Обнаружен новый способ заражения компьютеров

image

Теги: вредоносный код, Black Hat

Внедрение вредоносного кода происходит в момент, когда компьютер-жертва производит обновление программного обеспечения.

Специалисты израильской компании Radware обнаружили новый метод заражения компьютеров злонамеренным софтом. Внедрение хакерского кода происходит в момент, когда компьютер-жертва производит обновление программного обеспечения. Израильские специалисты утверждают, что в процессe обновления можно без особых проблем вмешаться и фактически подменить обновляемое приложение.

По словам Итцика Котлера, одного из разработчиков новой методики, такому методу внедрения подвержены не менее сотни популярных приложений, используемых миллионам пользователей по всему миру.

Radware разработала специальное программное обеспечение Ippon, которое позволяет проводить атаку и предлагает трехмерную демонстрацию всех проводимых действий. Новая разработка будет показана на конференции Black Hat 2009 ( Лас-Вегас, США).

Принцип действия программы довольно прост: она сканирует пространство в поисках работающей WiFi-сети и проверяет передаваемый траффик на наличие специальных флагов обновления программ, сканирование осуществляется на уровне стандартного протокола HTTP. В том случае, если программа найдет  в трафике запросы на обновление софта, то она перехватывает их и отвечает перед легитимным сервером обновлений, передавая свой поток данных.

По словам разработчиков, Ippon также способен подделывать сообщения, говоря популярным программам, что для них доступны обновления и предлагать их вместо данных с подлинных серверов. Злонамеренный код загружается на компьютер-жертву под видом легитимного софта и выполняется с привилегиями пользователя, загрузившего код.

Решением проблемы может стать использование цифровых подписей в процессе обновления. Например, все разработки Microsoft при обновлении такие подписи используют, однако есть масса программ, отказавшихся цифровых подписей. Кроме того, разработчики советуют пользователям загружать обновления только из защищенных сетей и быть особенно осторожными при работе в публичных беспроводных сетях.


или введите имя

CAPTCHA
Страницы: 1  2  
Антивантузойд
03-08-2009 09:58:19
Принцип действия программы довольно прост: она сканирует пространство в поисках работающей WiFi-сети и проверяет передаваемый траффик на наличие специальных флагов обновления программ, сканирование осуществляется на уровне стандартного протокола HTTP.Божежь ти мой! А назвать свой компьютер в SMB-сети update.microsoft.com, и спокойно выложить туда злонамеренный софт не пробовали. Епрст! Дети, когда ж винда научится отличать доменные имена от smb-имен? (Ручную модификацию <чего-то там>\etc\hosts не предлогать!)
0 |
alex
03-08-2009 10:16:48
айдибилко, это у вас все в линупсе делается на уровне "распаковать архив с апдейтом в папочку" а у винды кабы с обновлениями защищены цифровой подписью
0 |
KG
03-08-2009 12:18:36
обновлениями защищены цифровой подписью Вы ходь про принципы цифровой подписи узнайте. Все что вы можете проверить что подписывающий доверен корневому сертификату, а это очень просто решается. Кстати в обновлении Linux ( кто не в курсе ) используются контрольные суммы для каждого пакета переданные по защищенному каналу связи отдельно и заранее.
0 |
Евгений
03-08-2009 14:33:34
Кстати, зря ругают местный спам-фильтр. Он написан очень талантливо - пропускает преимущественно сообщения наполовину лишенные смысла. По сути топика: KG, вам стоит освежить свои знания о "принципах цифровой подписи". ЭЦП проставляется на хеш-функцию, посчитанную от всего сообщения (в данном случае от файла с исполняемым кодом обновления). Таким образом, и обновления Windows, и обновления Linux защищены от данной атаки примерно равным образом - Windows с помощью ЭЦП на x.509 сертификатах, а Linux - с помощью ЭЦП на открытых ключах GPG. Атака актуальна для приложений под M$ Windows, скачивающих свои обновления и не использующих механизм подписи кода и его проверки. Возможно, такие же приложения есть и для других платформ (linux, macos), но сходу припомнить не могу. Однако, атака красивая элегантная и легко реализуемая. Надо пойти попробовать чтоли %)
0 |
KG
03-08-2009 22:41:17
Имелось в виду что система электронных подписей подразумевает делегирование полномочий, причем многие корневые сертификаты используемые по умолчанию в windows очень широко этим делигированием пользуются. Именно поэтому подобный вектор атаки более чем реализуем.
0 |
05406
03-08-2009 12:41:16
а у винды кабы с обновлениями защищены цифровой подписью каждый пакет лично подписывает сам Булмер...
0 |
__UNIX_hokum
03-08-2009 13:53:30
а у винды кабы с обновлениями заражены цифровой подписью
0 |
Ы
03-08-2009 10:32:19
винда при обновлении на свой /etc/hosts внимание не обращает.
0 |
03-08-2009 15:51:26
Будьте любезны, киньте пруфлинк, сие весьма интересно.
0 |
Если там будет прописан жестко IP-адрес update.microsoft.com, то она на точно на smb-имя и то что скажет ей dns-ник внимание не обратит, а возмет из файла (по здравой логике).
0 |
asd
03-08-2009 12:42:44
пойду-ка пока прыщи поковыряю... без миня ничё не писать!
0 |
Модер секлаба
04-08-2009 06:12:22
Ооооо, и я с Вами... а потом на консоль подергаем?
0 |
04-08-2009 02:23:16
когда ж винда научится отличать доменные имена от smb-имен? а толку от этого? DNS Spoofing никто не отменял, а SMB удобнейшая штука, отключаемая, между прочим
0 |
а SMB удобнейшая штука, отключаемая, между прочимОсобенно в корпоративной сети? Ага-ага? Щас я разозлюсь на свою контору принесу специально отнастроенный ноутбук и включу его в сеть. Прав юзера хватит, что бы цзнать IP, при соответсыующих знаниях винды.
0 |
56453
03-08-2009 10:09:45
Первонах. Автообновления ненужны, надо все делать лапками и не леницца.
0 |
39081
03-08-2009 10:18:16
Автообновления ненужны, надо все делать лапками и не леницца. типа не леница сходить с флешкой в микрософт за патчами?
0 |
Гость
03-08-2009 10:10:06
То-то я удивлюсь, когда между провайдером и мной вдруг появятся вайфайные хотспоты и начнут мне подсовывать неподписанные репозитарии Ведь провайдер беспроводной хренью без ведома клиентов не страдает.
0 |
mic
03-08-2009 10:15:49
она сканирует пространство в поисках работающей WiFi-сети и проверяет передаваемый траффик на наличие специальных флагов обновления программА что они думают по поводу WPA, если ключа нет в словаре для перебора?
0 |
alex
03-08-2009 10:21:27
людям хочется помечтать, что они сделали фичу, которую никто не делал. мне кажеся что тут новости выкладывают по собержанию слов: "вайфай", "сканирует", "хттп", "на уровне"
0 |
mic
03-08-2009 10:17:06
На фото СТРОЯН! Вот он какой.... ====================================
0 |
Страницы: 1  2