Acquisizione schermo tramite installazione silenziosa routing back-out porta 80

-1

Un test di penetrazione è stato presumibilmente fatto attraverso il seguente metodo. Il tester ha inviato a un utente un collegamento ipertestuale che:

Ha installato silenziosamente un pezzo di software / codice / etc attraverso il browser con 0 interazione dell'utente. Shelled l'app silenziosamente attraverso 0 interazione dell'utente. Restituisce una schermata del desktop dell'intero utente attraverso la porta 80 al tester.

Ho difficoltà a credere che l'interazione con 0 utenti sia stata coinvolta in tutto questo. Potrei capire un exploit per ottenere il codice nel sistema, ma in realtà non invocare il software. Potrei anche vedere l'utente essere ingannato nel consentire estensioni / plug-in / qualunque, ma non una distribuzione completamente silenziosa.

Qualcuno ha mai sperimentato questo tipo di test? o sentito parlare di un exploit che consente questo?

EDIT:

Era un'e-mail inviata attraverso le note del loto. L'utente ha fatto clic sul collegamento. Fine delle azioni dell'utente.

    
posta Joe Swindell 04.12.2014 - 18:56
fonte

3 risposte

2

Un browser che funziona correttamente non consente che ciò accada. Tuttavia, esistono vulnerabilità che rendono la visita della pagina l'unica interazione necessaria per avviare software dannoso. Credo che CVE-2014-1776 sia un esempio recente di tale.

Qui è un'analisi più dettagliata. Il sommario all'inizio dell'articolo offre una panoramica:

  1. The HTML page loads a Flash SWF file.
  2. The Flash SWF ActionScript performs a heap spray. A Flash Sound object is referenced here.
  3. Control is transferred to a JavaScript function in the HTML page.
  4. The JavaScript function sprays the heap, exploiting the use-after-free vulnerability in IE.
  5. A time-triggered ActionScript function in the SWF file will be invoked, gaining compete access to process memory.
  6. The ActionScript function traverses the Import Address Table for the modules kernel32.dll and ntdll.dll, storing the address of SetThreadContext and ZwProtectVirualMemory.
  7. The ActionScript function overwrites the virtual function table (vftable) pointer of the Sound object, pivots the stack with a number of return-oriented programming (ROP) gadgets, and executes the shellcode.
    
risposta data 04.12.2014 - 19:03
fonte
1

Has anyone experienced this kind of test? or heard of an exploit that allows this?

Questo è totalmente possibile.

Un abile malintenzionato può creare un sito in modo che se lo fai clic anche solo una volta, in pochi secondi può prendere il controllo del tuo computer. Ancora peggio, potresti non dover andare sul suo sito. Se fai clic su un link che conduce al suo sito, egli potrebbe "possedere" il tuo computer in modo fattibile.

Ogni volta che visiti una pagina Web, molte attività invisibili possono accadere sul tuo computer. Ad esempio, se il sito Web ti dà il benvenuto con il tuo nome, è perché l'ultima volta che hai visitato, ha messo uno speciale file di testo chiamato cookie sul tuo computer. Se un titolo azionario scorre o i punteggi sportivi vengono aggiornati automaticamente, il sito potrebbe eseguire uno script sul tuo computer. Questa roba è normale. Ma il fatto che il tuo computer sia disposto a ricevere ed eseguire istruzioni da un sito Web è ciò che gli hacker sfruttano.

Non tutti gli attacchi basati sul Web sono visibili alla vittima designata. Gli hacker sofisticati usano trucchi per nascondere quello che stanno facendo. Ma tali attacchi sofisticati sono rari.

Example:

https://www.youtube.com/watch?v=c8cQ0yU89sk

    
risposta data 04.12.2014 - 19:22
fonte
0

Il download e l'esecuzione di software semplicemente visitando un sito senza interazione dell'utente è solitamente chiamato download per unità . Gli exploit comuni sono attraverso i famigerati plug-in Java o Flash buggy o tramite bug del browser come MS14-064 . Non c'è nemmeno bisogno di essere il malware installato sul computer, invece un RAT (Remote Access Toolkit) può essere eseguito completamente dall'interno del browser sfruttato .

Quindi questo tipo di attacchi sono purtroppo possibili e sono in uso attivo. Solitamente vengono diffusi tramite collegamenti a (phishing) mail, siti Web violati (spesso tramite bug in CMS come wordpress o plugins with backdoors ) o malvertising .

    
risposta data 06.12.2014 - 22:55
fonte

Leggi altre domande sui tag