7 serangan menyelinap yang digunakan oleh penggodam paling licik hari ini

Berjuta-juta keping perisian hasad dan beribu-ribu geng penggodam jahat berkeliaran di dunia dalam talian hari ini dengan mangsa palsu. Menggunakan kembali taktik yang sama yang telah berjalan selama bertahun-tahun, jika tidak berpuluh-puluh tahun, mereka tidak melakukan sesuatu yang baru atau menarik dalam memanfaatkan kemalasan kita, kelewatan dalam penghakiman, atau kebodohan biasa.

Tetapi setiap tahun penyelidik antimalware menemui beberapa teknik yang menaikkan kening. Digunakan oleh perisian hasad atau penggodam, teknik terinspirasi ini meluaskan batas penggodaman berbahaya. Anggaplah mereka sebagai inovasi penyimpangan. Seperti sesuatu yang inovatif, banyak ukuran kesederhanaan.

[Huraikan diri anda dengan 14 trik perunding keselamatan IT yang kotor, 9 amalan keselamatan IT yang popular yang tidak berfungsi, dan 10 trik keselamatan gila yang berlaku. | Ketahui cara mengamankan sistem anda dengan laporan khas Deep Dive PDF Browser Web dan buletin Security Central, keduanya dari. ]

Ambil virus makro Microsoft Excel tahun 1990-an yang secara senyap-senyap, menggantikan sifar secara rawak dengan huruf O dalam hamparan, dengan segera mengubah nombor menjadi label teks dengan nilai sifar - perubahan yang berlaku, sebahagian besarnya, tidak dapat dikesan sehingga selepas sistem sandaran tidak mengandungi apa-apa kecuali data buruk.

Perisian hasad dan penggodam yang paling bijak pada masa kini sama seperti tersembunyi dan suka menipu. Berikut adalah beberapa teknik nota terkini yang telah menarik minat saya sebagai penyelidik keselamatan dan pelajaran yang diambil. Sebilangan besar berada di bahu para inovator jahat yang lalu, tetapi semuanya sangat terpakai hari ini sebagai cara untuk merobek bahkan pengguna yang paling bijak.

Serangan Stealth No. 1: Titik akses tanpa wayar palsu

Tidak ada peretasan yang lebih mudah dicapai daripada WAP palsu (titik akses tanpa wayar). Sesiapa yang menggunakan sedikit perisian dan kad rangkaian tanpa wayar boleh mengiklankan komputer mereka sebagai WAP yang tersedia yang kemudian disambungkan ke WAP yang sebenar dan sah di lokasi awam.

Fikirkan setiap masa anda - atau pengguna anda - pergi ke kedai kopi, lapangan terbang, atau tempat berkumpul awam tempatan dan bersambung ke rangkaian "tanpa wayar percuma". Penggodam di Starbucks yang memanggil WAP palsu mereka "Rangkaian Tanpa Wayar Starbucks" atau di lapangan terbang Atlanta menyebutnya "Atlanta Airport Free Wireless" mempunyai pelbagai jenis orang yang menyambung ke komputer mereka dalam beberapa minit. Penggodam kemudian dapat mengendus data yang tidak dilindungi dari aliran data yang dikirim antara mangsa yang tidak disengajakan dan penghuni jarak jauh yang dimaksudkan. Anda akan terkejut berapa banyak data, bahkan kata laluan, masih dihantar dalam teks yang jelas.

Penggodam yang lebih jahat akan meminta mangsa mereka membuat akaun akses baru untuk menggunakan WAP mereka. Pengguna ini kemungkinan besar akan menggunakan nama log masuk biasa atau salah satu alamat e-mel mereka, bersama dengan kata laluan yang mereka gunakan di tempat lain. Penggodam WAP kemudian boleh mencuba menggunakan kelayakan log masuk yang sama di laman web popular - Facebook, Twitter, Amazon, iTunes, dan sebagainya - dan mangsa tidak akan pernah tahu bagaimana ia berlaku.

Pelajaran: Anda tidak boleh mempercayai titik akses tanpa wayar awam. Sentiasa melindungi maklumat sulit yang dihantar melalui rangkaian tanpa wayar. Pertimbangkan untuk menggunakan sambungan VPN, yang melindungi semua komunikasi anda, dan jangan mengitar semula kata laluan antara laman web awam dan swasta.

Serangan siluman No. 2: Pencurian kuki

Kuki penyemak imbas adalah penemuan hebat yang mengekalkan "keadaan" semasa pengguna melayari laman web. Fail teks kecil ini, yang dihantar ke mesin kami melalui laman web, membantu laman web atau perkhidmatan mengesan kami sepanjang lawatan kami, atau melalui banyak lawatan, yang membolehkan kami membeli seluar jeans dengan lebih mudah, misalnya. Apa yang tidak suka?

Jawapan: Apabila penggodam mencuri kuki kami, dan dengan cara itu, menjadi kami - kejadian yang semakin kerap berlaku hari ini. Sebaliknya, mereka disahkan ke laman web kami seolah-olah mereka kami dan telah memberikan nama log masuk dan kata laluan yang sah.

Sudah tentu, kecurian cookie telah wujud sejak penemuan Web, tetapi alat-alat ini menjadikan prosesnya semudah klik, klik, klik. Firesheep, misalnya, adalah alat tambah penyemak imbas Firefox yang membolehkan orang mencuri kuki yang tidak dilindungi dari orang lain. Apabila digunakan dengan WAP palsu atau di rangkaian awam yang dikongsi, rampasan kuki dapat dilakukan dengan baik. Firesheep akan menunjukkan semua nama dan lokasi kuki yang ditemuinya, dan dengan satu klik tetikus, penggodam dapat mengambil alih sesi tersebut (lihat blog Codebutler untuk contoh betapa mudahnya menggunakan Firesheep).

Lebih teruk lagi, penggodam kini boleh mencuri kuki yang dilindungi SSL / TLS dan juga menghidunya. Pada bulan September 2011, serangan yang dilabel "BEAST" oleh penciptanya membuktikan bahawa bahkan kuki yang dilindungi SSL / TLS dapat diperoleh. Penambahbaikan dan penyempurnaan lebih lanjut tahun ini, termasuk CRIME yang terkenal, telah menjadikan pencurian dan penggunaan semula kuki yang disulitkan menjadi lebih mudah.

Dengan setiap serangan cookie yang dilepaskan, laman web dan pembangun aplikasi diberitahu bagaimana melindungi penggunanya. Kadang kala jawapannya adalah menggunakan crypto cipher terkini; lain kali adalah untuk mematikan beberapa ciri yang tidak jelas yang tidak digunakan oleh kebanyakan orang. Kuncinya ialah semua pembangun Web mesti menggunakan teknik pembangunan yang selamat untuk mengurangkan kecurian kuki. Sekiranya laman web anda tidak mengemas kini perlindungan penyulitannya dalam beberapa tahun, anda mungkin berisiko.

Pelajaran: Malah kuki yang disulitkan boleh dicuri. Sambungkan ke laman web yang menggunakan teknik pembangunan selamat dan crypto terkini. Laman web HTTPS anda harus menggunakan crypto terkini, termasuk TLS Versi 1.2.

Serangan siluman No. 3: Trik nama fail

Peretas telah menggunakan trik nama fail untuk membuat kita melaksanakan kod jahat sejak awal malware. Contoh awal termasuk menamakan fail sebagai sesuatu yang akan mendorong mangsa yang tidak curiga untuk mengkliknya (seperti AnnaKournikovaNudePics) dan menggunakan pelbagai sambungan fail (seperti AnnaKournikovaNudePics.Zip.exe). Sehingga hari ini, Microsoft Windows dan sistem operasi lain dengan mudah menyembunyikan sambungan fail "terkenal", yang akan menjadikan AnnaKournikovaNudePics.Gif.Exe kelihatan seperti AnnaKournikovaNudePics.Gif.

Bertahun-tahun yang lalu, program virus malware yang dikenali sebagai "kembar," "spawner," atau "virus pendamping" bergantung pada ciri Microsoft Windows / DOS yang tidak diketahui, di mana walaupun anda mengetik nama fail Start.exe, Windows akan kelihatan untuk dan, jika dijumpai, jalankan Start.com sebagai gantinya. Virus pendamping akan mencari semua fail .exe pada cakera keras anda, dan membuat virus dengan nama yang sama dengan EXE, tetapi dengan ekstensi file .com. Ini telah lama diperbaiki oleh Microsoft, tetapi penemuan dan eksploitasi oleh peretas awal meletakkan asas untuk kaedah inventif untuk menyembunyikan virus yang terus berkembang hingga kini.

Antara helah penamaan semula fail yang lebih canggih yang digunakan adalah penggunaan watak Unicode yang mempengaruhi output nama fail yang dipersembahkan oleh pengguna. Sebagai contoh, watak Unicode (U + 202E), yang disebut Right to Left Override, dapat menipu banyak sistem untuk memaparkan fail yang sebenarnya bernama AnnaKournikovaNudeavi.exe sebagai AnnaKournikovaNudexe.avi.

Pelajaran: Bila boleh, pastikan anda mengetahui nama fail yang sebenarnya dan lengkap sebelum melaksanakannya.

Serangan Stealth No. 4: Lokasi, lokasi, lokasi

Trik siluman lain yang menarik yang menggunakan sistem operasi terhadapnya adalah helah lokasi fail yang dikenali sebagai "relatif berbanding mutlak." Pada versi lama Windows (Windows XP, 2003, dan yang lebih awal) dan sistem operasi awal yang lain, jika anda mengetik nama fail dan tekan Enter, atau jika sistem operasi mencari fail bagi pihak anda, ia akan selalu dimulakan dengan folder atau lokasi direktori semasa anda terlebih dahulu, sebelum mencari di tempat lain. Tingkah laku ini mungkin kelihatan cukup cekap dan tidak berbahaya, tetapi penggodam dan perisian hasad menggunakannya untuk keuntungan mereka.

Contohnya, andaikan anda mahu menjalankan kalkulator Windows yang tidak berbahaya (calc.exe). Cukup mudah (dan selalunya lebih cepat daripada menggunakan beberapa klik tetikus) untuk membuka command prompt, ketik calc.exedan tekan Enter. Tetapi perisian hasad boleh membuat fail berbahaya yang disebut calc.exe dan menyembunyikannya di direktori semasa atau folder rumah anda; apabila anda cuba menjalankan calc.exe, ia akan menjalankan salinan palsu.

Saya menyukai kesalahan ini sebagai penguji penembusan. Sering kali, setelah saya memasuki komputer dan perlu meningkatkan hak istimewa saya kepada Pentadbir, saya akan mengambil versi perisian yang tidak dapat ditandingi yang sebelumnya terdedah dan meletakkannya di folder sementara. Sebilangan besar waktu yang harus saya lakukan adalah meletakkan satu mudah alih atau DLL yang rentan, sambil meninggalkan keseluruhan program yang ditambal sebelumnya yang dipasang. Saya akan memasukkan nama fail program yang boleh dieksekusi di folder sementara saya, dan Windows akan memuatkan Trojan yang mudah dilaksana dari folder sementara saya dan bukannya versi yang baru ditambal. Saya menyukainya - Saya dapat memanfaatkan sistem yang ditambal sepenuhnya dengan satu fail buruk.

Sistem Linux, Unix, dan BSD telah menyelesaikan masalah ini selama lebih dari satu dekad. Microsoft menyelesaikan masalah pada tahun 2006 dengan pelepasan Windows Vista / 2008, walaupun masalahnya tetap ada dalam versi lama kerana masalah keserasian mundur. Microsoft juga telah memberi amaran dan mengajar pembangun untuk menggunakan nama fail / jalan mutlak (bukan relatif) dalam program mereka sendiri selama bertahun-tahun. Namun, puluhan ribu program warisan terdedah kepada muslihat lokasi. Penggodam tahu ini lebih baik daripada sesiapa sahaja.

Pelajaran: Gunakan sistem operasi yang menerapkan jalan direktori dan folder mutlak, dan cari fail di kawasan sistem lalai terlebih dahulu.

Stealth attack No 5: Host hedirect fail

Tidak diketahui oleh kebanyakan pengguna komputer masa kini adalah adanya fail berkaitan DNS bernama Hosts. Terletak di bawah C: \ Windows \ System32 \ Drivers \ Dll di Windows, fail Host boleh mengandungi entri yang menghubungkan nama domain yang diketik ke alamat IP yang sesuai. Fail Host pada asalnya digunakan oleh DNS sebagai cara untuk host menyelesaikan masalah pencarian nama-ke-IP secara tempatan tanpa perlu menghubungi pelayan DNS dan melakukan resolusi nama berulang. Sebahagian besarnya, fungsi DNS berfungsi dengan baik, dan kebanyakan orang tidak pernah berinteraksi dengan fail Host mereka, walaupun terdapat di sana.

Peretas dan perisian hasad gemar menulis entri berniat jahat mereka kepada Host, sehingga apabila seseorang menaip nama domain yang popular - katakanlah, bing.com - mereka diarahkan ke tempat lain yang lebih berbahaya. Pengalihan berbahaya sering kali mengandungi salinan hampir sempurna dari laman web asal yang diinginkan, sehingga pengguna yang terjejas tidak menyedari peralihan tersebut.

Eksploitasi ini masih digunakan secara meluas sehingga kini.

Pelajaran: Sekiranya anda tidak dapat mengetahui mengapa anda diarahkan secara jahat, periksa fail Host anda.

Serangan Stealth No. 6: Serangan lubang air

Serangan Waterhole mendapat nama mereka dari metodologi cerdik mereka. Dalam serangan ini, penggodam memanfaatkan fakta bahawa mangsa yang menjadi sasaran mereka sering bertemu atau bekerja di lokasi fizikal atau maya tertentu. Kemudian mereka "meracuni" lokasi itu untuk mencapai objektif jahat.

Sebagai contoh, kebanyakan syarikat besar mempunyai kedai kopi, bar, atau restoran tempatan yang terkenal dengan pekerja syarikat. Penyerang akan membuat WAP palsu dalam usaha mendapatkan bukti kelayakan syarikat sebanyak mungkin. Atau penyerang akan mengubahsuai laman web yang sering dikunjungi untuk melakukan perkara yang sama. Mangsa sering lebih santai dan tidak curiga kerana lokasi yang disasarkan adalah portal awam atau sosial.

Serangan Waterhole menjadi berita besar tahun ini apabila beberapa syarikat teknologi berprofil tinggi, termasuk Apple, Facebook, dan Microsoft, antara lain, terganggu kerana laman web pengembangan aplikasi popular yang dikunjungi oleh pembangunnya. Laman web telah diracuni dengan pengalihan JavaScript berbahaya yang memasang perisian hasad (kadang-kadang sifar hari) di komputer pemaju. Stesen kerja pemaju yang dikompromikan kemudian digunakan untuk mengakses rangkaian dalaman syarikat mangsa.

Pelajaran: Pastikan pekerja anda menyedari bahawa "lubang penyiraman" yang popular adalah sasaran penggodam yang biasa.

Serangan siluman No. 7: Umpan dan beralih

Salah satu teknik penggodam berterusan yang paling menarik dipanggil umpan dan beralih. Mangsa diberitahu bahawa mereka memuat turun atau menjalankan satu perkara, dan buat sementara waktu, tetapi kemudian ditukar dengan item berbahaya. Contohnya banyak.

Adalah biasa bagi penyebar malware untuk membeli ruang iklan di laman web yang popular. Laman web, semasa mengesahkan pesanan, ditunjukkan pautan atau kandungan yang tidak berbahaya. Laman web meluluskan iklan dan mengambil wang. Orang jahat kemudian menukar pautan atau kandungan dengan sesuatu yang lebih jahat. Selalunya mereka akan membuat kod laman web berbahaya baru untuk mengarahkan penonton kembali ke pautan atau kandungan asal jika dilihat oleh seseorang dari alamat IP milik pelulus asal. Ini menyukarkan pengesanan dan pengurangan cepat.

Serangan umpan dan pertukaran yang paling menarik yang saya lihat sejak akhir-akhir ini melibatkan penjahat yang membuat kandungan "percuma" yang boleh dimuat turun dan digunakan oleh sesiapa sahaja. (Fikirkan konsol pentadbiran atau kaunter pelawat untuk bahagian bawah halaman Web.) Selalunya applet dan elemen percuma ini mengandungi klausa pelesenan yang mengatakan, "Boleh digunakan semula secara bebas selagi pautan asal masih ada." Pengguna yang tidak curiga menggunakan kandungan itu dengan niat baik, sehingga pautan asalnya tidak tersentuh. Biasanya pautan asal tidak akan mengandungi apa-apa kecuali lambang fail grafik atau perkara lain yang remeh dan kecil. Kemudian, setelah elemen palsu dimasukkan dalam ribuan laman web, pemaju jahat yang asal mengubah kandungan yang tidak berbahaya untuk sesuatu yang lebih berbahaya (seperti pengalihan JavaScript yang berbahaya).

Pelajaran: Berhati-hatilah dengan pautan ke mana-mana kandungan yang tidak berada di bawah kawalan langsung anda kerana ia boleh dimatikan seketika tanpa persetujuan anda.