exploit antispamming senza rilevazione dell'utente

6

Quindi ho fatto questa domanda perché avevo pensato che gli aggressori avrebbe un modo per identificare il software client, perché sicuramente se 100 exploit diversi fossero spammati contro una macchina degli utenti avrebbero notato?

Le risposte che ho ricevuto suggeriscono che non è così, e infatti i kit di malware più popolari fanno semplicemente spam con una vasta gamma di exploit sperando di essere fortunati.

Quindi la mia domanda è: come succede senza che gli utenti lo sappiano? Se invii spam ad exploit PDF o Java o media player, sicuramente gli utenti noterebbero l'apertura di questi programmi?

Non ricordo nemmeno i consigli agli utenti di essere alla ricerca di tali programmi che si avviano in modo casuale durante la navigazione, il che sembrerebbe un indizio ovvio se questo è il modo in cui funzionano i download tramite download.

Quindi, perché gli exploit spam non sono più evidenti?

    
posta Sonny Ordell 08.06.2011 - 18:30
fonte

3 risposte

7

Perché pensi che l'utente se ne accorga? L'avvio di un programma richiede un po 'di CPU, un po' di RAM, causa alcuni accessi al disco, ma è piuttosto semplice. Anche i geek che hanno un misuratore della CPU o un altro monitor di sistema comune nella loro barra delle applicazioni probabilmente presumono che sia solo un po 'di Javascript su un timer in una pagina Web aperta, o un garbage collector o un'attività pianificata nel sistema operativo.

Forse ti aspettavi che il programma visualizzasse una finestra? L'exploit avrebbe cura di nascondere la finestra, o di eseguire il programma senza visualizzare il suo output in una finestra visibile. Un modo molto semplice per farlo (ma non molto discreto) è quello di avviare il programma ridotto a icona (ad esempio, in Windows, è possibile avviare un programma dalla riga di comando cmd con programname /min ). Esistono modi più sofisticati che nascondono di più il programma: sotto Linux, ad esempio, avvia il programma in un display virtuale come Xvfb ; ci sono modi per farlo anche su Windows . E anche questo presuppone che il programma abbia una GUI; molti componenti di sistema sfruttabili possono essere incorporati in un'altra applicazione GUI (e l'exploit si occuperebbe quindi di fornire un'applicazione wrapper che non visualizza effettivamente nulla) o semplicemente non ha una GUI.

In un contesto web, un exploit sotto forma di qualche risorsa (immagine, documento visualizzato in un plug-in) su una pagina web potrebbe essere disegnato per mostrare come un singolo pixel in qualche angolo remoto, anche accatastato sotto qualche altro elemento per buona misura. Chi controlla tutti i supporti utilizzati da tutti i frame di ogni pagina Web?

    
risposta data 08.06.2011 - 19:19
fonte
3

My question then, is how does this happen without users being aware? If you spam PDF or Java or media player exploits, surely the users would notice these programs opening up?

Gli utenti non devono esserne consapevoli. Se si naviga su una pagina di exploit creata da un malware recente, si sfrutterà un difetto non corretto o danneggiato di recente nel browser. Queste pagine di solito contengono solo il più recente degli attacchi, e gli exploit sono realizzati in modo tale che l'utente può solo notare che una pagina impiega molto tempo per essere caricata, nient'altro. Una pagina di exploit non servirà di solito exploit pdf, questo è un altro vettore di attacco. Contiene vari browser o plug-in relativi al browser, come java o flash, che possono essere caricati senza che l'utente se ne accorga. Nel caso del PDF, è possibile ottenere l'invio tramite e-mail o scaricare un file PDF che include exploit collegati a lettori di PDF, più di essi, e si noterà solo l'apertura del file pdf, che è ciò che si intendeva fare comunque. / p>

So, why are spammed exploits not more obvious?

Sono fatti in quel modo. Il fatto che una pagina offra al tuo browser 10 diversi exploit non significa necessariamente che vedrai i vari programmi aprirsi come sembri supporre. A seconda della qualità degli exploit, potresti non vedere nulla, o vedere solo per un secondo l'apertura di alcune applicazioni e poi scomparire, o nel peggiore dei casi potresti vedere il tuo browser o lettore PDF in crash o presentare un errore (di solito quando la tua applicazione è patchata.

    
risposta data 10.06.2011 - 13:14
fonte
1

I tuoi presupposti / presupposti non sono corretti. Gli attaccanti fanno hanno modo di dire quale versione sta usando la loro vittima, e molti aggressori fanno usano questa informazione sulla versione per decidere quali exploit provare. Ad esempio, questo è comune nel mondo web. Una pagina Web dannosa interrogherà varie API del browser per identificare la versione e quindi tenterà di sfruttare tali API. Per molti exploit del browser (download drive-by), provare a sfruttare un'API non richiede alcuna interazione da parte dell'utente, non apre alcuna nuova finestra e non mostra alcun segno visibile all'utente.

Potrebbero esserci alcuni aggressori che non si preoccupano di controllare le informazioni sulla versione, ma questo non significa che nessuno lo faccia.

    
risposta data 09.06.2011 - 09:44
fonte

Leggi altre domande sui tag