Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.
Zombi tűzróka,avagy mire képes egy rosszindulatúböngésző kiegészítő
BemutatkozásBalázs ZoltánDeloitteVezető tanácsadóCISSP, CPTS, MCPzbalazs@deloittece.com
Miről szól az előadás?• Kártékony kiegészítők (add-on, plug-  in, extension) történelme• Fókuszban a Firefox, de Chrome / ...
Firefox kártékony kódoktörténelme• Kiegészitők 90%-ban Facebook  spammelésre készültek• 2004-2010: 5 darab• 2011: 5 darab•...
© websense
Saját fejlesztésű Firefoxkiegészítő• C&C – parancsvégrehajtás utasításra• Jelszavak, sütik lopása• Fájlok fel- és letöltés...
Kiegészítő telepítése• Fizikai hozzáférés, Social Engineering,  XSS + SE• Távoli kódvégrehajtás - felhasználói  interakció...
Jelenlegi figyelmeztetések
Zombi böngésző veszélyei• Tűzfal/proxy N• Lokális szoftver tűzfal N• Alkalmazás fehérlista N• Webes tartalomszűrő N• Kiegé...
Zombi böngésző veszélyei• Cross-platform N• Cross-domain N• Minden titok elérhető N      – Jelszó beviteli mód sem számit ...
Zombi böngésző veszélyei• Alacsony AV szignatúra felismerési arány N  • 2011. januári minta – 2012. februárjában          ...
Hátrányok• Nem valódi rootkit• Böngésző korlátok (pl. portscan)• Platform korlátok (pl. végrehajtható fájlok  csak Windows...
Böngésző védelem• Firefox   – addons.mozilla.org   – UID blokkolása blocklist.xmlben (naponta frissül)            – activi...
Saját fejlesztésű Firefoxkiegészítő•   Sütik ellopása•   Jelszavak lopása         • Böngésző jelszótárolóból vagy DOMból v...
Hacmebank  DEMO
Kétfaktoros autentikáció• Süti lopás    – Google demo
ChromeDEMO
Zombi Android   DEMO
Mi a teendő?• @antivírus fejlesztők     – Legalább reaktivitás legyen     – A böngésző az új operációs rendszer• @böngésző...
Mi a teendő?• @web fejlesztők     – Jelszó lopás ellen     – Süti lopás          • Alapértelmezett (de választható) munkam...
The 11th Immutable Law of           SecurityIf a bad guy can persuade you to install  his extension in your browser, its n...
ESET Smart Security kérdésMelyik védelem hatásos a zombi tűzrókakiegészítő jelszó-lopó funkciója ellen?C: Jelszó-széfS: SS...
[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő
[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő
[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő
Nächste SlideShare
Wird geladen in …5
×

[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő

766 Aufrufe

Veröffentlicht am

Ethical hacking 2012 prezentációm a Firefox rosszindulatú böngésző kiegészitőmről

Veröffentlicht in: Technologie
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő

  1. 1. Zombi tűzróka,avagy mire képes egy rosszindulatúböngésző kiegészítő
  2. 2. BemutatkozásBalázs ZoltánDeloitteVezető tanácsadóCISSP, CPTS, MCPzbalazs@deloittece.com
  3. 3. Miről szól az előadás?• Kártékony kiegészítők (add-on, plug- in, extension) történelme• Fókuszban a Firefox, de Chrome / IE is• Előnyök – hátrányok• Böngésző-kiegészítő „rootkit”• Élő demo – saját fejlesztésű kiegészítőJogi nyilatkozat: • Minden nézet és gondolat amit ma megosztok, a sajátom. • A következő prezentáció tartalma nem áll összefüggésben bármilyen korábbi, jelenlegi vagy jövőbeni munkáltatóm véleményével. • Az elhangzottakat csak tesztlabor körülmények között szabad alkalmazni, csak jó célra.
  4. 4. Firefox kártékony kódoktörténelme• Kiegészitők 90%-ban Facebook spammelésre készültek• 2004-2010: 5 darab• 2011: 5 darab• 2012.01.01 – 2012.05.08: 31 darab• Cheesecake factory – 600,000 felhasználó Firefoxban – Chrome-ban is elkészült
  5. 5. © websense
  6. 6. Saját fejlesztésű Firefoxkiegészítő• C&C – parancsvégrehajtás utasításra• Jelszavak, sütik lopása• Fájlok fel- és letöltése• Exe végrehajtás (csak Windows)• HTTP kérés küldése és válasz küldése támadónak• HTTP kérés/válasz tetszőleges módosítása
  7. 7. Kiegészítő telepítése• Fizikai hozzáférés, Social Engineering, XSS + SE• Távoli kódvégrehajtás - felhasználói interakció nélkül 1. Látható a kiegészítő listában • Meterpreter autorunscript installer 2. Másik kiegészítőbe rejtőzködés - rootkit • Plusz egy .js fájl beszúrása a XUL fájlba • A .js fájl beszúrása az XPI fájlba • Aláírás telepítéskor kerül ellenőrzésre
  8. 8. Jelenlegi figyelmeztetések
  9. 9. Zombi böngésző veszélyei• Tűzfal/proxy N• Lokális szoftver tűzfal N• Alkalmazás fehérlista N• Webes tartalomszűrő N• Kiegészítő frissítése N
  10. 10. Zombi böngésző veszélyei• Cross-platform N• Cross-domain N• Minden titok elérhető N – Jelszó beviteli mód sem számit (jelszó széf, virtuális billentyűzet stb.) – SSL (+JS obfuszkáció) előtti kommunikáció• A kártékony kiegészítők forráskódjai elérhetőek N• Meterpreterrel szemben előny N – Perzisztenciához nem szükséges exe/dll – Regisztrációs adatbázis írás
  11. 11. Zombi böngésző veszélyei• Alacsony AV szignatúra felismerési arány N • 2011. januári minta – 2012. februárjában 00 / 43 0 0/// 43 43 43• Kiegészítő vs. viselkedés alapú védelem N
  12. 12. Hátrányok• Nem valódi rootkit• Böngésző korlátok (pl. portscan)• Platform korlátok (pl. végrehajtható fájlok csak Windowson)• Felhasználói jogokkal fut
  13. 13. Böngésző védelem• Firefox – addons.mozilla.org – UID blokkolása blocklist.xmlben (naponta frissül) – activity@facebook.com – youtubeer@youtuber.com – extensions.blocklist.enabled = false• Chrome – chromeextensions.org – Fejlesztői díj (5 $) – „Ellenőrzött” szerző – Jogosultságok kérése telepítésnél – ExtensionInstallBlacklist_Policy – http://www.gstatic.com/chrome/extensions/blacklist/l_0_0_0_7.txt• Internet Explorer – Felhasználók nem telepítenek IE kiegészítőket
  14. 14. Saját fejlesztésű Firefoxkiegészítő• Sütik ellopása• Jelszavak lopása • Böngésző jelszótárolóból vagy DOMból vagy hálózatról• C&C – parancsvégrehajtás utasításra• Fájlok fel- és letöltése• JavaScript végrehajtás• Exe végrehajtás (csak Windows)• HTTP kérés küldése és válasz küldése támadónak• SSL tanúsítvány ujjlenyomat változás esetén kommunikáció megszakítása• Demo hacme-bank • Célszámlaszám átírása • Tranzakciós lista visszaírása eredeti adatokra • Kijelentkezés letiltása• És még sok más… 
  15. 15. Hacmebank DEMO
  16. 16. Kétfaktoros autentikáció• Süti lopás – Google demo
  17. 17. ChromeDEMO
  18. 18. Zombi Android DEMO
  19. 19. Mi a teendő?• @antivírus fejlesztők – Legalább reaktivitás legyen – A böngésző az új operációs rendszer• @böngésző fejlesztők – Alapértelmezett tiltás külső oldalakról történő kiegészítő telepítés esetén – Chrome-szerű biztonság • Jogosultság kérése telepítéskor • Kiegészítő komponensek - jogosultság szétválasztás – Kiegészítő ne tilthassa le a frissítést
  20. 20. Mi a teendő?• @web fejlesztők – Jelszó lopás ellen – Süti lopás • Alapértelmezett (de választható) munkamenet kötése IP címhez – Tranzakció módosítás ellen • Független csatornán tranzakció ellenőrzés tranzakció részletekkel - zárt platform…• @felhasználóknak – Óvatosan a kiegészítő telepítésekkel…• @vállalatoknak – Kiegészítők korlátozása GPO-ból
  21. 21. The 11th Immutable Law of SecurityIf a bad guy can persuade you to install his extension in your browser, its not your browser anymore Balázs Zoltán zbalazs@deloittece.com
  22. 22. ESET Smart Security kérdésMelyik védelem hatásos a zombi tűzrókakiegészítő jelszó-lopó funkciója ellen?C: Jelszó-széfS: SSLZ: Javascript obfuszkáció a jelszón elküldés előttP: Egyik sem

×