Domov Varnostna ura Vtipkajte r za keyjacking: zaganjanje zlonamerne programske opreme s captcha

Vtipkajte r za keyjacking: zaganjanje zlonamerne programske opreme s captcha

Video: Demi Lovato: Simply Complicated - Official Documentary (November 2024)

Video: Demi Lovato: Simply Complicated - Official Documentary (November 2024)
Anonim

Tukaj veliko govorimo o eksotičnih napadih zlonamerne programske opreme in prikritih varnostnih ranljivostih na SecurityWatchu, vendar lahko napad izkoristi nekaj tako osnovnega, kot je to, kako se na vašem zaslonu pojavljajo okna. En raziskovalec je pokazal tehniko, s katero žrtve žrtvovali zlonamerno programsko opremo samo s pritiskom na črko "r."

Konec prejšnjega meseca je raziskovalec Rosario Valotta na svojem spletnem mestu napisal objavo, v kateri je orisal napad, zgrajen okoli "zlorabe uporabniških vmesnikov brskalnika." Tehnika izkorišča nekaj prepirov v spletnih brskalnikih, v njih pa je vržen le delček socialnega inženiringa.

Napad

To se imenuje "keyjacking", po tehniki klikhacking, kjer žrtve napeljejo k kliku na predmet, ki ustvari nepričakovane odzive. V primeru Valotte obiščete zlonamerno spletno mesto in samodejni prenos se začne. V Internet Explorerju 9 ali 10 za Windows 7 to sproži preveč znano pogovorno okno z možnostmi Zaženi, Shrani ali Prekliči.

Tukaj je trik: napadalec nastavi spletno mesto, da skrije potrditveno okno za spletno stran, hkrati pa ohrani potrditveno okno. Spletno mesto uporabnika pozove, da pritisne črko "R", morda s pomočjo captcha. Giblječi gif kurzorja na spletnem mestu vodi uporabnika do misli, da se bodo njegovi pritiski tipk pojavili v pogovornem oknu ponarejenega captcha, vendar se dejansko pošlje v potrditveno okno, kjer je R bližnjica za Run.

Napad je mogoče uporabiti tudi v operacijskem sistemu Windows 8, pri čemer je vidik socialnega inženiringa spremenjen tako, da žrtev privabi v TAB + R. Za to Valotta predlaga uporabo testne igre za tipkanje.

Za vse uporabnike Chroma, ki so tam zunaj, je Valotta ugotovila še en trik, ki je v tradicionalni vezi klikanja. V tem scenariju žrtev klikne nekaj samo, da izgine v zadnji sekundi in se klikne na okno pod njim.

"Odprite okno popunder pri določenih koordinatah zaslona in ga postavite pod ospredje, nato pa začnete prenesti izvedljivo datoteko, " piše. Okno v ospredju uporabnika poziva, da klikne - morda zapre oglas.

"Napadalec s pomočjo nekaterih JS lahko sledi koordinatam kazalca miške, tako da, ko miška levi na gumb, napadalec lahko zapre sprednje okno, " nadaljuje Valotta. "Če je časovnica primerna, obstaja velika verjetnost, da bo žrtev kliknila osnovno vrstico za obveščanje prebivalcev, tako da dejansko samo zažene izvršljivo datoteko."

Najstrašnejši del tega napada je socialni inženiring. V svoji objavi na blogu Valotta poudarja, da sta M.Zalewski in C.Jackson že raziskala verjetnost, da bo oseba padla zaradi klikanja. Po Valottovih besedah ​​je bil uspešen več kot 90 odstotkov časa.

Ne panirajte preveč

Valotta priznava, da je na njegov načrt nekaj kolcanj. Na primer, Microsoftov filter Smartscreen lahko odstrani tovrstne napade, ko se poročajo. Če za skrito izvedljivo datoteko potrebujete skrbniške pravice skrbnika, potem nadzor dostopa uporabnika ustvari še eno opozorilo. Seveda Smartscreen ni brezhiben in Valotta naslavlja vprašanje UAC tako, da vpraša, "ali resnično potrebujete upravne privilegije, da svojim žrtvam povzročite resno škodo?"

Kot vedno se napadu najlažje izognemo tako, da ne obiščemo spletnega mesta. Izogibajte se ponudbam za čudne prenose in zunaj modre povezave ljudi. Upoštevajte tudi, katera okna so označena na zaslonu in kliknite tipko pred besedilom. Uporabite lahko tudi brskalnike, ki so vgrajeni v podporno blokado popup / popunder.

Če nič drugega, je ta raziskava opomnik, da niso vse ranljivosti naključna koda ali eksotična zlonamerna programska oprema. Nekateri se lahko skrijejo na mestih, ki jih ne pričakujemo - kot so VoIP telefoni - ali izkoristijo dejstvo, da so računalniki oblikovani tako, da imajo smisel za ljudi pred njimi.

Vtipkajte r za keyjacking: zaganjanje zlonamerne programske opreme s captcha