Come può fare clic su un URI infettare un host? [duplicare]

0

Ho visto una presentazione di consapevolezza della sicurezza delle informazioni generica in precedenza, in cui tutto ciò che era richiesto al presentatore per penetrare in un'organizzazione (con un meterpreter / reverse shell), era per qualcuno all'interno di fare clic o digitare (o altrimenti GET / HTTP / 1.1) e accedi al suo URI pubblico.

È realistico? Sicuramente qualsiasi exploit e payload è stato usato, deve richiedere più esecuzione manuale di quella, giusto?

    
posta tjt263 03.04.2017 - 07:04
fonte

3 risposte

2

was for someone on the inside to click, or type (or otherwise GET / HTTP/1.1), and access his public URI.

Is this realistic? Surely whatever exploit and payload was used, must require more manual execution than that, right?

C'è un'ambiguità di fraseggio in questo. "È abbastanza GET?" -- no di certo. Ma fa clic su un link, con un browser vulnerabile , abbastanza ? Lo è.

Non è l'atto di ottenere un carico utile che infetta il sistema di per sé , il problema sta in ciò che viene usato per fare il GETting. Ecco perché vuoi approfondire la difesa:

  • proxy "guard" software per interrompere la navigazione verso le coste non sicure (il GET non parte mai),
  • firewall / antivirus per riconoscere il payload e possibilmente impedirgli di chiamare casa e scaricare un fratello più grande (il GET non ha successo),
  • aggiornamento continuo del sistema per garantire che le vulnerabilità siano ridotte al minimo (GET ha successo ma non ha effetti),
  • ID per rilevare comportamenti sospetti all'interno della rete (gli effetti vengono rilevati e bloccati)
  • backup.

Se il sistema non viene aggiornato e un browser è vulnerabile, l'URL di destinazione potrebbe riconoscere il browser e inviare un carico utile su misura (che non invierà, ad esempio, a un sistema di rilevamento dei contenuti o di scansione dei siti, in per apparire pulito). Se la vulnerabilità lo consente, il contenuto scaricato potrebbe essere in grado di eseguirsi autonomamente e assumere il controllo, e possibilmente scaricare ulteriore codice dannoso meno specifico.

    
risposta data 03.04.2017 - 08:29
fonte
1

Quello che stai cercando sono Download drive-by . Quelli possono infettare un computer senza alcun intervento dell'utente o di un aggressore. Le infezioni drive-by sono molto comuni, come potete vedere nel seguente diagramma di IBM X-Force:

Origine

    
risposta data 03.04.2017 - 07:17
fonte
1

Oltre a ciò che è stato detto, la maggior parte delle infezioni causate semplicemente cliccando su un dato URL sono causate da ciò che viene chiamato "Exploit kits" o "Exploit Packs", come Angler exploit kit e RIG Exploit Pack che sfrutta le vulnerabilità nei sistemi / dispositivi.

Ecco una figura che schematizza una tipica catena di infezioni:

  1. Step1:Contact-Anattackerconvincespeopletoclickthelinktoasitethatservesanexploitkitoftenthroughspamandeffectivesocialengineeringlures.
  2. Step2:Redirect-Theexploitkitfindsvulnerabilitiesinsoftwareinstalledonthesystems/devicesusedtoaccessthelink.
  3. Step3:Exploit-Anexploitthattakesadvantageofthevulnerabilityfoundisexecutedonthesystem/device.
  4. Step4:Infect-Apayload(apieceofmalware)isdroppedandexecutedonthesystem/device.

fonte: link

    
risposta data 03.04.2017 - 16:51
fonte

Leggi altre domande sui tag