сте ходили до местното кафене, летище или обществено място за събиране и сте се свързвали с „безплатната безжична“ мрежа. Хакерите в Starbucks, които наричат ​​фалшивия си WAP „Безжична мрежа Starbucks“ или на летището в Атланта го наричат ​​„Летище Atlanta Free Wireless“, имат всякакви хора, които се свързват с компютъра си за минути. След това хакерите могат да подушат незащитени данни от потоците данни, изпратени между неволните жертви и предвидените отдалечени хостове. Ще се изненадате колко данни, дори пароли, все още се изпращат в чист текст.

По-подлите хакери ще помолят жертвите си да създадат нов акаунт за достъп, за да използват своя WAP. Тези потребители повече от вероятно ще използват общо име за вход или един от имейл адресите си, заедно с парола, която използват другаде. След това WAP хакерът може да опита да използва същите идентификационни данни за влизане в популярни уебсайтове - Facebook, Twitter, Amazon, iTunes и т.н. - и жертвите никога няма да разберат как се е случило.

Урок: Не можете да се доверите на обществени точки за безжичен достъп. Винаги защитавайте поверителната информация, изпратена по безжична мрежа. Помислете за използване на VPN връзка, която защитава цялата ви комуникация, и не рециклирайте пароли между публични и частни сайтове.

Стелт атака № 2: Кражба на бисквитки

Бисквитките на браузъра са чудесно изобретение, което запазва "състояние", когато потребителят навигира в уебсайт. Тези малки текстови файлове, изпратени до нашите машини от уебсайт, помагат на уебсайта или услугата да ни проследяват през цялото ни посещение или при многократни посещения, което ни позволява да купуваме по-лесно дънки например. Какво не харесваш?

Отговор: Когато хакер открадне нашите бисквитки и по силата на това, ние се превръщаме в нас - все по-честа поява в наши дни. По-скоро те стават удостоверени за нашите уебсайтове, сякаш са нас и са предоставили валидно име и парола за влизане.

Разбира се, кражбата на бисквитки е от създаването на мрежата, но в наши дни инструментите улесняват процеса като щракване, щракване, щракване. Firesheep например е добавка за браузър Firefox, която позволява на хората да крадат незащитени бисквитки от други. Когато се използва с фалшив WAP или в споделена обществена мрежа, отвличането на бисквитки може да бъде доста успешно. Firesheep ще покаже всички имена и местоположения на бисквитките, които намира, и с просто щракване с мишката хакерът може да поеме сесията (вижте блога на Codebutler за пример колко лесно е да използвате Firesheep).

По-лошото е, че хакерите вече могат да крадат дори бисквитки, защитени с SSL / TLS, и да ги подушат от въздуха. През септември 2011 г. атака с етикет „BEAST“ от създателите му доказа, че могат да се получат дори SSL / TLS защитени бисквитки. По-нататъшните подобрения и усъвършенствания тази година, включително добре нареченият CRIME, направиха кражбата и повторното използване на криптирани бисквитки още по-лесни.

С всяка освободена атака на бисквитки, уебсайтовете и разработчиците на приложения се казват как да защитят своите потребители. Понякога отговорът е да се използва най-новият крипто шифър; друг път е да деактивирате някаква неясна функция, която повечето хора не използват. Ключът е, че всички уеб разработчици трябва да използват техники за сигурна разработка, за да намалят кражбата на бисквитки. Ако вашият уебсайт не е актуализирал защитата си от криптиране от няколко години, вероятно сте изложени на риск.

Уроци: Дори криптирани бисквитки могат да бъдат откраднати. Свържете се с уебсайтове, които използват техники за сигурно разработване и най-новите крипто. Вашите HTTPS уебсайтове трябва да използват най-новата крипто, включително TLS версия 1.2.

Стелт атака № 3: Трикове с имена на файлове

Хакерите използват трикове с имена на файлове, за да ни накарат да изпълним злонамерен код от началото на зловредния софтуер. Ранните примери включват именуване на файла на нещо, което би насърчило нищо неподозиращите жертви да кликнат върху него (като AnnaKournikovaNudePics) и използване на множество файлови разширения (като AnnaKournikovaNudePics.Zip.exe). До този ден Microsoft Windows и други операционни системи лесно крият "добре познатите" файлови разширения, което ще направи AnnaKournikovaNudePics.Gif.Exe да изглежда като AnnaKournikovaNudePics.Gif.

Преди години вирусните програми за зловреден софтуер, известни като „близнаци“, „хайвери“ или „придружаващи вируси“, разчитаха на малко известна функция на Microsoft Windows / DOS, където дори да въведете името на файла Start.exe, Windows ще изглежда за и, ако бъде намерен, изпълнете Start.com вместо това. Придружаващите вируси ще търсят всички .exe файлове на вашия твърд диск и ще създадат вирус със същото име като EXE, но с разширението на файла .com. Това отдавна е поправено от Microsoft, но откриването и експлоатацията му от ранните хакери постави основите за изобретателни начини за скриване на вируси, които продължават да се развиват и днес.

Сред по-сложните трикове за преименуване на файлове, използвани в момента, е използването на Unicode символи, които влияят на изхода на името на файла, които потребителите са представени. Например, символът Unicode (U + 202E), наречен Right to Left Override, може да заблуди много системи да покажат файл, всъщност наречен AnnaKournikovaNudeavi.exe като AnnaKournikovaNudexe.avi.

Урок: Винаги, когато е възможно, уверете се, че знаете истинското, пълно име на всеки файл, преди да го изпълните.

Стелт атака № 4: Местоположение, местоположение, местоположение

Друг интересен трик за стелт, който използва операционна система срещу себе си, е трик за местоположение на файл, известен като „относително спрямо абсолютно“. В старите версии на Windows (Windows XP, 2003 и по-стари) и други ранни операционни системи, ако сте въвели име на файл и сте натиснали Enter, или ако операционната система е търсила файл от ваше име, той винаги ще започва с първо вашата текуща папка или директория, преди да търсите другаде. Това поведение може да изглежда достатъчно ефективно и безобидно, но хакери и зловреден софтуер го използваха в своя полза.

Да предположим например, че сте искали да стартирате вградения, безвреден калкулатор на Windows (calc.exe). Достатъчно лесно е (и често по-бързо от използването на няколко щраквания с мишката), за да отворите команден ред, да въведете calc.exeи да натиснете Enter. Но зловредният софтуер може да създаде злонамерен файл, наречен calc.exe, и да го скрие в текущата директория или вашата домашна папка; когато се опитате да изпълните calc.exe, вместо това той ще стартира фалшивото копие.

Обичах тази грешка като тестер за проникване. Често пъти, след като бях проникнал в компютър и трябваше да извися привилегиите си до Администратор, взимах неразправена версия на известна, по-рано уязвима част от софтуера и я поставях във временна папка. По-голямата част от времето, което трябваше да направя, беше да поставя един уязвим изпълним файл или DLL, като същевременно оставях цялата, предварително инсталирана закърпена програма сама. Бих въвел името на файла на изпълнимия файл на програмата във временната си папка и Windows щеше да зареди моя уязвим, троянски изпълним файл от временната ми папка вместо по-скоро закърпената версия. Хареса ми - можех да използвам напълно закърпена система с един лош файл.

Системите Linux, Unix и BSD решават този проблем повече от десетилетие. Microsoft отстрани проблема през 2006 г. с изданията на Windows Vista / 2008, въпреки че проблемът остава в наследени версии поради проблеми със съвместимостта назад. Microsoft също предупреждава и обучава разработчиците да използват абсолютни (а не относителни) имена на файлове / пътеки в собствените си програми в продължение на много години. И все пак десетки хиляди стари програми са уязвими на трикове за местоположение. Хакерите знаят това по-добре от всеки друг.

Урок: Използвайте операционни системи, които налагат абсолютни пътища на директории и папки, и първо търсете файлове в системните области по подразбиране.

Стелт атака № 5: Пренасочване на файл с хостове

Неизвестно за повечето съвременни компютърни потребители е съществуването на DNS-файл, наречен Hosts. Разположен под C: \ Windows \ System32 \ Drivers \ Etc в Windows, файлът Hosts може да съдържа записи, които свързват въведени имена на домейни със съответните им IP адреси. Файлът Hosts първоначално е бил използван от DNS като начин за хостове да разрешават локално търсенията от име към IP адрес, без да се налага да се свързват с DNS сървъри и да извършват рекурсивно разрешаване на имена. В по-голямата си част DNS функционира добре и повечето хора никога не взаимодействат с файла си Hosts, въпреки че е там.

Хакерите и зловредният софтуер обичат да пишат свои собствени злонамерени записи в хостове, така че когато някой въведе популярно име на домейн - да речем, bing.com - те да бъдат пренасочени към друго място, по-злонамерено. Злонамереното пренасочване често съдържа почти перфектно копие на оригиналния желан уебсайт, така че засегнатият потребител не знае за превключването.

Този подвиг се използва и до днес.

Урок: Ако не можете да разберете защо сте пренасочени злонамерено, разгледайте файла си с хостове.

Атака стелт № 6: Атаки Waterhole

Waterhole атаките получиха името си по своята гениална методология. При тези атаки хакерите се възползват от факта, че техните жертви често се срещат или работят на определено физическо или виртуално място. След това те „тровят“ това място, за да постигнат злонамерени цели.

Например, повечето големи компании имат местно кафене, бар или ресторант, което е популярно сред служителите на компанията. Атакуващите ще създадат фалшиви WAP в опит да получат колкото се може повече фирмени идентификационни данни. Или нападателите ще модифицират злонамерено често посещаван уебсайт, за да направят същото. Жертвите често са по-спокойни и нищо неподозиращи, тъй като целевото място е обществен или социален портал.

Waterhole атаките станаха голяма новина тази година, когато няколко високопоставени технологични компании, включително Apple, Facebook и Microsoft, наред с други, бяха компрометирани заради популярните уебсайтове за разработка на приложения, които техните разработчици посетиха. Уебсайтовете бяха отровени със злонамерени пренасочвания на JavaScript, които инсталираха злонамерен софтуер (понякога нула дни) на компютрите на разработчиците. Тогава компрометираните работни станции за разработчици бяха използвани за достъп до вътрешните мрежи на компаниите жертви.

Урок: Уверете се, че вашите служители осъзнават, че популярните „поливащи дупки“ са често срещани хакерски цели.

Стелт атака № 7: Стръв и превключване

Една от най-интересните продължаващи хакерски техники се нарича стръв и суич. На жертвите се казва, че изтеглят или изпълняват едно нещо и временно го правят, но след това се изключва със злонамерен елемент. Примерите са много.

Обикновено разпространителите на зловреден софтуер купуват място за реклама на популярни уебсайтове. При потвърждаване на поръчката на уебсайтовете се показва нежелана връзка или съдържание. Уебсайтът одобрява рекламата и взема парите. След това лошият превключва връзката или съдържанието с нещо по-злонамерено. Често те ще кодират новия злонамерен уебсайт, за да пренасочат зрителите обратно към оригиналната връзка или съдържание, ако са гледани от някой от IP адрес, принадлежащ на първоначалния одобряващ. Това усложнява бързото откриване и сваляне.

Най-интересните атаки със стръв и превключване, които съм виждал в последно време, включват лоши момчета, които създават „безплатно“ съдържание, което може да бъде изтеглено и използвано от всеки. (Помислете за административна конзола или брояч за посетители в долната част на уеб страница.) Често тези безплатни аплети и елементи съдържат клауза за лицензиране, която гласи: "Може да бъде използвана повторно, докато оригиналната връзка остане." Подозиращите потребители използват съдържанието добросъвестно, оставяйки оригиналната връзка недокосната. Обикновено оригиналната връзка няма да съдържа нищо друго освен емблема на графичен файл или нещо друго тривиално и малко. По-късно, след като фалшивият елемент е включен в хиляди уебсайтове, оригиналният злонамерен разработчик променя безвредното съдържание за нещо по-злонамерено (като вредно пренасочване на JavaScript).

Урок: Пазете се от всяка връзка към каквото и да е съдържание, което не е под ваш пряк контрол, тъй като то може да бъде изключено на миг без ваше съгласие.