[Nerix]

Är lite nyfiken, hur blir en site infekterad?

[leonard]

Citat:

Ursprungligen postat av Nerix

Är lite nyfiken, hur blir en site infekterad?

De mer vanliga sätten är b.la skadlig kod i form av javascript, iframes som inkluderar en malicious site m.m som utnyttjar sårbarheter i besökares plugins/programvaror/webbläsare. PDF och Flash är väl klassiker som brukar vara öppna för sårbarheter. Hemsidor blir ofta infekterade genom att man utnyttjar exploits i CMSet som tillåter angriparen att skriva HTML/JS-kod på hemsidan, eller att angriparen utnyttjar exempelvis uppladdningsfunktioner för att ladda upp shells.

Finns även mer sofistikerade tillvägagångssätt då exempelvis FTP-klienter utnyttjas för att ladda upp infekterad kod.

Lite mer information om tillvägagångssätt och hot inom PDF-sårbarheter finns i detta whitepaper från Symantec: http://www.symantec.com/content/en/u...df_malware.pdf (Passa er.. PDF-fil )

I ovanstående exempel så används b.la hemsidor för att sprida skadliga PDF filer.

[daniel.s]

Citat:

Ursprungligen postat av leonard

De mer vanliga sätten är b.la skadlig kod i form av javascript, iframes som inkluderar en malicious site m.m som utnyttjar sårbarheter i besökares plugins/programvaror/webbläsare. PDF och Flash är väl klassiker som brukar vara öppna för sårbarheter. Hemsidor blir ofta infekterade genom att man utnyttjar exploits i CMSet som tillåter angriparen att skriva HTML/JS-kod på hemsidan, eller att angriparen utnyttjar exempelvis uppladdningsfunktioner för att ladda upp shells.

Finns även mer sofistikerade tillvägagångssätt då exempelvis FTP-klienter utnyttjas för att ladda upp infekterad kod.

Lite mer information om tillvägagångssätt och hot inom PDF-sårbarheter finns i detta whitepaper från Symantec: http://www.symantec.com/content/en/u...df_malware.pdf (Passa er.. PDF-fil )

I ovanstående exempel så används b.la hemsidor för att sprida skadliga PDF filer.

Hur fungerar det med PDF-sårbarheter? Tar sidan över PDF-filer eller är det filen i sig som kan vara en intrångspunkt?

[leonard]

Citat:

Ursprungligen postat av daniel.s

Hur fungerar det med PDF-sårbarheter? Tar sidan över PDF-filer eller är det filen i sig som kan vara en intrångspunkt?

PDF-filer brukar tillåta javascriptfunktioner att inkluderas i viss utsträckning, som skickliga personer kan utnyttja för att injecta shellcode hos offret. Shellcoden kan innehålla instruktioner att starta vissa processer, bypassa behörigheter m.m för att förenkla nedladdning av trojaner. Det finns även fall då man gömt hela rootkits/trojaner/maskar direkt i PDF-filerna, detta är dock mer ovanligt då det kräver lite mer finess.

Sidan tar inte över filen på något sätt, oftast är hosten ovetandes om att en pdf-fil existerar öht på servern. Tricket är att få användaren att öppna den - därmed är det vanligast med att skicka ut PDF-filer via e-post som en bifogad fil. Men det är också inte helt ovanligt att angripare med direkt access till offrets server bara byter ut en befintlig PDF-fil som i ägarens ögon är helt legit mot en infekterad variant (fortfarande samma innehåll). Slugt som fan och svårt att upptäcka om det är en 0-day exploit som används..

Kan ju tillägga att det egentligen inte är PDF formatet i fråga som är sårbart utan snarare programvarorna som man öppnar det i som är risken (Adobe reader exempelvis).

Känner detta är jävligt off-topic nu kanske, men på en statlig myndighet som jag jobbade åt under en period så öppnade vi ej betrodda PDFer i sandbox miljöer (virtuella) för att undvika just sådant här.