На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Атаки с помощью вредоносного содержимого

Когда клиентское программное обеспечение отображает и исполняет содержимое медиа-файлов, которые содержат вредоносные данные, то такие атаки называют атаками с помощью вредоносного содержимого (content-based attack). Диапазон этих атак очень широк: от замаскированных (вредоносный PostScript-код, с помощью которого можно буквально сжечь принтер) до явных (использование встроенных функциональный возможностей в рамках стандартного протокола для запуска вредоносного содержимого).
Шаблон атаки: вызов функции файловой системы с помощью вредоносного содержимого
Когда полученный файл открывается клиентом, заголовок протокола или встроенный в медиа-файл фрагмент кода может использоваться при вызове функции ядра. В качестве примеров таких файлов можно назвать музыкальные файлы МРЗ, файлы архивов ZIP и TAR, a также более сложные PDF- и PostScript-файлы. Стандартными целями этой атаки являются файлы приложений Microsoft Word и Excel, которые доставляются получателю как вложения электронной почты.
Хакеры обычно используют относительные пути к файлам в архивах ZIP, FAR и TAR, чтобы при их разархивировании перейти в родительские каталоги.
1. Правила загрузки файлов (download behaviour5) в Internet Explorer 5 позволяют
удаленным злоумышленникам выполнять чтение интересующих файлов с помощью перенаправления сервера.
2. Благодаря использованию в Internet Explorer элемента управления ActiveX, пред-загрузчика (preloader), удаленные хакеры могут читать интересующие файлы.
3. Использование уязвимого места в Internet Explorer 5.01 (и более ранних версиях), которое характеризуется тем, что со стороны сервера можно перенаправить запрос клиента к локальному файлу вместо запроса на сервер, после чего с помощью аплета Java переслать содержимое файла (server-side page reference redirect). Для доступа к файлу требуется только знать имя каталога и файла.
4. При атаке подмены Web-узла (Web spoofing), которая работает для клиентов Internet Explorer 3.x и 4.x; а также Netscape 2.x, 3.x и 4.x, злоумышленник должен сначала заманить пользователя на ложный Web-узел. Затем адрес ложного узла помещается перед любым URL-адресом, зшрашиваемьгм пользователем, так что адрес http: //www. target. com превращается в http: //www. spoof server. com-/http://www. target. com. После этого запрошенная пользователем Web-страница отсылается к нему через ложный сервер, на котором она может быть изменена, а любая информация, которую передает пользователь, может быть перехвачена. При этом строка состояния внизу экрана и адрес назначения наверху могут быть изменены с помощью аплетов Java.
Контратака: переполнение буфера на стороне клиента
Нет ничего логичнее, чем атаковать тех, кто атакует тебя. Во многих случаях эта философия воплощается в сериях атак отказа в обслуживании, направленных против источника проблем. Как правило, вполне реально узнать, с какого IP-адреса проводится атака, после чего перейти к ответным действиям. Если хакер достаточно глуп, чтобы оставить открытые порты в своей системе, можно завладеть его компьютером.
Подобные идеи привели к созданию коварной стратегии защиты — враждебных сетевых служб, которые выглядят, как привлекательные для атаки цели. Базовый принцип аналогичен принципу создания подложных хостов, но в данном случае выполняется один важный дополнительный шаг. Поскольку большинство клиентских программ подвержены атакам на переполнение буфера и в них присутствуют другие уязвимые места, то очень высока вероятность непосредственного использования этих уязвимых мест при первой попытке.
Неудивительно, что код клиентских программ обычно не проходит тестирования относительно возможных атак. Вот почему проблемы в программном коде клиентских приложений намного серьезнее, чем проблемы в серверных приложениях. Если клиентская программа подключается к враждебному серверу, то этот сервер пытается определить тип и версию подключающейся клиентской программы. В данном случае речь может идти о необычайно широком спектре методов удаленного определения программ.
Как только удается выяснить тип программного обеспечения клиента, враждебный сервер отправляет ответ, в котором "кроется" атака на переполнение буфера (или на другое уязвимое место в системе безопасности клиента). Как правило, эта атака не предназначена для простого вывода из строя клиентской программы. Хакер может воспользоваться этим методом для внедрения вируса или установки потайного хода в систему другого злоумышленника (который первым приступил к атакующим действиям), т.е. использовать соединение этого пользователя против него самого.
Очевидно, что такие контратаки представляют серьезную угрозу для злоумышленников. Любой, кто планирует провести атаки на чужие системы, должен учитывать возможность проведения контратак. Любое клиентское программное обеспечение следует тщательно проверить перед его использованием.
Шаблон атаки: переполнение буфера в клиентской программе
Хакер получает сведения о типе клиента, который пытается подключиться к его серверу. Он предоставляет клиенту вредоносные данные для проведения атаки Возможна установка потайных ходов.
Переполнение буфера в Internet Explorer 4.0 с помощью тега EMBED Авторы часто используют теги <EMBED> в своих HTML-документах. Например:
<EMBED TYPE="audio/midi" SRC="/nyrb/file.mid" AUTOSTART="true">
Если хакер предоставит на вход SRC= слишком длинное имя файла, то в библиотеке mshtml. dll произойдет переполнение буфера. Это стандартный пример использования содержимого Web-страницы для взлома уязвимого модуля в системе. Существуют тысячи путей распространения данных в конкретной системе, однако описанные атаки широко используются и в настоящее время (более подробная информация об атаках на переполнение буфера содержится в главе 7, "Переполнение буфера").
Резюме
Атаки на клиентские программы с помощью враждебных серверов стали чрезвычайно распространенными в настоящее время. Обычные пользователи должны остерегаться таких атак. Особое значение осторожность приобретает при использовании стандартных клиентов для тестирования чужих компьютеров или проведения собственной атаки. При использовании уязвимых мест в клиентских программах необязательно пользоваться вредоносной службой. Атаки с помощью XSS позволяют реализовать непрямой взлом системы посредством уязвимых клиентов.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика