SlideShare ist ein Scribd-Unternehmen logo

[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő

Zoltan Balazs
Zoltan Balazs

Ethical hacking 2012 prezentációm a Firefox rosszindulatú böngésző kiegészitőmről

Technologie
1 von 25
Zombi tűzróka, avagy mire képes egy rosszindulatú böngésző kiegészítő
Bemutatkozás Balázs Zoltán Deloitte Vezető tanácsadó CISSP, CPTS, MCP zbalazs@deloittece.com
Miről szól az előadás? • Kártékony kiegészítők (add-on, plug- in, extension) történelme • Fókuszban a Firefox, de Chrome / IE is • Előnyök – hátrányok • Böngésző-kiegészítő „rootkit” • Élő demo – saját fejlesztésű kiegészítő Jogi nyilatkozat: • Minden nézet és gondolat amit ma megosztok, a sajátom. • A következő prezentáció tartalma nem áll összefüggésben bármilyen korábbi, jelenlegi vagy jövőbeni munkáltatóm véleményével. • Az elhangzottakat csak tesztlabor körülmények között szabad alkalmazni, csak jó célra.
Firefox kártékony kódok történelme • Kiegészitők 90%-ban Facebook spammelésre készültek • 2004-2010: 5 darab • 2011: 5 darab • 2012.01.01 – 2012.05.08: 31 darab • Cheesecake factory – 600,000 felhasználó Firefoxban – Chrome-ban is elkészült
© websense
Saját fejlesztésű Firefox kiegészítő • C&C – parancsvégrehajtás utasításra • Jelszavak, sütik lopása • Fájlok fel- és letöltése • Exe végrehajtás (csak Windows) • HTTP kérés küldése és válasz küldése támadónak • HTTP kérés/válasz tetszőleges módosítása
Kiegészítő telepítése • Fizikai hozzáférés, Social Engineering, XSS + SE • Távoli kódvégrehajtás - felhasználói interakció nélkül 1. Látható a kiegészítő listában • Meterpreter autorunscript installer 2. Másik kiegészítőbe rejtőzködés - rootkit • Plusz egy .js fájl beszúrása a XUL fájlba • A .js fájl beszúrása az XPI fájlba • Aláírás telepítéskor kerül ellenőrzésre
Jelenlegi figyelmeztetések
Zombi böngésző veszélyei • Tűzfal/proxy N • Lokális szoftver tűzfal N • Alkalmazás fehérlista N • Webes tartalomszűrő N • Kiegészítő frissítése N
Zombi böngésző veszélyei • Cross-platform N • Cross-domain N • Minden titok elérhető N – Jelszó beviteli mód sem számit (jelszó széf, virtuális billentyűzet stb.) – SSL (+JS obfuszkáció) előtti kommunikáció • A kártékony kiegészítők forráskódjai elérhetőek N • Meterpreterrel szemben előny N – Perzisztenciához nem szükséges exe/dll – Regisztrációs adatbázis írás
Zombi böngésző veszélyei • Alacsony AV szignatúra felismerési arány N • 2011. januári minta – 2012. februárjában 00 / 43 0 0/// 43 43 43 • Kiegészítő vs. viselkedés alapú védelem N
Hátrányok • Nem valódi rootkit • Böngésző korlátok (pl. portscan) • Platform korlátok (pl. végrehajtható fájlok csak Windowson) • Felhasználói jogokkal fut
Böngésző védelem • Firefox – addons.mozilla.org – UID blokkolása blocklist.xmlben (naponta frissül) – activity@facebook.com – youtubeer@youtuber.com – extensions.blocklist.enabled = false • Chrome – chromeextensions.org – Fejlesztői díj (5 $) – „Ellenőrzött” szerző – Jogosultságok kérése telepítésnél – ExtensionInstallBlacklist_Policy – http://www.gstatic.com/chrome/extensions/blacklist/l_0_0_0_7.txt • Internet Explorer – Felhasználók nem telepítenek IE kiegészítőket
Saját fejlesztésű Firefox kiegészítő • Sütik ellopása • Jelszavak lopása • Böngésző jelszótárolóból vagy DOMból vagy hálózatról • C&C – parancsvégrehajtás utasításra • Fájlok fel- és letöltése • JavaScript végrehajtás • Exe végrehajtás (csak Windows) • HTTP kérés küldése és válasz küldése támadónak • SSL tanúsítvány ujjlenyomat változás esetén kommunikáció megszakítása • Demo hacme-bank • Célszámlaszám átírása • Tranzakciós lista visszaírása eredeti adatokra • Kijelentkezés letiltása • És még sok más… 
Hacmebank DEMO
Kétfaktoros autentikáció • Süti lopás – Google demo
Chrome DEMO
Zombi Android DEMO
Mi a teendő? • @antivírus fejlesztők – Legalább reaktivitás legyen – A böngésző az új operációs rendszer • @böngésző fejlesztők – Alapértelmezett tiltás külső oldalakról történő kiegészítő telepítés esetén – Chrome-szerű biztonság • Jogosultság kérése telepítéskor • Kiegészítő komponensek - jogosultság szétválasztás – Kiegészítő ne tilthassa le a frissítést
Mi a teendő? • @web fejlesztők – Jelszó lopás ellen – Süti lopás • Alapértelmezett (de választható) munkamenet kötése IP címhez – Tranzakció módosítás ellen • Független csatornán tranzakció ellenőrzés tranzakció részletekkel - zárt platform… • @felhasználóknak – Óvatosan a kiegészítő telepítésekkel… • @vállalatoknak – Kiegészítők korlátozása GPO-ból
The 11th Immutable Law of Security If a bad guy can persuade you to install his extension in your browser, it's not your browser anymore Balázs Zoltán zbalazs@deloittece.com
ESET Smart Security kérdés Melyik védelem hatásos a zombi tűzróka kiegészítő jelszó-lopó funkciója ellen? C: Jelszó-széf S: SSL Z: Javascript obfuszkáció a jelszón elküldés előtt P: Egyik sem

Empfohlen

Túlélés a Három Betűs Rövidítések világában
Túlélés a Három Betűs Rövidítések világábanTúlélés a Három Betűs Rövidítések világában
Túlélés a Három Betűs Rövidítések világábanOpen Academy
 
[ENG] Hacktivity 2013 - Alice in eXploitland
[ENG] Hacktivity 2013 - Alice in eXploitland[ENG] Hacktivity 2013 - Alice in eXploitland
[ENG] Hacktivity 2013 - Alice in eXploitlandZoltan Balazs
 
Hacking with Remote Admin Tools (RAT)
Hacking with Remote Admin Tools (RAT) Hacking with Remote Admin Tools (RAT)
Hacking with Remote Admin Tools (RAT)Zoltan Balazs
 
[ENG] Zombie browsers spiced with rootkit extensions - Hacktivity 2012
[ENG] Zombie browsers spiced with rootkit extensions - Hacktivity 2012[ENG] Zombie browsers spiced with rootkit extensions - Hacktivity 2012
[ENG] Zombie browsers spiced with rootkit extensions - Hacktivity 2012Zoltan Balazs
 
[ENG] IPv6 shipworm + My little Windows domain pwnie
[ENG] IPv6 shipworm + My little Windows domain pwnie[ENG] IPv6 shipworm + My little Windows domain pwnie
[ENG] IPv6 shipworm + My little Windows domain pwnieZoltan Balazs
 
[ENG] OHM2013 - The Quest for the Client-Side Elixir Against Zombie Browsers -
[ENG] OHM2013 - The Quest for the Client-Side Elixir Against Zombie Browsers - [ENG] OHM2013 - The Quest for the Client-Side Elixir Against Zombie Browsers -
[ENG] OHM2013 - The Quest for the Client-Side Elixir Against Zombie Browsers - Zoltan Balazs
 
[HUN] Védtelen böngészők - Ethical Hacking
[HUN] Védtelen böngészők - Ethical Hacking [HUN] Védtelen böngészők - Ethical Hacking
[HUN] Védtelen böngészők - Ethical Hacking Zoltan Balazs
 
Firefox OS Szakmai Esti Mesek ELTE IK
Firefox OS Szakmai Esti Mesek ELTE IKFirefox OS Szakmai Esti Mesek ELTE IK
Firefox OS Szakmai Esti Mesek ELTE IKdaf182
 

Empfohlen

Túlélés a Három Betűs Rövidítések világában
Túlélés a Három Betűs Rövidítések világábanTúlélés a Három Betűs Rövidítések világában
Túlélés a Három Betűs Rövidítések világábanOpen Academy
 
[ENG] Hacktivity 2013 - Alice in eXploitland
[ENG] Hacktivity 2013 - Alice in eXploitland[ENG] Hacktivity 2013 - Alice in eXploitland
[ENG] Hacktivity 2013 - Alice in eXploitlandZoltan Balazs
 
Hacking with Remote Admin Tools (RAT)
Hacking with Remote Admin Tools (RAT) Hacking with Remote Admin Tools (RAT)
Hacking with Remote Admin Tools (RAT)Zoltan Balazs
 
[ENG] Zombie browsers spiced with rootkit extensions - Hacktivity 2012
[ENG] Zombie browsers spiced with rootkit extensions - Hacktivity 2012[ENG] Zombie browsers spiced with rootkit extensions - Hacktivity 2012
[ENG] Zombie browsers spiced with rootkit extensions - Hacktivity 2012Zoltan Balazs
 
[ENG] IPv6 shipworm + My little Windows domain pwnie
[ENG] IPv6 shipworm + My little Windows domain pwnie[ENG] IPv6 shipworm + My little Windows domain pwnie
[ENG] IPv6 shipworm + My little Windows domain pwnieZoltan Balazs
 
[ENG] OHM2013 - The Quest for the Client-Side Elixir Against Zombie Browsers -
[ENG] OHM2013 - The Quest for the Client-Side Elixir Against Zombie Browsers - [ENG] OHM2013 - The Quest for the Client-Side Elixir Against Zombie Browsers -
[ENG] OHM2013 - The Quest for the Client-Side Elixir Against Zombie Browsers - Zoltan Balazs
 
[HUN] Védtelen böngészők - Ethical Hacking
[HUN] Védtelen böngészők - Ethical Hacking [HUN] Védtelen böngészők - Ethical Hacking
[HUN] Védtelen böngészők - Ethical Hacking Zoltan Balazs
 
Firefox OS Szakmai Esti Mesek ELTE IK
Firefox OS Szakmai Esti Mesek ELTE IKFirefox OS Szakmai Esti Mesek ELTE IK
Firefox OS Szakmai Esti Mesek ELTE IKdaf182
 
Firefox OS előadás a Corvinus Nyári Egyetem rendezvényen
Firefox OS előadás a Corvinus Nyári Egyetem rendezvényenFirefox OS előadás a Corvinus Nyári Egyetem rendezvényen
Firefox OS előadás a Corvinus Nyári Egyetem rendezvényenKálmán "KAMI" Szalai
 
Firefox OS beszámoló
Firefox OS beszámolóFirefox OS beszámoló
Firefox OS beszámolóKálmán "KAMI" Szalai
 
Webműves Kelemen tanácsai, avagy mi kell a PHP falába?
Webműves Kelemen tanácsai, avagy mi kell a PHP falába?Webműves Kelemen tanácsai, avagy mi kell a PHP falába?
Webműves Kelemen tanácsai, avagy mi kell a PHP falába?Open Academy
 
Firefox OS informatika pont neked Gamf
Firefox OS informatika pont neked GamfFirefox OS informatika pont neked Gamf
Firefox OS informatika pont neked Gamfdaf182
 
Testing the system: ethical hacking and penetration testing (in Hungarian)
Testing the system: ethical hacking and penetration testing (in Hungarian)Testing the system: ethical hacking and penetration testing (in Hungarian)
Testing the system: ethical hacking and penetration testing (in Hungarian)Csaba Krasznay
 
Utazás, süti, kávé és pódium helyett - Üzleti megoldások professzionális web...
Utazás, süti, kávé és pódium helyett - Üzleti megoldások professzionális web...Utazás, süti, kávé és pódium helyett - Üzleti megoldások professzionális web...
Utazás, süti, kávé és pódium helyett - Üzleti megoldások professzionális web...Gloster telekom Kft.
 
A Mozilla nem csak Firefox
A Mozilla nem csak FirefoxA Mozilla nem csak Firefox
A Mozilla nem csak FirefoxKálmán "KAMI" Szalai
 
II. Elmélet - ERP rendszerek árazása.pptx
II. Elmélet - ERP rendszerek árazása.pptxII. Elmélet - ERP rendszerek árazása.pptx
II. Elmélet - ERP rendszerek árazása.pptxSzabolcs Gulyás
 
Firefox OS - Az Open Web megérkezik az okostelefonokra
Firefox OS - Az Open Web megérkezik az okostelefonokraFirefox OS - Az Open Web megérkezik az okostelefonokra
Firefox OS - Az Open Web megérkezik az okostelefonokraKálmán "KAMI" Szalai
 
Cloud szolgáltatások
Cloud szolgáltatásokCloud szolgáltatások
Cloud szolgáltatásokMárton Szabó
 
Felhő alapú számítástechnika
Felhő alapú számítástechnikaFelhő alapú számítástechnika
Felhő alapú számítástechnikaKároly Novák
 
CMS en túli webes megoldások
CMS en túli webes megoldásokCMS en túli webes megoldások
CMS en túli webes megoldásokTamas Rigo
 
A világ változik, változik a Mozilla is
A világ változik, változik a Mozilla isA világ változik, változik a Mozilla is
A világ változik, változik a Mozilla isKálmán "KAMI" Szalai
 
A Firefox-on túl is Mozilla
A Firefox-on túl is MozillaA Firefox-on túl is Mozilla
A Firefox-on túl is MozillaKálmán "KAMI" Szalai
 
Firefox OS - Szakmai nap
Firefox OS - Szakmai napFirefox OS - Szakmai nap
Firefox OS - Szakmai napKálmán "KAMI" Szalai
 
Mozilla - közösség, célok, eszközök
Mozilla - közösség, célok, eszközökMozilla - közösség, célok, eszközök
Mozilla - közösség, célok, eszközökKálmán "KAMI" Szalai
 
Biztonságos vállalati kollaborációs
Biztonságos vállalati kollaborációsBiztonságos vállalati kollaborációs
Biztonságos vállalati kollaborációsGloster telekom Kft.
 
Bluespot - ingyenes mobil kommunikációs rendszer bluetooth felett
Bluespot - ingyenes mobil kommunikációs rendszer bluetooth felettBluespot - ingyenes mobil kommunikációs rendszer bluetooth felett
Bluespot - ingyenes mobil kommunikációs rendszer bluetooth felettIstvan Rath
 
Szerver oldali fejlesztés korszerű módszerekkel C# nyelven
Szerver oldali fejlesztés korszerű módszerekkel C# nyelvenSzerver oldali fejlesztés korszerű módszerekkel C# nyelven
Szerver oldali fejlesztés korszerű módszerekkel C# nyelvenKrisztián Gyula Tóth
 
Novell Identity Management
Novell Identity ManagementNovell Identity Management
Novell Identity ManagementKálmán Kéménczy
 
[ Hackersuli ] Privacy on the blockchain
[ Hackersuli ] Privacy on the blockchain[ Hackersuli ] Privacy on the blockchain
[ Hackersuli ] Privacy on the blockchainZoltan Balazs
 
MLSEC 2020
MLSEC 2020MLSEC 2020
MLSEC 2020Zoltan Balazs
 

Weitere ähnliche Inhalte

Ähnlich wie [HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő

Firefox OS előadás a Corvinus Nyári Egyetem rendezvényen
Firefox OS előadás a Corvinus Nyári Egyetem rendezvényenFirefox OS előadás a Corvinus Nyári Egyetem rendezvényen
Firefox OS előadás a Corvinus Nyári Egyetem rendezvényenKálmán "KAMI" Szalai
 
Webműves Kelemen tanácsai, avagy mi kell a PHP falába?
Webműves Kelemen tanácsai, avagy mi kell a PHP falába?Webműves Kelemen tanácsai, avagy mi kell a PHP falába?
Webműves Kelemen tanácsai, avagy mi kell a PHP falába?Open Academy
 
Firefox OS informatika pont neked Gamf
Firefox OS informatika pont neked GamfFirefox OS informatika pont neked Gamf
Firefox OS informatika pont neked Gamfdaf182
 
Testing the system: ethical hacking and penetration testing (in Hungarian)
Testing the system: ethical hacking and penetration testing (in Hungarian)Testing the system: ethical hacking and penetration testing (in Hungarian)
Testing the system: ethical hacking and penetration testing (in Hungarian)Csaba Krasznay
 
Utazás, süti, kávé és pódium helyett - Üzleti megoldások professzionális web...
Utazás, süti, kávé és pódium helyett - Üzleti megoldások professzionális web...Utazás, süti, kávé és pódium helyett - Üzleti megoldások professzionális web...
Utazás, süti, kávé és pódium helyett - Üzleti megoldások professzionális web...Gloster telekom Kft.
 
II. Elmélet - ERP rendszerek árazása.pptx
II. Elmélet - ERP rendszerek árazása.pptxII. Elmélet - ERP rendszerek árazása.pptx
II. Elmélet - ERP rendszerek árazása.pptxSzabolcs Gulyás
 
Firefox OS - Az Open Web megérkezik az okostelefonokra
Firefox OS - Az Open Web megérkezik az okostelefonokraFirefox OS - Az Open Web megérkezik az okostelefonokra
Firefox OS - Az Open Web megérkezik az okostelefonokraKálmán "KAMI" Szalai
 
Cloud szolgáltatások
Cloud szolgáltatásokCloud szolgáltatások
Cloud szolgáltatásokMárton Szabó
 
Felhő alapú számítástechnika
Felhő alapú számítástechnikaFelhő alapú számítástechnika
Felhő alapú számítástechnikaKároly Novák
 
CMS en túli webes megoldások
CMS en túli webes megoldásokCMS en túli webes megoldások
CMS en túli webes megoldásokTamas Rigo
 
A világ változik, változik a Mozilla is
A világ változik, változik a Mozilla isA világ változik, változik a Mozilla is
A világ változik, változik a Mozilla isKálmán "KAMI" Szalai
 
Mozilla - közösség, célok, eszközök
Mozilla - közösség, célok, eszközökMozilla - közösség, célok, eszközök
Mozilla - közösség, célok, eszközökKálmán "KAMI" Szalai
 
Biztonságos vállalati kollaborációs
Biztonságos vállalati kollaborációsBiztonságos vállalati kollaborációs
Biztonságos vállalati kollaborációsGloster telekom Kft.
 
Bluespot - ingyenes mobil kommunikációs rendszer bluetooth felett
Bluespot - ingyenes mobil kommunikációs rendszer bluetooth felettBluespot - ingyenes mobil kommunikációs rendszer bluetooth felett
Bluespot - ingyenes mobil kommunikációs rendszer bluetooth felettIstvan Rath
 
Szerver oldali fejlesztés korszerű módszerekkel C# nyelven
Szerver oldali fejlesztés korszerű módszerekkel C# nyelvenSzerver oldali fejlesztés korszerű módszerekkel C# nyelven
Szerver oldali fejlesztés korszerű módszerekkel C# nyelvenKrisztián Gyula Tóth
 

Ähnlich wie [HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő (20)

Firefox OS előadás a Corvinus Nyári Egyetem rendezvényen
Firefox OS előadás a Corvinus Nyári Egyetem rendezvényenFirefox OS előadás a Corvinus Nyári Egyetem rendezvényen
Firefox OS előadás a Corvinus Nyári Egyetem rendezvényen
 
Firefox OS beszámoló
Firefox OS beszámolóFirefox OS beszámoló
Firefox OS beszámoló
 
Webműves Kelemen tanácsai, avagy mi kell a PHP falába?
Webműves Kelemen tanácsai, avagy mi kell a PHP falába?Webműves Kelemen tanácsai, avagy mi kell a PHP falába?
Webműves Kelemen tanácsai, avagy mi kell a PHP falába?
 
Firefox OS informatika pont neked Gamf
Firefox OS informatika pont neked GamfFirefox OS informatika pont neked Gamf
Firefox OS informatika pont neked Gamf
 
Testing the system: ethical hacking and penetration testing (in Hungarian)
Testing the system: ethical hacking and penetration testing (in Hungarian)Testing the system: ethical hacking and penetration testing (in Hungarian)
Testing the system: ethical hacking and penetration testing (in Hungarian)
 
Utazás, süti, kávé és pódium helyett - Üzleti megoldások professzionális web...
Utazás, süti, kávé és pódium helyett - Üzleti megoldások professzionális web...Utazás, süti, kávé és pódium helyett - Üzleti megoldások professzionális web...
Utazás, süti, kávé és pódium helyett - Üzleti megoldások professzionális web...
 
A Mozilla nem csak Firefox
A Mozilla nem csak FirefoxA Mozilla nem csak Firefox
A Mozilla nem csak Firefox
 
II. Elmélet - ERP rendszerek árazása.pptx
II. Elmélet - ERP rendszerek árazása.pptxII. Elmélet - ERP rendszerek árazása.pptx
II. Elmélet - ERP rendszerek árazása.pptx
 
Firefox OS - Az Open Web megérkezik az okostelefonokra
Firefox OS - Az Open Web megérkezik az okostelefonokraFirefox OS - Az Open Web megérkezik az okostelefonokra
Firefox OS - Az Open Web megérkezik az okostelefonokra
 
Cloud szolgáltatások
Cloud szolgáltatásokCloud szolgáltatások
Cloud szolgáltatások
 
Felhő alapú számítástechnika
Felhő alapú számítástechnikaFelhő alapú számítástechnika
Felhő alapú számítástechnika
 
CMS en túli webes megoldások
CMS en túli webes megoldásokCMS en túli webes megoldások
CMS en túli webes megoldások
 
A világ változik, változik a Mozilla is
A világ változik, változik a Mozilla isA világ változik, változik a Mozilla is
A világ változik, változik a Mozilla is
 
A Firefox-on túl is Mozilla
A Firefox-on túl is MozillaA Firefox-on túl is Mozilla
A Firefox-on túl is Mozilla
 
Firefox OS - Szakmai nap
Firefox OS - Szakmai napFirefox OS - Szakmai nap
Firefox OS - Szakmai nap
 
Mozilla - közösség, célok, eszközök
Mozilla - közösség, célok, eszközökMozilla - közösség, célok, eszközök
Mozilla - közösség, célok, eszközök
 
Biztonságos vállalati kollaborációs
Biztonságos vállalati kollaborációsBiztonságos vállalati kollaborációs
Biztonságos vállalati kollaborációs
 
Bluespot - ingyenes mobil kommunikációs rendszer bluetooth felett
Bluespot - ingyenes mobil kommunikációs rendszer bluetooth felettBluespot - ingyenes mobil kommunikációs rendszer bluetooth felett
Bluespot - ingyenes mobil kommunikációs rendszer bluetooth felett
 
Szerver oldali fejlesztés korszerű módszerekkel C# nyelven
Szerver oldali fejlesztés korszerű módszerekkel C# nyelvenSzerver oldali fejlesztés korszerű módszerekkel C# nyelven
Szerver oldali fejlesztés korszerű módszerekkel C# nyelven
 
Novell Identity Management
Novell Identity ManagementNovell Identity Management
Novell Identity Management
 

Mehr von Zoltan Balazs

[ Hackersuli ] Privacy on the blockchain
[ Hackersuli ] Privacy on the blockchain[ Hackersuli ] Privacy on the blockchain
[ Hackersuli ] Privacy on the blockchainZoltan Balazs
 
Web3 + scams = It's a match
Web3 + scams = It's a matchWeb3 + scams = It's a match
Web3 + scams = It's a matchZoltan Balazs
 
How to hide your browser 0-day @ Disobey
How to hide your browser 0-day @ DisobeyHow to hide your browser 0-day @ Disobey
How to hide your browser 0-day @ DisobeyZoltan Balazs
 
Explain Ethereum smart contract hacking like i am a five
Explain Ethereum smart contract hacking like i am a fiveExplain Ethereum smart contract hacking like i am a five
Explain Ethereum smart contract hacking like i am a fiveZoltan Balazs
 
How to hide your browser 0-days
How to hide your browser 0-daysHow to hide your browser 0-days
How to hide your browser 0-daysZoltan Balazs
 
Test & Tea : ITSEC testing, manual vs automated
Test & Tea : ITSEC testing, manual vs automatedTest & Tea : ITSEC testing, manual vs automated
Test & Tea : ITSEC testing, manual vs automatedZoltan Balazs
 
Hacking Windows 95 #33c3
Hacking Windows 95 #33c3Hacking Windows 95 #33c3
Hacking Windows 95 #33c3Zoltan Balazs
 
Ransomware - what is it, how to protect against it
Ransomware - what is it, how to protect against itRansomware - what is it, how to protect against it
Ransomware - what is it, how to protect against itZoltan Balazs
 
Hacktivity 2016: The real risks of the IoT security-nightmare: Hacking IP cam...
Hacktivity 2016: The real risks of the IoT security-nightmare: Hacking IP cam...Hacktivity 2016: The real risks of the IoT security-nightmare: Hacking IP cam...
Hacktivity 2016: The real risks of the IoT security-nightmare: Hacking IP cam...Zoltan Balazs
 
IoT security is a nightmare. But what is the real risk?
IoT security is a nightmare. But what is the real risk?IoT security is a nightmare. But what is the real risk?
IoT security is a nightmare. But what is the real risk?Zoltan Balazs
 
Sandbox detection: leak, abuse, test - Hacktivity 2015
Sandbox detection: leak, abuse, test - Hacktivity 2015Sandbox detection: leak, abuse, test - Hacktivity 2015
Sandbox detection: leak, abuse, test - Hacktivity 2015Zoltan Balazs
 
DEFCON 22: Bypass firewalls, application white lists, secure remote desktops ...
DEFCON 22: Bypass firewalls, application white lists, secure remote desktops ...DEFCON 22: Bypass firewalls, application white lists, secure remote desktops ...
DEFCON 22: Bypass firewalls, application white lists, secure remote desktops ...Zoltan Balazs
 
[ENG] Hacker halted 2012 - Zombie browsers, spiced with rootkit extensions
[ENG] Hacker halted 2012 - Zombie browsers, spiced with rootkit extensions[ENG] Hacker halted 2012 - Zombie browsers, spiced with rootkit extensions
[ENG] Hacker halted 2012 - Zombie browsers, spiced with rootkit extensionsZoltan Balazs
 
[HUN] Hacktivity2009 - M&M’s: Mafia & Malware’s
[HUN] Hacktivity2009 - M&M’s: Mafia & Malware’s[HUN] Hacktivity2009 - M&M’s: Mafia & Malware’s
[HUN] Hacktivity2009 - M&M’s: Mafia & Malware’sZoltan Balazs
 

Mehr von Zoltan Balazs (17)

[ Hackersuli ] Privacy on the blockchain
[ Hackersuli ] Privacy on the blockchain[ Hackersuli ] Privacy on the blockchain
[ Hackersuli ] Privacy on the blockchain
 
MLSEC 2020
MLSEC 2020MLSEC 2020
MLSEC 2020
 
Web3 + scams = It's a match
Web3 + scams = It's a matchWeb3 + scams = It's a match
Web3 + scams = It's a match
 
MIPS-X
MIPS-XMIPS-X
MIPS-X
 
How to hide your browser 0-day @ Disobey
How to hide your browser 0-day @ DisobeyHow to hide your browser 0-day @ Disobey
How to hide your browser 0-day @ Disobey
 
Explain Ethereum smart contract hacking like i am a five
Explain Ethereum smart contract hacking like i am a fiveExplain Ethereum smart contract hacking like i am a five
Explain Ethereum smart contract hacking like i am a five
 
How to hide your browser 0-days
How to hide your browser 0-daysHow to hide your browser 0-days
How to hide your browser 0-days
 
Test & Tea : ITSEC testing, manual vs automated
Test & Tea : ITSEC testing, manual vs automatedTest & Tea : ITSEC testing, manual vs automated
Test & Tea : ITSEC testing, manual vs automated
 
Hacking Windows 95 #33c3
Hacking Windows 95 #33c3Hacking Windows 95 #33c3
Hacking Windows 95 #33c3
 
Ransomware - what is it, how to protect against it
Ransomware - what is it, how to protect against itRansomware - what is it, how to protect against it
Ransomware - what is it, how to protect against it
 
Hacktivity 2016: The real risks of the IoT security-nightmare: Hacking IP cam...
Hacktivity 2016: The real risks of the IoT security-nightmare: Hacking IP cam...Hacktivity 2016: The real risks of the IoT security-nightmare: Hacking IP cam...
Hacktivity 2016: The real risks of the IoT security-nightmare: Hacking IP cam...
 
IoT security is a nightmare. But what is the real risk?
IoT security is a nightmare. But what is the real risk?IoT security is a nightmare. But what is the real risk?
IoT security is a nightmare. But what is the real risk?
 
Sandboxes
SandboxesSandboxes
Sandboxes
 
Sandbox detection: leak, abuse, test - Hacktivity 2015
Sandbox detection: leak, abuse, test - Hacktivity 2015Sandbox detection: leak, abuse, test - Hacktivity 2015
Sandbox detection: leak, abuse, test - Hacktivity 2015
 
DEFCON 22: Bypass firewalls, application white lists, secure remote desktops ...
DEFCON 22: Bypass firewalls, application white lists, secure remote desktops ...DEFCON 22: Bypass firewalls, application white lists, secure remote desktops ...
DEFCON 22: Bypass firewalls, application white lists, secure remote desktops ...
 
[ENG] Hacker halted 2012 - Zombie browsers, spiced with rootkit extensions
[ENG] Hacker halted 2012 - Zombie browsers, spiced with rootkit extensions[ENG] Hacker halted 2012 - Zombie browsers, spiced with rootkit extensions
[ENG] Hacker halted 2012 - Zombie browsers, spiced with rootkit extensions
 
[HUN] Hacktivity2009 - M&M’s: Mafia & Malware’s
[HUN] Hacktivity2009 - M&M’s: Mafia & Malware’s[HUN] Hacktivity2009 - M&M’s: Mafia & Malware’s
[HUN] Hacktivity2009 - M&M’s: Mafia & Malware’s
 

[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő

  • 1.
  • 2. Zombi tűzróka, avagy mire képes egy rosszindulatú böngésző kiegészítő
  • 4. Miről szól az előadás? • Kártékony kiegészítők (add-on, plug- in, extension) történelme • Fókuszban a Firefox, de Chrome / IE is • Előnyök – hátrányok • Böngésző-kiegészítő „rootkit” • Élő demo – saját fejlesztésű kiegészítő Jogi nyilatkozat: • Minden nézet és gondolat amit ma megosztok, a sajátom. • A következő prezentáció tartalma nem áll összefüggésben bármilyen korábbi, jelenlegi vagy jövőbeni munkáltatóm véleményével. • Az elhangzottakat csak tesztlabor körülmények között szabad alkalmazni, csak jó célra.
  • 5.
  • 6. Firefox kártékony kódok történelme • Kiegészitők 90%-ban Facebook spammelésre készültek • 2004-2010: 5 darab • 2011: 5 darab • 2012.01.01 – 2012.05.08: 31 darab • Cheesecake factory – 600,000 felhasználó Firefoxban – Chrome-ban is elkészült
  • 8. Saját fejlesztésű Firefox kiegészítő • C&C – parancsvégrehajtás utasításra • Jelszavak, sütik lopása • Fájlok fel- és letöltése • Exe végrehajtás (csak Windows) • HTTP kérés küldése és válasz küldése támadónak • HTTP kérés/válasz tetszőleges módosítása
  • 9.
  • 10. Kiegészítő telepítése • Fizikai hozzáférés, Social Engineering, XSS + SE • Távoli kódvégrehajtás - felhasználói interakció nélkül 1. Látható a kiegészítő listában • Meterpreter autorunscript installer 2. Másik kiegészítőbe rejtőzködés - rootkit • Plusz egy .js fájl beszúrása a XUL fájlba • A .js fájl beszúrása az XPI fájlba • Aláírás telepítéskor kerül ellenőrzésre
  • 12. Zombi böngésző veszélyei • Tűzfal/proxy N • Lokális szoftver tűzfal N • Alkalmazás fehérlista N • Webes tartalomszűrő N • Kiegészítő frissítése N
  • 13. Zombi böngésző veszélyei • Cross-platform N • Cross-domain N • Minden titok elérhető N – Jelszó beviteli mód sem számit (jelszó széf, virtuális billentyűzet stb.) – SSL (+JS obfuszkáció) előtti kommunikáció • A kártékony kiegészítők forráskódjai elérhetőek N • Meterpreterrel szemben előny N – Perzisztenciához nem szükséges exe/dll – Regisztrációs adatbázis írás
  • 14. Zombi böngésző veszélyei • Alacsony AV szignatúra felismerési arány N • 2011. januári minta – 2012. februárjában 00 / 43 0 0/// 43 43 43 • Kiegészítő vs. viselkedés alapú védelem N
  • 15. Hátrányok • Nem valódi rootkit • Böngésző korlátok (pl. portscan) • Platform korlátok (pl. végrehajtható fájlok csak Windowson) • Felhasználói jogokkal fut
  • 16. Böngésző védelem • Firefox – addons.mozilla.org – UID blokkolása blocklist.xmlben (naponta frissül) – activity@facebook.com – youtubeer@youtuber.com – extensions.blocklist.enabled = false • Chrome – chromeextensions.org – Fejlesztői díj (5 $) – „Ellenőrzött” szerző – Jogosultságok kérése telepítésnél – ExtensionInstallBlacklist_Policy – http://www.gstatic.com/chrome/extensions/blacklist/l_0_0_0_7.txt • Internet Explorer – Felhasználók nem telepítenek IE kiegészítőket
  • 17. Saját fejlesztésű Firefox kiegészítő • Sütik ellopása • Jelszavak lopása • Böngésző jelszótárolóból vagy DOMból vagy hálózatról • C&C – parancsvégrehajtás utasításra • Fájlok fel- és letöltése • JavaScript végrehajtás • Exe végrehajtás (csak Windows) • HTTP kérés küldése és válasz küldése támadónak • SSL tanúsítvány ujjlenyomat változás esetén kommunikáció megszakítása • Demo hacme-bank • Célszámlaszám átírása • Tranzakciós lista visszaírása eredeti adatokra • Kijelentkezés letiltása • És még sok más… 
  • 19. Kétfaktoros autentikáció • Süti lopás – Google demo
  • 22. Mi a teendő? • @antivírus fejlesztők – Legalább reaktivitás legyen – A böngésző az új operációs rendszer • @böngésző fejlesztők – Alapértelmezett tiltás külső oldalakról történő kiegészítő telepítés esetén – Chrome-szerű biztonság • Jogosultság kérése telepítéskor • Kiegészítő komponensek - jogosultság szétválasztás – Kiegészítő ne tilthassa le a frissítést
  • 23. Mi a teendő? • @web fejlesztők – Jelszó lopás ellen – Süti lopás • Alapértelmezett (de választható) munkamenet kötése IP címhez – Tranzakció módosítás ellen • Független csatornán tranzakció ellenőrzés tranzakció részletekkel - zárt platform… • @felhasználóknak – Óvatosan a kiegészítő telepítésekkel… • @vállalatoknak – Kiegészítők korlátozása GPO-ból
  • 24. The 11th Immutable Law of Security If a bad guy can persuade you to install his extension in your browser, it's not your browser anymore Balázs Zoltán zbalazs@deloittece.com
  • 25. ESET Smart Security kérdés Melyik védelem hatásos a zombi tűzróka kiegészítő jelszó-lopó funkciója ellen? C: Jelszó-széf S: SSL Z: Javascript obfuszkáció a jelszón elküldés előtt P: Egyik sem

Hinweis der Redaktion

  1. Socialengineering állandó