In che modo i kit di exploit enumerano o impronte digitali dei loro obiettivi?

10

La mia attuale comprensione è che un kit di exploit impronta le impronte digitali (raccoglie informazioni su) su un sistema, controlla quei dettagli su un database di vulnerabilità e poi tenta di utilizzare gli exploit pertinenti.

Riesco a vedere semplici modi di controllare cose come la versione installata di Flash usando JS, ma questo è molto facile da difendersi (perché è solo JavaScript che può essere fermato, modificato o scavalcato dall'utente).

Quali altre tecniche vengono utilizzate per raccogliere informazioni su un utente quando trovano la loro pagina di destinazione del kit di exploit?

Ad esempio, in che modo scoprire quale versione di Adobe Reader stai utilizzando o quali plugin del browser sono installati se sei arrivato sulla mia pagina web?

    
posta Arlix 10.11.2017 - 14:33
fonte

2 risposte

14

Penso che potresti presumere che i kit siano più complicati di loro.

Un kit è progettato per sfruttare le vulnerabilità specifiche . Non è necessario "impronte digitali" e scegliere l'exploit migliore. Può solo tentare di sfruttare ciò che è stato progettato per sfruttare. Alcuni kit tenteranno un metodo dopo l'altro in serie finché qualcosa non funzionerà.

Ad esempio, un kit può essere progettato per sfruttare i browser Safari. Quando un utente lo colpisce, viene lanciato l'exploit. Se funziona o meno dipende dal fatto che il browser e la versione corretti abbiano effettuato la connessione. In caso contrario, in genere non succede nulla che l'utente possa vedere comunque.

Per il tuo esempio di Adobe Reader, il kit non ha bisogno di sapere che una versione specifica sta leggendo il file. Il kit serve solo il file PDF con l'exploit al suo interno. Qual è il costo del fallimento?

D'altra parte, se il kit vuole essere più mirato, allora sì, cerca i marcatori specifici che richiede. Ma quali sono questi indicatori e in seguito come cercarli dipenderà dalla vulnerabilità. Troppi per enumerare qui.

    
risposta data 10.11.2017 - 15:18
fonte
3

Una tecnica che può essere utilizzata per raccogliere informazioni su un utente è tramite Flash.

Flash è molto simile a java e può rilevare il tuo tipo di browser e fare molto di più.

Il codice script di azione può fare molto.

Come rilevare se JavaScript è abilitato, il tipo di browser, il sistema operativo e anche se il file SWF (file flash) è in esecuzione in un ambiente con sandbox.

Come un utente malintenzionato utilizza il flash:

  1. Utilizza un file flash per rilevare le informazioni degli utenti.

  2. Se il browser è cromato, molto probabilmente verrà reindirizzato a una pagina fittizia poiché Chrome nella maggior parte dei casi non può essere sfruttato a causa della sua sandbox. O Verrai reindirizzato alla pagina di destinazione dell'exploit.

Nella maggior parte dei casi JavaScript non sarebbe necessario in un exploit flash, ma molti exploit-kit fanno uso di JavaScript per scrivere sull'html sul dom.

I file JAR (imballati java) e XAP (Silverlight dll + XAML) possono fare lo stesso e in alcuni casi più di Flash.

In generale Ciò che la maggior parte dei kit di exploit è:

  1. Innanzitutto prendi i dettagli delle informazioni di sistema degli utenti principalmente tramite Flash o JavaScript.
  2. Se le informazioni di sistema degli utenti sono sfruttabili, vai avanti e sfruttale.

I kit di exploit utilizzano anche exploit chiamati browser info-leak. Usando questo sono in grado di rilevare la versione del browser, le informazioni di sistema e i plugin!

    
risposta data 02.01.2018 - 02:54
fonte

Leggi altre domande sui tag