Hoe kom ik aan een virus, behalve door een uitvoerbaar bestand uit te voeren?
Kan dat met flash? pdf? font-bestanden las ik laatst?
Waar vind ik een voorbeeld?
5
Administrator
Administrator
Hallo en welkom op het forum,
Als eerste worden er op het forum geen samples van malware openbaar gedeeld, ook niet wanneer deze bedoeld zijn voor het testen en de analyse ervan.
Een exploit kit, is eigenlijk alleen maar een website die probeert om een stukje malware (Virus/Trojan) te installeren op een systeem van een bezoeker. Deze probeert dit te doen door misbruik te maken van een aantal software kwetsbaarheden zoals fouten in browser plugins, je browser zelf of je besturingssysteem. Plugins zijn de meest voorkomende waaronder Java, Flash en PDF, maar ook media spelers zoals Windows Media Speler en Realplayer/Quicktime zijn bijvoorbeeld het doelwit.
Hoe kom je nu als gewone 'internetter' op zo'n exploit kit? Eigenlijk zijn er een aantal methodes die gebruikt worden, de eerste is een veel voorkomende en dat is het aanpassen van webservers waar de aanvaller toegang toe heeft gekregen door middel van gestolen gegevens in zijn botnet (kom ik later op terug). Deze aangepaste webservers (eigenlijk aangepaste HTML, Javascript, zelfs PHP en ASP) bevatten dan op een bepaald punt een klein stukje code die de bezoeker doorverwijst naar de eerder genoemde exploit kit. Er zijn tools beschikbaar die dit automatisch doen, deze worden bijvoorbeeld 'iframers' genoemd omdat een veel gebruikte techniek het injecteren van een HTML iframe element was. In deze dagen wordt echter veelvuldig gebruik gemaakt van javascript, wiens code in matroska stijl erg geobfusceerd kan worden, zodat een virus scanner moeite heeft met het analyseren van dergelijke code.
Andere methodes die gebruikt worden om bezoekers door te verwijzen zijn spam links, bijvoorbeeld valse Facebook invites, waarbij de link naar een pagina wijst waarop wordt gepoogd om de bezoeker een 'flash update' te laten installeren, maar op de achtergrond wordt de bezoeker ook nog eens doorverwezen naar een exploit kit.
Een andere tak van sport is het gebruiken van advertentie servers, uiteraard kun je advertenties plaatsen die uiteindelijk doorverwijzen naar een exploit kit. Hiervoor kunnen de aanvallers gebruik maken van gestolen creditcard gegevens die met behulp van hun botnet gestolen zijn, of gewoon op een van de vele creditcard uitwissel fora die er zijn. Met deze methode kunnen zeer getarget, bijvoorbeeld alleen Nederlandse, bezoekers gelokt worden. Een andere methode is het misbruiken van software kwetsbaarheden of gestolen accounts in populaire advertentie software, zoals OpenX. Hiermee kan er simpel een link naar een exploit kit worden ingenomen in het stukje HTML code wat een banner op een site moet plaatsen.
Op de onderstaande afbeelding zie je schematisch hoe zo'n exploit in elkaar steekt en hoe een computer geïnfecteerd kan raken. Zie ook dit artikel.
Ook de onderstaande video van Malwarebytes is erg interessant.
Als eerste worden er op het forum geen samples van malware openbaar gedeeld, ook niet wanneer deze bedoeld zijn voor het testen en de analyse ervan.
Dit klopt helemaal, via gecompromitteerde websites of advertentienetwerken kan je inderdaad geïnfecteerd raken met malware via een zogenaamde "exploit kit".tabstop schreef:ik hoor wel eens dat je 'besmet' kunt raken door een site, een advertentie, een ttf lettertype las ik laatst, enz...
ik geloof dat niet zo, daarom ben ik op zoek naar zo'n virus, zodat ik het met mijn eigen ogen kan zien!
Een exploit kit, is eigenlijk alleen maar een website die probeert om een stukje malware (Virus/Trojan) te installeren op een systeem van een bezoeker. Deze probeert dit te doen door misbruik te maken van een aantal software kwetsbaarheden zoals fouten in browser plugins, je browser zelf of je besturingssysteem. Plugins zijn de meest voorkomende waaronder Java, Flash en PDF, maar ook media spelers zoals Windows Media Speler en Realplayer/Quicktime zijn bijvoorbeeld het doelwit.
Hoe kom je nu als gewone 'internetter' op zo'n exploit kit? Eigenlijk zijn er een aantal methodes die gebruikt worden, de eerste is een veel voorkomende en dat is het aanpassen van webservers waar de aanvaller toegang toe heeft gekregen door middel van gestolen gegevens in zijn botnet (kom ik later op terug). Deze aangepaste webservers (eigenlijk aangepaste HTML, Javascript, zelfs PHP en ASP) bevatten dan op een bepaald punt een klein stukje code die de bezoeker doorverwijst naar de eerder genoemde exploit kit. Er zijn tools beschikbaar die dit automatisch doen, deze worden bijvoorbeeld 'iframers' genoemd omdat een veel gebruikte techniek het injecteren van een HTML iframe element was. In deze dagen wordt echter veelvuldig gebruik gemaakt van javascript, wiens code in matroska stijl erg geobfusceerd kan worden, zodat een virus scanner moeite heeft met het analyseren van dergelijke code.
Andere methodes die gebruikt worden om bezoekers door te verwijzen zijn spam links, bijvoorbeeld valse Facebook invites, waarbij de link naar een pagina wijst waarop wordt gepoogd om de bezoeker een 'flash update' te laten installeren, maar op de achtergrond wordt de bezoeker ook nog eens doorverwezen naar een exploit kit.
Een andere tak van sport is het gebruiken van advertentie servers, uiteraard kun je advertenties plaatsen die uiteindelijk doorverwijzen naar een exploit kit. Hiervoor kunnen de aanvallers gebruik maken van gestolen creditcard gegevens die met behulp van hun botnet gestolen zijn, of gewoon op een van de vele creditcard uitwissel fora die er zijn. Met deze methode kunnen zeer getarget, bijvoorbeeld alleen Nederlandse, bezoekers gelokt worden. Een andere methode is het misbruiken van software kwetsbaarheden of gestolen accounts in populaire advertentie software, zoals OpenX. Hiermee kan er simpel een link naar een exploit kit worden ingenomen in het stukje HTML code wat een banner op een site moet plaatsen.
Op de onderstaande afbeelding zie je schematisch hoe zo'n exploit in elkaar steekt en hoe een computer geïnfecteerd kan raken. Zie ook dit artikel.
Ook de onderstaande video van Malwarebytes is erg interessant.
Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)