I download dannosi ignorano il downloader del browser integrato, in caso affermativo, in che modo ciò accade?

3

Ho letto molto qui su download dannosi da siti di navigazione, drive by download, ecc, ma non ho mai sentito parlare di come accade il download e di come ignorerebbe il download interno del browser. Nella maggior parte dei browser verrai avvisato quando stai scaricando qualcosa, cioè Chrome mostra tutti i download in fondo nel proprio vassoio.

Mi sembra che questi download dannosi siano invisibili, il che significherebbe che potrebbero aggirare qualsiasi browser di download incorporato.

La mia domanda è, se questo è davvero il caso di aggirarlo, come è possibile, e quali metodi vengono utilizzati per fermarlo, e c'è qualcosa che possiamo fare sul client?

Se questo non è il caso, significa che viene scaricato come un normale file, in cui gli utenti ignoranti eseguiranno il programma?

Mi sono imbattuto in una situazione sul computer di qualcuno che conosco dove hanno visitato un sito e avevano estensioni aggiuntive scaricate nel loro browser Chrome che causavano cose approssimative come una finta pagina "nuova scheda" di Google. Quindi, per me, sembra che un sacco di questo possa accadere senza che l'utente lo consenta (o non sanno di averlo permesso?).

EDIT: ho trovato questa domanda Gli attacchi di download da unità includono download di file dannosi?

Che non risponde esattamente alla mia domanda, ma aggiunge che direbbe che un utente dovrebbe eseguire un file, o JS dannoso in esecuzione, activeX, Java, ecc., ma sono curioso di sapere se c'è un modo per aggirare i downloader , in quanto il codice dannoso viene scaricato sul tuo computer. Sembra anche che l'utente potrebbe aver bisogno di eseguirlo, ma allo stesso tempo, forse no ... Suppongo che dipenderà da cosa sia effettivamente il codice dannoso e da cosa ti sta attaccando? vale a dire, è un file, o Java, o Adobe Flash, ecc.

    
posta XaolingBao 10.01.2017 - 12:58
fonte

2 risposte

4

La cosa importante da capire qui è che "navigare" in quanto tale è pericoloso se il tuo browser è vulnerabile e visiti il sito sbagliato. Il problema non ha nulla (o poco) da fare con ciò che la maggior parte degli utenti chiama "download", ovvero il download intenzionale di un file per salvarlo su disco per un uso successivo (come scaricare un pdf, un exe, un'immagine o un film o qualsiasi altra cosa).

Per capire cosa succede devi pensare a quali sono i programmi per computer. Sono processi che vengono eseguiti in memoria. Accettano input e producono output. Naturalmente sto semplificando, ma presto mi verrà l'idea. L'input è ciò che fornisci (clic del mouse, informazioni sull'URL, dati del modulo che inserisci, ecc.). L'output è principalmente ciò che viene visualizzato nella finestra del browser e ciò che si consuma attraverso l'occhio e il cervello.

Un altro input per il programma del browser è ciò che il browser scarica dal / i sito / i visitato / i. Tieni presente che può essere difficile tenere traccia di ciò che viene effettivamente caricato dal sito. Il sito potrebbe collegare centinaia di altri siti per ottenere immagini, stili, javascript, creare annunci, includere Mi piace su Facebook ecc.

Ora come vengono compromessi i programmi per computer? Attraverso input malformati in situazioni in cui i programmatori si sono dimenticati di controllare l'input per il formato corretto o hanno commesso errori di programmazione. Nel nostro caso: se visiti il sito sbagliato, invierai un formato filmato malformato in html, css, malformato, .... (qualunque cosa l'hacker scopra che può essere sfruttato) al tuo browser sperando che tu stia utilizzando una versione vulnerabile. Quindi, nel processo del browser, si verifica un overflow del buffer o simili e l'hacker raggiunge RCE (esecuzione di codice in modalità remota, il che significa che trasforma il browser in uno strumento della sua volontà).

Quindi nel caso in cui il browser sia vulnerabile non è necessario scaricare intenzionalmente per essere hackerato. Se è fatto bene, non ti accorgerai nemmeno di quando succede.

Le estensioni del browser di solito peggiorano la situazione. Generalmente, più software esegui e che elabora l'input esterno (non verificato) più grande diventa la superficie d'attacco.

Quindi cosa puoi fare?

  • Assicurati che il tuo browser sia aggiornato aggiornato
  • Evita cose che sono note per essere vulnerabili (Flash Player)
  • Evita i siti che sembrano di pesce
  • se possibile, utilizza le tecnologie di virtualizzazione (utilizza un browser in una macchina virtuale. Reimposta l'immagine della macchina virtuale dopo ogni utilizzo)
risposta data 10.01.2017 - 13:18
fonte
0

In qualità di sviluppatore web, in particolare un manutentore a lungo termine della download.js libreria (semplicemente citando per rilevanza dal momento che io tenere il passo con questa roba per tenerlo aggiornato), posso assicurarti che i download NON SONO DESTINATI a succedere senza consenso. A volte lo fanno:

  1. l'utente ha scelto di scaricare o aprire automaticamente un determinato tipo di file, ma questo non dovrebbe includere gli eseguibili. Questa è l'opzione "Apri sempre file di questo tipo", che può aiutarti con macro di parole e altro.

  2. c'è un difetto in un plugin, browser o estensione che consente alla pagina malevola di utilizzare un modo non regolamentato per salvare il file. Gli esempi includono il vecchio flash che potrebbe scrivere direttamente sul disco rigido, gli exploit PDF e il terribile sistema di "zona" di IE6 gestito in modo errato.

  3. i file normalmente innocui possono essere resi malevoli: macro di parole, exploit di lettori PDF, anche file zip e audio mal funzionanti. A volte l'estensione mostra questi file sul browser, portando a un compromesso perché all'utente non è stato chiesto se mostrarlo è accettabile.

  4. l'utente è ingannato nell'esecuzione di un eseguibile completo che hanno approvato il download di, spesso sotto le spoglie di un gioco, codec video, sex tape, ecc.

  5. gli attacchi basati su e-mail cercano di agganciarsi a gestori di script interni al sistema operativo, ignorando le protezioni del browser e il sandboxing. È qui che uno script jscript o powershell recupera un carico utile maggiore da http alla cartella temporanea e lo esegue.

In breve, non attaccano, non aggirano più le difese del browser, ingannano l'utente o impiegano metodi non del browser.

    
risposta data 10.01.2017 - 15:42
fonte

Leggi altre domande sui tag