Rizici na internetu: Zaraženi legitimni sajtovi (3. deo)
Tekstovi o zaštiti, 15.09.2010, 02:07 AM

Kako dolazi do infekcije kompjutera dok surfujete internetom? Kako sajber-kriminalci zarađuju prevarom internet korisnika? Serijom tekstova koje ćemo objavljivati narednih dana pokušaćemo da vam odgovorimo na neka pitanja.
U prvom tekstu serijala bavili smo se napadima, spamom, reklamnim banerima i primamljivim linkovima. U drugom tekstu smo pojasnili kako sajber-kriminalci svoje maliciozne sajtove čine vidljivijim za Google i one koji surfuju internetom.
Treći tekst, koji je pred vama, bavi se jednim od najozbiljnijih problema današnjeg interneta - legitimnim sajtovima koji postaju opasni za svoje redovne posetioce pošto su prethodno hakovani i zaraženi malicioznim programima.
Prikriveni drive-by download (vidi u Rečniku: drive-by download) je metod koji se sve češće koristi za širenje malicioznih programa. U drive-by napadu, infekcija kompjutera ne zahteva učešće korisnika, niti korisnik primećuje da mu je računar zaražen. Većina drive-by napada se pokreće sa zaraženih legitimnih sajtova.
Zaraženi legitimni sajtovi su možda jedan od akutnih i najozbiljnijih problema današnjeg interneta. Nisu retkost ni naslovi u medijima poput “Masovnim hakovanjem hiljade web stranica zaraženo malware-om”, “Problemi u bezbednosti WordPress-a dovode do masovnog hakovanja. Da li je vaš blog sledeći na redu?” i “Lenovo sajt za podršku korisnicima inficira Trojancem kompjutere posetilaca”. Kaspersky Lab svakodnevno otkriva hiljade zaraženih sajtova sa kojih se preuzimaju (download) štetni kodovi na kompjutere korisnika bez njihovog znanja ili saglasnosti.
Po pravilu, drive-by napadi ne podrazumevaju da korisnika treba ubediti da poseti određeni sajt; korisnik će, po navici, sam doći na sajt. Takav sajt, na primer, može biti legitimni (ali zaraženi) web sajt na kome korisnik svakodnevno čita vesti ili na koji dolazi zbog određenih proizvoda.
Sajt se obično inficira na jedan od dva načina: ili putem ranjivosti u samom sajtu (na primer, SQL injection), ili korišćenjem prethodno ukradenih poverljivih podataka potrebnih za pristup sajtu. Najčešći metod je dodavanje skrivenog tag-a nazvanog iframe u izvorni kod stranice. Iframe tag uključuje link ka malicioznom sajtu i automatski preusmerava korisnika prilikom njegove posete zaraženom web sajtu.
Maliciozni sajt hostuje exploit ili paket exploit-a (vidi u Rečniku: exploit) koji se pokreće ako korisnik ima ranjivi softver na svom računaru. Ovo dovodi do toga da maliciozni izvršni fajl bude preuzet i pokrenut.
Slika ispod pokazuje kako takav napad funkcioniše:
Kako funkcioniše tipičan drive-by napad
Exploit paketi
Exploit paketi se danas veoma često koriste u drive-by napadima. Exploit paket je grupa programa koji iskorišćavaju ranjivosti u legitimnim softverskim proizvodima na pogođenom kompjuteru. Drugim rečima, exploit-i otvaraju neku vrstu "malih vrata" kroz koja maliciozni programi mogu zaraziti kompjuter. S obzirom da se napadi na internetu odvijaju preko browser-a, sajber-kriminalci treba da iskoriste ranjivosti u browser-u, u dodacima za browser (add-ons) ili third-party softveru kojeg browser koristi za obradu sadržaja. Osnovni cilj exploit paketa je da download-uju i pokrenu maliciozne izvršne fajlove a da to korisnik ne primeti.
Slika ispod prikazuje uobičajeni set dodataka za Firefox. Verzije sa ranjivostima koje su bile iskorišćavane u dosadašnjim napadima usmerenim protiv korisnika su označene žutim markerom. Osim toga, i druge ranjivosti su otkrivene (i iskorišćavane) u samom Firefox-u.
Danas, exploit paketi predstavljaju evolutivni vrhunac drive-by download napada, i redovno se menjaju i ažuriraju. Razlog tome je što oni moraju uključivati exploit-e za nove programske propuste i što moraju efikasno osujećivati zaštitne protivmere.
Exploit paketi imaju svoje mesto na crnom tržištu. Trenutno se na ovom tržištu u prodaji nalazi mnogo exploit paketa; oni se razlikuju po ceni, broju exploit-a koje sadrže, upotrebljivosti adminstratorskog interfejsa, i nivou usluga koja se nudi kupcima. Pored već postojećih exploit paketa koji se nalaze u prodaji, neke sajber-kriminalne bande nude uslugu izrade exploit paketa prema narudžbi.
Najčešće se naručuju exploit paketi koji su se koristili u Gumblar i Pegel (script downloader) napadima.
Ono što čini izuzetnom najnoviju verziju Gumblar-a je automatizovan proces infekcije web sajtova i korisničkih kompjutera. I exploit-i i izvršni fajlovi se koriste u napadima i postavljaju na hakovane legitimne sajtove. Kada korisnik poseti sajt zaražen Gumblar-om, on biva preusmeren na drugi zaraženi web sajt, na kome će njegov kompjuter biti zaražen.
U Gumblar napadima iskorišćavani su poznati programski propusti u programima Internet Explorer, Adobe Acrobat/Reader, Adobe Flash Player i Java.
Pegel se takođe širi putem zaraženih legitimnih web sajtova, ali se ciljani kompjuteri inficiraju preko servera koji se nalaze pod kontrolom sajber-kriminalaca. Ova metoda olakšava sajber-kriminalcima prilagođavanje izvršnog fajla i exploit paketa novoj ranjivosti i omogućava im da brže reaguju. Na primer, jedan je haker dodao exploit paketu exploit-a kako bi se iskorišćavala ranjivost u Java Deployment Toolkit. To je učinjeno čim je izvorni kod postao dostupan. Twetti downloader je još jedan Trojanac koji koristi neke zanimljive metode. Ovaj maliciozni program kreira brojne zahteve upućene Twitter API i koristi dobijene podatke da bi generisao prividno slučajno ime domena. Korisnici se onda preusmeravaju ka ovom domenu. Sajber-kriminalci koriste sličan algoritam za pribavljanje imena domena, njihovo registrovanje i potom smeštanje malicioznih programa na sajt sa kojeg će oni biti preuzimani na korisničke kompjutere.
Exploit paket: Crimepack Exploit System
Kao primer, navešćemo jedan od najčešćih exploit paketa koji se trenutno u slobodnoj prodaji: Crimepack Exploit System.
Crimepack ima sopstvenu kontrolnu tablu sa visokokvalitetnim korisničkim interfejsom. (Za uvećani prikaz, kliknite na sliku koju želite da pogledate)
Crimepack admin panel: prijavljivanje
Administratorski panel web interfejsa može biti korišćen za menjanje konfiguracije exploit paketa. Pored toga, on pruža statističke podatke o broju preuzimanja, uspešnosti exploit-a, i operativnim sistemima i browser-ima na zaraženim kompjuterima.
Prikaz statističkih podataka u admin panelu Crimepack-a
Sam exploit paket je kodirana HTML strana koja sadrži JavaScript.
Crimepack exploits: izvorni kod
Analiza dešifrovane stranice omogućava praćenje glavne namene Crimepack-a. Script u okviru stranice pokušava, u određenim vremenskim intervalima, da iskoristi ranjivosti u Internet Explorer, DirectX, Java i Adobe Reader. Tokom ovih pokušaja, koristi se niz komponenti, uključujući i PDF i JAR fajlove, koji se učitavaju pokretanjem originalnog script-a.
Crimepack exploits: glavni zadatak
Do početka jula 2010. godine, Crimepack Exploit System je imao svoju treću verziju koja sadrži 14 exploit-a koji pogađaju proizvode Microsoft-a, Mozilla-e i Opera-e.
Nastaviće se...
Preuzeto sa

Izdvojeno
Zbog Crnog petka lažne onlajn prodavnice preplavile internet

Kako se bliži Crni petak (i Sajber ponedeljak), broj lažnih sajtova za prodaju se više nego udvostručio u odnosu na prethodnu godinu. Stručnjaci ... Dalje
Skriveni rizici jeftinih Android uređaja
.jpg)
Ušteda prilikom kupovine telefona, televizora ili Android set-top boxa može biti primamljiva, ali nažalost, jeftini uređaji nekad nas mogu koštat... Dalje
Ko je na internetu najviše izložen riziku od prevara, hakovanja i krađe identiteta?

Ko je na internetu najviše izložen riziku od prevara, hakovanja i krađe identiteta? Pre nekoliko godina, mnogi bi na ovo pitanje odgovorili da su s... Dalje
Android aplikacije često traže previše nepotrebnih dozvola, ali ove aplikacije su posebno rizične
.jpg)
Dobro dizajnirana aplikacija treba da zahteva samo dozvole neophodne za njenu funkcionalnost. Budite uvek oprezni kada dajete dozvole aplikacijama i p... Dalje
Ljubavne prevare LoveGPT-a: AI šarmer digitalnog doba ima mnogo lica, i sva su obmana

Istraživači iz kompanije Avast upozorili su na prevarante koji koriste ChatGPT za „ljubavne prevare“ i ćaskanje sa ljudima na Tinderu,... Dalje
Pratite nas
Nagrade