Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Атаки через WEB-серверы




В данной статье описано много различных атак WEB-серверов и броузеров, но, начиная 2005 года мало-помалу стал формироваться особый класс атак - атаки через WEB-сервер. Ранее считалось, не заходите на сомнительные WEB-сайты и вы в безопасности. Априори считалось, что серверы крупных солидных фирм и государственных учреждений вне подозрений и заход на них не может принести вреда. Сегодня это совершенно не так (пример такого рода смотри выше - атака сайта www.vt21.ru).

Если вдуматься, то такое развитие событий логично. На официальные сайты крупных организаций заходят беззаботно большое число людей, именно по этой причине они являются мишенями атак хакеров. Если атака такого сайта оказывается успешной, хакер размещает там вредоносный код или ссылку на вредоносный сайт. Внешне это может быть более чем безобидно, например, <a href=www.hacker.ru>www.microsoft.ru</a> - ведь пользователю видна лишь URL Microsoft. В результате за короткий срок могут быть заражены и взломаны машины пользователей, посетивших такой WEB-сервер. Смотри Web Based Attacks. Таким образом, одно успешное вторжение может дать хакеру тысячи машин-зомби.

Спектр разновидностей атак этого типа необыкновенно широк. Этому способствует многообразие технологий, используемых на сайтах солидных фирм: мультимедиа, форумы, базы данных, ICQ, PHP и CGI-скрипты и т.д. При просмотре страницы ее образ часто формируется из материалов, поступающих из самых разных источников (до 20), в том числе считываемых через Интернет в реальном масштабе времени. Дополнительную угрозу могут представлять рекламные баннеры, размещаемые непроверенными организациями.

В 2008 году компания Symantec зарегистрировала атаки из 808000 доменов, многие из которых являются серверами достаточно солидных фирм (среди них новостные серверы, сетевые центры по продажам, бюро путешествий, правительственные учреждения и пр.).

Легальные WEB-серверы взламываются посредством:

· SQL-Injection

· Вредоносной рекламы

· Методом переадресации результатов работы поискового сервера

· Через виртуальные хостинговые компании

· Через уязвимости программ, обслуживающих форумы

· Cross-site scripting

К числу уязвимостей прикладных программных средств следует отнести возможность удаленного исполнения произвольных команд, загрузка файлов из Интернет, удаленный запуск исполнения локальных файлов, удаленное разрушение приложения. Надо сказать, что это вопиющие уязвимости, существует огромное множество менее очевидных слабостей прикладных программ.

Все чаще хакеры используют видео и аудио-файлы для перенесения вредоноснх кодов. Пользователям следует проявлять осторожность при участии в вебинарах.

Потенциально уязвимые узлы выявляются с привлечением специализированных поисковых систем. Тот факт, что многие сайты формируются с использованием баз данных, делает атаки типа SQL-injection особенно эффективными. При этом часто используется технология IFRAME. Надо сказать, что существуют и другие сходные разновидности вторжений (OS-injection, LDAP-injection, XPath-запросы), когда интерпретатору входных данных подсовываются неприемлемые параметры в надежде сломать систему.

Анализ атак через WEB-серверы показал, что техника детектирования вирусов и вообще атак с помощью сигнатур становится все менее эффективной. Разработана методика шифрования вредоносного кода, что делает невозможным его распознавание из-за отличия ключей. Этому способствует также то, что счет сигантур идет уже на десятки тысяч.


Хакерами разработан специализированный набор инструментальных программных средств для взлома серверов и рабочих станций - toolkit. В Интернет имеется ряд общедоступных и даже коммерческих видов toolkit, например, Neosploit, MPack, Icepack, El Fiesta и Adpack. Эти средства ориентированы на использование известных классов уязвимостей браузеров (ActiveX, мультимедиа plug-ins и пр.)

Toolkit включают в себя:

· Средства для выявления особенностей программного обеспечения потенциальной жертвы (тип ОС, ее версия, вид броузера, активные процессы)

· Средства управления атакой (раз в час, раз в сутки), что усложняет детектирование атаки.

· Инструментарий для определения направления атаки (например, язык, на котором написана ОС или приложение)

· Возможность выбора типов и порядка перебора уязвимостей

· Средства расширения перечня используемых уязвимостей

· Возможности модификации стратегии атаки (вместо того, чтобы атаковать каждого посетителя имеется возможность случайного выбора жертвы), что усложняет детектирование и отслеживание атаки.

· Средства обеспечения скрытности атаки

· Динамическое изменение URL и типа распространяемого malware

Если до 2006 года включительно средства маскировки атаки не применялись, то в настоящее время это стало стандартной практикой. Сюда относятся автоматические средства полиморфизма malware, а также программы шифрования.

Одним из основных инструментов вторжения в последнее время стала атака типа "drive-by download" (загрузка файлов или скриптов без ведома хозяина). В 2008 году Symantec зарегистрировала 18 миллионов попыток такого вида вторжений. При этом могут использоваться самые разные технологии. Схема такой атаки показана на рисунке.

 

Логика заражения наглядно показана на рисунке ниже (см. Drive-by-Downloads, Web Malware Threats, and Protecting Your Website and Your Users). Ниже этой проблеме посвящен небольшой специальный раздел Атаки "Drive-by Download".

 

Реализация разновидности атаки такого типа показана на рисунке ниже (цифры 1-6 указывают на последовательность действий). Смотри Today’s Blended Threats White Paper. Identifying and Stopping Web-based Email Attacks.

 

Сначала хакер взламывает какой-то легальный WEB-сервер и размещает там вредоносный код (1). Далее атакер рассылает почтовые сообщения со ссылками на зараженный сайт (2). Такие почтовые сообщения легко преодолевает антивирусные фильтры и детекторы SPAM (3). Клиент-жертва кликает на ссылке, указывающей на зараженный сайт (4).Так как сайт является легальным, переход туда осуществляется без препятствий, ведь его URL отсутствует в репутационных списках или ACL (5). После этого машина пользователя оказывается зараженной (6).

Разнообразие мультимедиа форматов также облегчает работу хакеров. Ведь пользователя обычно не удивляет необходимость загрузки новейшей версии кодека или драйвера для просмотра или прослушивания материала, размещенного на удаленном сервере. Например,:

 

Но помимо драйвера или вместо него может быть загружен, например, spyware. Возможно также ложное уведомление о вирусе на вашей машине с предложением его удалить, если вы кликнете на соответствующей клавише. Результат здесь будет тем же, что и в случае с драйвером/кодеком. Пример такого уведомления представлен ниже.

 

Разумеется, богатые возможности предоставляет случай, когда вы вздумаете воспользоваться через WEB-сайт услугами файлообменной сети. Здесь вам могут также предложить загрузить новую версию служебной программы, так как та, что у вас имеется, уже устарела.

Рекламные сообщения могут вас привести на некоторый сайт, где вам предлагается купить нечто через Интернет (книгу или содержимое музыкального диска). При этом вам будет предложено ввести номер вашей кредитной карты и пин-код. Товар вы вероятнее всего получите, но вскоре выяснится, что сумма на вашем счете начала на глазах таять. Существует и другая разновидность такой уловки. Вам предлагают дешевый вариант некоторой программы. Если вы покупаете ее, вместе с ней вы получите некоторую разновидность malware. Хакер совмещает "приятное с полезным". Среди таких программ (обычно дешевле 50$):

1. SpywareSecure

2. AntiVirus2008

3. AntiVirus2009

4. XPAntivirus

5. WinFixer

6. SafeStrip

7. RegistryDefender

8. VirusRemover2008

9. IEDefender

10. VirusResponseLab

Этим перечень различных уловок с WEB-сайтами не исчерпывается. Каждый день появляются новые. Так что будьте подозрительны и осторожны! Следите за качеством паролей (совет тривиальный, но, по-прежнему, эффективный). Своевременно, желательно автоматически, обновляйте свои программные продукты. Полезно рассмотреть возможность установки WAF (WEB application Firewall).

Одним из простых способов защиты информации является ее маскирование, когда критические данные подменяются видоизмененными данными (на вид вполне правдоподобными), при сохранении форматов. Такая схема может быть применена для внешних клиентов, не обладающих требуемым уровнем доступа. Это может быть и шифрация/дешифрация, но могут быть использованы и более примитивные методы, например, все фамилии заменяются на Иванов. Подобную подмену полезно делать при отладке программ обработки корпоративных данных, чтобы избежать утечки информации. Такая задача может быть легко решена во многих организациях своими силами.

 

Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...