Millioner biter av skadelig programvare og tusenvis av ondsinnede hackergjenger streifer rundt i dagens online verden og lurer på enkle duper. Ved å gjenbruke de samme taktikkene som har fungert i årevis, om ikke tiår, gjør de ikke noe nytt eller interessant for å utnytte latskapen vår, bortfall etter dømmekraft eller ren idioti.
Men hvert år kommer antimalwareforskere over noen teknikker som løfter øyenbrynene. Disse inspirerte teknikkene brukes av skadelig programvare eller hackere, og strekker grensene for skadelig hacking. Tenk på dem som innovasjoner i avvik. Som alt nyskapende er mange et mål på enkelhet.
[Verser deg selv i 14 skitne IT-sikkerhetskonsulent-triks, 9 populære IT-sikkerhetspraksiser som bare ikke fungerer, og 10 sprø sikkerhetstriks som gjør det. | Lær hvordan du sikrer systemene dine med nettleseren Deep Dive PDF-spesialrapport og Security Central-nyhetsbrevet, begge fra. ]
Ta Microsoft Excel-makroviruset fra 1990-tallet som stille, tilfeldig erstattet nuller med store bokstaver i regneark, og umiddelbart forvandlet tall til tekstetiketter med verdien null - endringer som for det meste gikk uoppdaget til langt etter at backup-systemene ikke inneholdt noe annet enn dårlige data.
Dagens mest geniale malware og hackere er like snikende og medrivende. Her er noen av de nyeste teknikkene som har vekket min interesse som sikkerhetsforsker og de lærdommene jeg har lært. Noen står på skuldrene til tidligere ondsinnede innovatører, men alle er veldig på moten i dag som måter å rive av selv de kløktigste brukerne.
Skjult angrep nr. 1: falske trådløse tilgangspunkter
Ingen hack er enklere å utføre enn et falskt WAP (trådløst tilgangspunkt). Alle som bruker litt programvare og et trådløst nettverkskort, kan annonsere datamaskinen sin som en tilgjengelig WAP som deretter er koblet til den virkelige, legitime WAP på et offentlig sted.
Tenk på alle gangene du - eller brukerne - har gått til den lokale kaffebaren, flyplassen eller det offentlige samlingsstedet og koblet til det "gratis trådløse" nettverket. Hackere på Starbucks som kaller deres falske WAP "Starbucks Wireless Network" eller på Atlanta flyplass kaller det "Atlanta Airport Free Wireless" har alle slags mennesker som kobler seg til datamaskinen på få minutter. Hackerne kan da snuse ubeskyttet data fra datastrømmene som sendes mellom de uvitende ofrene og deres tiltenkte eksterne verter. Du vil bli overrasket over hvor mye data, til og med passord, fremdeles sendes i klar tekst.
De mer skumle hackerne vil be ofrene sine om å opprette en ny tilgangskonto for å bruke WAP-en. Disse brukerne vil mer enn sannsynlig bruke et vanlig påloggingsnavn eller en av e-postadressene deres, sammen med et passord de bruker andre steder. WAP-hackeren kan da prøve å bruke den samme påloggingsinformasjonen på populære nettsteder - Facebook, Twitter, Amazon, iTunes og så videre - og ofrene vil aldri vite hvordan det skjedde.
Leksjon: Du kan ikke stole på offentlige trådløse tilgangspunkter. Beskytt alltid konfidensiell informasjon sendt over et trådløst nettverk. Vurder å bruke en VPN-forbindelse, som beskytter all kommunikasjon, og ikke resirkulere passord mellom offentlige og private nettsteder.
Stealth-angrep nr. 2: Cookietyveri
Nettleser-informasjonskapsler er en fantastisk oppfinnelse som bevarer "tilstand" når en bruker navigerer på et nettsted. Disse små tekstfilene, sendt til maskinene våre av et nettsted, hjelper nettstedet eller tjenesten med å spore oss gjennom vårt besøk, eller over flere besøk, slik at vi lettere kan kjøpe for eksempel jeans. Hva er det ikke som?
Svar: Når en hacker stjeler informasjonskapslene våre, og i kraft av å gjøre det, blir det oss - en stadig hyppigere forekomst i disse dager. Snarere blir de autentisert til våre nettsteder som om de var oss og hadde levert et gyldig påloggingsnavn og passord.
Visst, informasjonstyveri har eksistert siden oppfinnelsen av nettet, men i disse dager gjør verktøy prosessen like enkel som å klikke, klikke, klikke. Firesheep, for eksempel, er et Firefox-nettlesertillegg som lar folk stjele ubeskyttede informasjonskapsler fra andre. Når det brukes med en falsk WAP eller på et delt offentlig nettverk, kan kapring av informasjonskapsler være ganske vellykket. Firesheep vil vise alle navnene og plasseringene til informasjonskapslene den finner, og med et enkelt museklikk kan hackeren ta over økten (se Codebutler-bloggen for et eksempel på hvor enkelt det er å bruke Firesheep).
Verre, hackere kan nå stjele til og med SSL / TLS-beskyttede informasjonskapsler og snuse dem ut av luften. I september 2011 beviste et angrep merket "BEAST" av skaperne at selv SSL / TLS-beskyttede informasjonskapsler kan fås. Ytterligere forbedringer og forbedringer i år, inkludert velkalte CRIME, har gjort stjeling og gjenbruk av krypterte informasjonskapsler enda enklere.
For hvert utgitt informasjonskapselangrep får nettsteder og applikasjonsutviklere beskjed om hvordan de skal beskytte brukerne. Noen ganger er svaret å bruke den nyeste kryptokrypteringen; andre ganger er det å deaktivere noen uklare funksjoner som folk flest ikke bruker. Nøkkelen er at alle webutviklere må bruke sikre utviklingsteknikker for å redusere informasjonstyveri. Hvis nettstedet ditt ikke har oppdatert krypteringsbeskyttelsen på noen få år, er du sannsynligvis i fare.
Leksjoner: Selv krypterte informasjonskapsler kan bli stjålet. Koble til nettsteder som bruker sikre utviklingsteknikker og den nyeste kryptoen. HTTPS-nettstedene dine bør bruke den nyeste kryptoen, inkludert TLS versjon 1.2.
Stealth angrep nr. 3: Filnavn triks
Hackere har brukt filnavntriks for å få oss til å utføre ondsinnet kode siden begynnelsen av skadelig programvare. Tidlige eksempler inkluderte å navngi filen noe som ville oppmuntre intetanende ofre til å klikke på den (som AnnaKournikovaNudePics) og bruke flere filtyper (for eksempel AnnaKournikovaNudePics.Zip.exe). Frem til i dag skjuler Microsoft Windows og andre operativsystemer lett "kjente" filutvidelser, noe som får AnnaKournikovaNudePics.Gif.Exe til å ligne AnnaKournikovaNudePics.Gif.
For mange år siden stolte virusprogrammer kjent som "tvillinger", "gytere" eller "ledsagervirus" på en lite kjent funksjon i Microsoft Windows / DOS, der Windows ville se ut selv om du skrev inn filnavnet Start.exe. for, og hvis det blir funnet, kjør Start.com i stedet. Companion-virus vil se etter alle .exe-filene på harddisken din, og skape et virus med samme navn som EXE, men med filtypen .com. Dette har lenge vært løst av Microsoft, men oppdagelsen og utnyttelsen av tidlige hackere la grunnlaget for oppfinnsomme måter å skjule virus som fortsetter å utvikle seg i dag.
Blant de mer sofistikerte fil-omdøping-triksene som for tiden er brukt, er bruken av Unicode-tegn som påvirker utdataene fra filnavnet brukere blir presentert. For eksempel kan Unicode-tegnet (U + 202E), kalt Right to Left Override, lure mange systemer til å vise en fil som faktisk heter AnnaKournikovaNudeavi.exe som AnnaKournikovaNudexe.avi.
Leksjon: Når det er mulig, må du sørge for at du kjenner det virkelige, komplette navnet på en fil før du kjører den.
Skjult angrep nr. 4: Plassering, plassering, plassering
Et annet interessant stealth-triks som bruker et operativsystem mot seg selv, er et filplasseringstriks kjent som "relativt versus absolutt." I eldre versjoner av Windows (Windows XP, 2003 og tidligere) og andre tidlige operativsystemer, hvis du skrev inn et filnavn og trykket Enter, eller hvis operativsystemet lette etter en fil på dine vegne, ville det alltid begynne med din nåværende mappe eller katalogplassering først, før du ser andre steder. Denne oppførselen kan virke effektiv og ufarlig nok, men hackere og skadelig programvare brukte den til deres fordel.
Anta for eksempel at du ønsket å kjøre den innebygde, ufarlige Windows-kalkulatoren (calc.exe). Det er enkelt nok (og ofte raskere enn å bruke flere museklikk) til å åpne en ledetekst, skriv inn calc.exe og trykk Enter. Men skadelig programvare kan opprette en skadelig fil kalt calc.exe og skjule den i den gjeldende katalogen eller hjemmemappen din. når du prøvde å utføre calc.exe, ville den kjøre den falske kopien i stedet.
Jeg elsket denne feilen som en penetrasjonstester. Ofte, etter at jeg hadde brutt meg inn i en datamaskin og trengte å heve rettighetene mine til administrator, tok jeg en ikke-patchversjon av en kjent, tidligere sårbar programvare og plasserte den i en midlertidig mappe. Mesteparten av tiden var alt jeg måtte gjøre å plassere en enkelt sårbar kjørbar eller DLL, mens jeg lot hele det tidligere installerte oppdaterte programmet være alene. Jeg vil skrive inn filnavnet til det kjørbare programmet i den midlertidige mappen min, og Windows vil laste den sårbare Trojan-kjørbare filen min fra den midlertidige mappen i stedet for den nylig oppdaterte versjonen. Jeg elsket det - jeg kunne utnytte et fullstendig lappet system med en enkelt dårlig fil.
Linux, Unix og BSD-systemer har fått dette problemet løst i mer enn et tiår. Microsoft løste problemet i 2006 med utgivelsene av Windows Vista / 2008, selv om problemet forblir i eldre versjoner på grunn av problemer med bakoverkompatibilitet. Microsoft har også advart og lært utviklere om å bruke absolutte (i stedet for relative) fil- / banenavn i sine egne programmer i mange år. Likevel er titusenvis av eldre programmer sårbare for lokaliseringstriks. Hackere vet dette bedre enn noen annen.
Leksjon: Bruk operativsystemer som håndhever absolutte katalog- og mappestier, og se etter filer i standard systemområder først.
Stealth angrep nr. 5: Hosts-fil omdirigering
Ikke kjent for de fleste av dagens databrukere er eksistensen av en DNS-relatert fil som heter Hosts. Ligger under C: \ Windows \ System32 \ Drivers \ Etc i Windows, kan Hosts-filen inneholde oppføringer som lenker innskrevne domenenavn til deres tilsvarende IP-adresser. Hosts-filen ble opprinnelig brukt av DNS som en måte for verter å løse navn-til-IP-adressesøk lokalt uten å måtte kontakte DNS-servere og utføre rekursivt navneløsning. For det meste fungerer DNS helt fint, og folk flest kommuniserer aldri med Hosts-filen, selv om den er der.
Hackere og skadelig programvare elsker å skrive sine egne ondsinnede oppføringer til verter, slik at når noen skriver inn et populært domenenavn - si bing.com - blir de omdirigert til et annet sted som er mer skadelig. Den ondsinnede viderekoblingen inneholder ofte en nesten perfekt kopi av det opprinnelige ønsket nettstedet, slik at den berørte brukeren ikke er klar over bryteren.
Denne utnyttelsen er fortsatt i vidt bruk i dag.
Leksjon: Hvis du ikke kan finne ut hvorfor du blir omdirigert, kan du sjekke ut Hosts-filen din.
Stealth-angrep nr. 6: Waterhole-angrep
Waterhole-angrep fikk navnet sitt fra deres geniale metodikk. I disse angrepene utnytter hackere det faktum at de målrettede ofrene ofte møtes eller jobber på et bestemt fysisk eller virtuelt sted. Så "forgifter" de stedet for å oppnå ondsinnede mål.
For eksempel har de fleste store selskaper en lokal kaffebar, bar eller restaurant som er populær blant selskapets ansatte. Angripere vil lage falske WAP-er i et forsøk på å få så mange firmaopplysninger som mulig. Eller angriperne vil ondsinnet endre et ofte besøkt nettsted for å gjøre det samme. Ofre er ofte mer avslappede og intetanende fordi målrettet sted er en offentlig eller sosial portal.
Waterhole-angrep ble store nyheter i år da flere høyprofilerte teknologiselskaper, inkludert Apple, Facebook og Microsoft, ble kompromittert på grunn av populære applikasjonsutviklingswebsteder utviklerne deres besøkte. Nettstedene hadde blitt forgiftet med ondsinnede JavaScript-viderekoblinger som installerte skadelig programvare (noen ganger null dager) på utviklerens datamaskiner. De kompromitterte utviklerarbeidsstasjonene ble deretter brukt til å få tilgang til de interne nettverkene til offerbedriftene.
Leksjon: Sørg for at medarbeiderne dine innser at populære "vannhull" er vanlige hackermål.
Skjult angrep nr. 7: Agn og bryter
En av de mest interessante pågående hackerteknikkene kalles agn og bytte. Ofrene blir fortalt at de laster ned eller kjører en ting, og midlertidig er de det, men det blir da slått ut med et ondsinnet element. Eksempler florerer.
Det er vanlig at malware-spredere kjøper reklameplass på populære nettsteder. Nettstedene, når de bekrefter bestillingen, vises en ikke-skadelig lenke eller innhold. Nettstedet godkjenner annonseringen og tar pengene. Den dårlige fyren bytter deretter lenken eller innholdet med noe mer ondsinnet. Ofte vil de kode det nye ondsinnede nettstedet for å omdirigere seerne tilbake til den opprinnelige lenken eller innholdet hvis de blir sett av noen fra en IP-adresse som tilhører den opprinnelige godkjenneren. Dette kompliserer rask gjenkjenning og nedtaking.
De mest interessante agn-og-bytt-angrepene jeg har sett på for sent, involverer skurkene som lager "gratis" innhold som kan lastes ned og brukes av alle. (Tenk administrasjonskonsoll eller en besøksdisk for bunnen av en webside.) Ofte inneholder disse gratis appletene og elementene en lisensieringsklausul som sier til effekten: "Kan brukes fritt så lenge den opprinnelige lenken er igjen." Intetanende brukere benytter innholdet i god tro og lar den opprinnelige lenken være uberørt. Vanligvis inneholder den opprinnelige lenken ikke annet enn et grafikkfilemblem eller noe annet trivielt og lite. Senere, etter at det falske elementet er inkludert i tusenvis av nettsteder, endrer den opprinnelige ondsinnede utvikleren det ufarlige innholdet for noe mer skadelig (som en skadelig JavaScript-viderekobling).
Leksjon: Vær oppmerksom på lenker til noe innhold som ikke er under din direkte kontroll, fordi det kan slås ut med et øyeblikk uten varsel.
