trova se è stato sfruttato un bug flash di 0 giorni (su una macchina particolare)

6

Ci sono stati diversi exploit importanti di 0 giorni negli ultimi giorni / settimane in Flash da soli. Nessuno sa per quanto tempo sono stati sfruttati gli 0 giorni, ed è ragionevole aspettarsi che ci siano 0 giorni sfruttati in questo momento, ma non lo sappiamo.

La pratica dell'aggiornamento / aggiornamento del plug-in Flash dopo 0 giorni è stata scoperta mi sembra inadeguata.

Come si può verificare, se una determinata macchina è stata sfruttata? Il flash in 0 giorni consente l'esecuzione di codice arbitrario. AFAICT, il codice eseguito potrebbe essere qualsiasi cosa

C'è un modo per scoprire che è stato utilizzato un exploit e che è stato eseguito un codice?

    
posta Martin Vegter 03.02.2015 - 10:03
fonte

3 risposte

1

L'inadeguatezza è relativa, in quanto non sai cosa stanno facendo, ma se sei disposto a fare la ricerca, allora puoi scoprire che indovino?

Sandbox il browser usando qualcosa come Sandboxie , che ti dirà a cosa sta tentando di accedere, potresti anche installare Wireshark su una macchina e puntare tutto il traffico che esce da quella macchina alla macchina con Wireshark su di essa, in modo da vedere quali pacchetti vengono inviati e ricevuti.

Oltre a ciò, una console che ti permetterà di vedere quali chiamate Flash fanno al tuo sistema locale.

Personalmente, non uso più Flash e scelgo HTML5, ma di nuovo non ci sono ancora abbastanza siti che lo utilizzano completamente.

    
risposta data 03.02.2015 - 11:56
fonte
0

Il problema è che una versione Flash vulnerabile è un conduit nel tuo sistema. Non ci sarà modo di vedere se il tuo sistema è stato compromesso via Flash. Nel migliore dei casi sarai in grado di vedere che hai qualche tipo di infezione / corruzione in generale, ma non sarai in grado di dire come è successo.

    
risposta data 03.02.2015 - 20:43
fonte
0

Se si imposta la gestione dei registri e si inviano i registri degli eventi come syslogs, come si vede nel seguente documento, allora è possibile monitorare gli IoC (o cacciare attraverso gli eventi).

link

Ad esempio, se Flash si arresta in modo anomalo, avvisi EMET o il tuo AV descrive un particolare problema correlato, è probabile che sarai in grado di rintracciare lo sfruttamento. L'unico modo per sapere con certezza è se un processo può essere visualizzato in fase di runtime o in memoria (ad es. Tramite Volatility Framework), ma i log degli eventi forniranno sicuramente un percorso da cacciatore.

Un altro strumento in questo spazio è El Jefe di Immunity Security, ma molti altri sono coperti in quel documento SANS collegato sopra.

Altri hanno commentato l'uso di catture di pacchetti dalla rete. Non penso che questo sia un ottimo approccio, ma le informazioni sulla rete potrebbero corroborare le prove con i suggerimenti che ho fornito qui.

    
risposta data 12.06.2015 - 22:25
fonte

Leggi altre domande sui tag