Come funziona esattamente questo malware Flash su Ubuntu?

Come per la maggior parte degli exploit remoti che hanno come target un plug-in di terze parti (ad es. Adobe Flash, in questo caso), l'autore dell'attacco ha utilizzato un video flash compresso non valido per corrompere il flash player incorporato sulla vittima.

I meccanismi esatti non mi sono chiari perché non ho intenzione di fare clic sul video che hai linkato perché quel video potrebbe essere il malware stesso ... tuttavia i meccanismi sono sempre gli stessi: ad un certo punto un buffer di dati di qualche dimensione che è stato analizzato in modo errato è stato in grado di ignorare alcuni valori chiave in memoria che hanno provocato perdite di dati o l'esecuzione remota sulla vittima.

Il fatto che si trattasse di un film Flash non è sorprendente di per sé. Alcune vecchie vulnerabilità in Flash Player, di cui sono a conoscenza, implicano il dereferenziamento di blocchi non validi per la dimensione delle immagini incorporate nel video e il disegno al di fuori dell'area di area di disegno assegnata. In sostanza, l'utente malintenzionato ha cambiato le dimensioni dell'immagine / video in modo tale che fossero valide in base al linguaggio di scripting flash, ma in pratica non erano valide e quindi quando il flash player ha tentato di assemblare il contenuto ha danneggiato la memoria.

Ciò che è particolarmente divertente / interessante è il targeting di Linux - perché Windows è l'obiettivo principale per questo tipo di attacchi. Linux tende ad essere più impegnativo perché gli utenti sono in genere più consapevoli del loro livello di minaccia e prendono precauzioni. Ovviamente non è una regola d'oro, ma se stai giocando con Linux stai almeno cercando di imparare come i sistemi funzionano molto più che essere un utente Windows diritto.

Il video mostra troppe informazioni per confermare che si tratta di un attacco riuscito.

C'è troppo da spiegare. Perché l'intera infezione coinvolge una catena di processi del flusso di lavoro. Un'analisi davvero semplice:

1. Una pagina Web contiene XSS iniettato che notifica al server degli autori di attacchi. Il comportamento tipico del browser invierà al server l'agente utente (versione del browser, informazioni sul sistema operativo).
2. Il server attaccante risponderà con uno script che chiede l'installazione del plugin per il browser. (Controlla EFF panopticlick sull'esposizione utente-utente del browser)
3. Dopo aver ricevuto la risposta del browser del client, controlla quali plugin sono soggetti a exploit e invia nuovi elementi, può essere un file Flash, un file PDF, un file video, ecc. che contiene exploit.
4. Il plug-in del browser senza patch carica i contenuti degli exploit ed esegue qualsiasi cosa venga detto dal codice nascosto.
5. Se il sistema operativo non ha arrestato il plug-in per "operazione di memoria illegale", il plug-in esegue il codice e scarica più contenuti dal server degli autori di attacchi ed esegue sul computer dell'utente.

Tuttavia, crash del browser non significa che sia un exploit di successo. A volte significa solo che il plug-in del browser OS Hammer tenta di fare cose divertenti, come overflow del buffer exploit.

Credo che questo non abbia nulla a che fare con i download drive-by come sostiene l'autore. Mi sembra che abbia visitato un sito web a cui è stato iniettato un iFrame contenente il sito dannoso (una forma di Attacco di cross-site scripting ).

Dice che il suo browser si è bloccato e basta. È difficile testare di più senza effettivamente visitare la pagina in cui si è verificato l'incidente, che non sembra segnalare?