Yahoo! Attacco per iniezione di messaggeri

7

Solo cinque minuti fa ho avuto un attacco per iniezione tramite Yahoo! Messaggero. L'unico effetto visibile è stato il cambio del mio messaggio di stato. Ho anche ricevuto un messaggio di dialogo che diceva che uno script non può continuare a essere eseguito perché la stringa non è stata terminata, o qualcosa del genere; quando ho cercato lo script nel percorso specificato non sono riuscito a trovarlo.

Come è stato eseguito l'attacco: una finestra di conversazione con qualcuno che non sapevo comparire; mostra una scatola distorta, il tipo che appare quando l'altra persona ti sta inviando un file (solo che non c'era alcun file da salvare). (La scatola era distorta come se il client avesse problemi nel renderlo.)

Ho provato a salvare la conversazione (per vedere il testo inviato), ma era vuota. Non ho riavviato il mio computer. Qualche possibilità di vedere cosa mi è stato inviato?

Aggiornamento

Ho cercato l'id attraverso cui è arrivato l'attacco e ho scoperto che è affiliato a un sito che ha una forma pubblica per cambiare il messaggio di stato di una persona: tutto ciò che devi fare è inserire il loro id, il messaggio di stato e sei fatto. (Non penso di dover menzionare quale sito è.)

Ho usato il modulo per inviare attacchi a me stesso in modo da poterli acquisire con un analizzatore di rete. L'exploit è stato inviato tramite una richiesta di trasferimento file non valida. Ho anche inviato un FTR normale per confrontare e vedere cosa c'è di diverso nell'exploit. Tra gli altri, un FTR contiene le seguenti informazioni:

(a) nome del file che viene inviato
(b) dimensione in byte
(c) hash probabilmente usato per verificare se il trasferimento è riuscito

L'exploit non aveva il nome del file e presumibilmente la dimensione del file è 4128 byte (ma non è possibile scaricare alcun file). L'hash è un po 'più interessante. In un normale FTR, l'hash appare come qualsiasi altro (una stringa di caratteri); l'exploit FTR aveva questo per un hash:

'<form><iframe onload=\"SetCustomStatus('mystatus');\"></iframe></form>

La funzione SetCustomStatus proviene da YM SDK . Questo sembra essere tutto, quindi probabilmente non c'è stato alcun danno reale. Sarebbe interessante sapere come hanno ottenuto Yahoo! per inviare quel codice JavaScript al posto di un normale hash.

Comunque, riferirò il sito a Yahoo !. ( Modifica: eccetto che non riesco a trovare dove segnalarlo ... > :()

    
posta Paul Manta 02.12.2011 - 21:08
fonte

1 risposta

2

Non so se sarà possibile salvare un registro di ciò che ti è stato inviato, ma se fossi in te, non me ne preoccuperei. Lo lascerei alle persone della sicurezza per analizzare i dettagli di come sei stato hackerato; se vieni scelto a caso per essere hackerato, ci sono molte probabilità che vengano hackerate anche molte altre, quindi le compagnie di sicurezza professionali hanno buone probabilità di osservare l'attacco in natura.

Invece, mi concentrerei sulla messa in sicurezza del tuo computer in modo da non essere nuovamente hackerato e assicurandoti di eliminare qualsiasi accesso alla tua macchina e all'account Yahoo che l'hacker avrebbe potuto ottenere. In particolare, prenderei i seguenti passi il prima possibile:

  • Cambia immediatamente il tuo Yahoo! Messenger password per una password temporanea, idealmente da un altro computer, se possibile, ma in caso contrario, dal proprio computer. (Questa sarà solo una password temporanea, perché c'è sempre la possibilità che il tuo aggressore abbia infettato la tua copia di Yahoo! Messenger o infettato il tuo computer con un keylogger. Cercheremo di affrontarlo successivamente.)
  • Disconnetti il tuo computer dalla rete. Reboot.
  • Esegui una scansione antivirus completa del tuo computer (la maggior parte avrà un'opzione per eseguire una scansione completa dell'hard disk su richiesta). Risolve eventuali problemi segnalati.
  • Riconnettere la connessione di rete. Chiedi al tuo software antivirus di aggiornare le sue definizioni antivirus. Esegui un'altra scansione completa del virus. Spero che non trovi alcun problema.
  • Reboot. Esegui l'aggiornamento di Windows. Aggiorna tutto il software che ti permetterà di aggiornare. Mentre sei lì, attiva gli aggiornamenti automatici, se per qualche motivo non sono già abilitati.
  • Verifica gli aggiornamenti su Yahoo! Messaggero. Installa eventuali aggiornamenti.
  • Scarica e installa Secuzi PSI . Eseguirlo. Risolve i problemi di sicurezza segnalati (ad esempio, aggiorna qualsiasi software che non è aggiornato).
  • Riavvia se richiesto da uno degli aggiornamenti software precedenti.
  • Ora cambia il tuo Yahoo! Messenger password una seconda volta, questa volta per qualcosa di permanente e difficile da indovinare. Potresti voler cambiare anche le risposte a qualsiasi domanda di sicurezza, per ogni evenienza.
  • Inoltre, controlla il tuo account Yahoo! profilo dell'account e dettagli con molta attenzione. Assicurati che tutti gli indirizzi e-mail siano corretti (ad es. Che l'attaccante non abbia inoltrato la tua e-mail a un altro account). Assicurati che l'attaccante non si sia aggiunto alla tua lista amici o qualcosa del genere.
  • Se hai usato il tuo Yahoo! Messenger password su qualsiasi altro sito o con qualsiasi altro software, cambia la tua password per quei siti / applicazioni e fai lo stesso con loro.

Anche se non ci sono garanzie al 100%, se segui questi passaggi, mi aspetto che probabilmente starai bene.

    
risposta data 03.12.2011 - 07:54
fonte

Leggi altre domande sui tag