4. Miről szól az előadás?
• Kártékony kiegészítők (add-on, plug-
in, extension) történelme
• Fókuszban a Firefox, de Chrome / IE is
• Előnyök – hátrányok
• Böngésző-kiegészítő „rootkit”
• Élő demo – saját fejlesztésű kiegészítő
Jogi nyilatkozat:
• Minden nézet és gondolat amit ma megosztok, a sajátom.
• A következő prezentáció tartalma nem áll összefüggésben bármilyen korábbi, jelenlegi vagy jövőbeni munkáltatóm
véleményével.
• Az elhangzottakat csak tesztlabor körülmények között szabad alkalmazni, csak jó célra.
5.
6. Firefox kártékony kódok
történelme
• Kiegészitők 90%-ban Facebook
spammelésre készültek
• 2004-2010: 5 darab
• 2011: 5 darab
• 2012.01.01 – 2012.05.08: 31 darab
• Cheesecake factory
– 600,000 felhasználó Firefoxban
– Chrome-ban is elkészült
10. Kiegészítő telepítése
• Fizikai hozzáférés, Social Engineering,
XSS + SE
• Távoli kódvégrehajtás - felhasználói
interakció nélkül
1. Látható a kiegészítő listában
• Meterpreter autorunscript installer
2. Másik kiegészítőbe rejtőzködés - rootkit
• Plusz egy .js fájl beszúrása a XUL fájlba
• A .js fájl beszúrása az XPI fájlba
• Aláírás telepítéskor kerül ellenőrzésre
12. Zombi böngésző veszélyei
• Tűzfal/proxy N
• Lokális szoftver tűzfal N
• Alkalmazás fehérlista N
• Webes tartalomszűrő N
• Kiegészítő frissítése N
13. Zombi böngésző veszélyei
• Cross-platform N
• Cross-domain N
• Minden titok elérhető N
– Jelszó beviteli mód sem számit (jelszó széf,
virtuális billentyűzet stb.)
– SSL (+JS obfuszkáció) előtti kommunikáció
• A kártékony kiegészítők forráskódjai elérhetőek N
• Meterpreterrel szemben előny N
– Perzisztenciához nem szükséges exe/dll
– Regisztrációs adatbázis írás
14. Zombi böngésző veszélyei
• Alacsony AV szignatúra felismerési arány N
• 2011. januári minta – 2012. februárjában
00 / 43
0 0/// 43
43
43
• Kiegészítő vs. viselkedés alapú védelem N
15. Hátrányok
• Nem valódi rootkit
• Böngésző korlátok (pl. portscan)
• Platform korlátok (pl. végrehajtható fájlok
csak Windowson)
• Felhasználói jogokkal fut
16. Böngésző védelem
• Firefox
– addons.mozilla.org
– UID blokkolása blocklist.xmlben (naponta frissül)
– activity@facebook.com
– youtubeer@youtuber.com
– extensions.blocklist.enabled = false
• Chrome
– chromeextensions.org
– Fejlesztői díj (5 $)
– „Ellenőrzött” szerző
– Jogosultságok kérése telepítésnél
– ExtensionInstallBlacklist_Policy
– http://www.gstatic.com/chrome/extensions/blacklist/l_0_0_0_7.txt
• Internet Explorer
– Felhasználók nem telepítenek IE kiegészítőket
17. Saját fejlesztésű Firefox
kiegészítő
• Sütik ellopása
• Jelszavak lopása
• Böngésző jelszótárolóból vagy DOMból vagy hálózatról
• C&C – parancsvégrehajtás utasításra
• Fájlok fel- és letöltése
• JavaScript végrehajtás
• Exe végrehajtás (csak Windows)
• HTTP kérés küldése és válasz küldése támadónak
• SSL tanúsítvány ujjlenyomat változás esetén
kommunikáció megszakítása
• Demo hacme-bank
• Célszámlaszám átírása
• Tranzakciós lista visszaírása eredeti adatokra
• Kijelentkezés letiltása
• És még sok más…
22. Mi a teendő?
• @antivírus fejlesztők
– Legalább reaktivitás legyen
– A böngésző az új operációs rendszer
• @böngésző fejlesztők
– Alapértelmezett tiltás külső oldalakról
történő kiegészítő telepítés esetén
– Chrome-szerű biztonság
• Jogosultság kérése telepítéskor
• Kiegészítő komponensek - jogosultság szétválasztás
– Kiegészítő ne tilthassa le a frissítést
23. Mi a teendő?
• @web fejlesztők
– Jelszó lopás ellen
– Süti lopás
• Alapértelmezett (de választható) munkamenet
kötése IP címhez
– Tranzakció módosítás ellen
• Független csatornán tranzakció ellenőrzés
tranzakció részletekkel - zárt platform…
• @felhasználóknak
– Óvatosan a kiegészítő telepítésekkel…
• @vállalatoknak
– Kiegészítők korlátozása GPO-ból
24. The 11th Immutable Law of
Security
If a bad guy can persuade you to install
his extension in your browser, it's not
your browser anymore
Balázs Zoltán
zbalazs@deloittece.com
25. ESET Smart Security kérdés
Melyik védelem hatásos a zombi tűzróka
kiegészítő jelszó-lopó funkciója ellen?
C: Jelszó-széf
S: SSL
Z: Javascript obfuszkáció a jelszón
elküldés előtt
P: Egyik sem