Your SlideShare is downloading. ×
0
[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő
[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő
[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő
[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő
[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő
[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő
[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő
[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő
[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő
[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő
[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő
[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő
[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő
[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő
[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő
[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő
[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő
[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő
[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő
[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő
[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő
[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő
[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő
[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő
[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő

436

Published on

Ethical hacking 2012 prezentációm a Firefox rosszindulatú böngésző kiegészitőmről

Ethical hacking 2012 prezentációm a Firefox rosszindulatú böngésző kiegészitőmről

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
436
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide
  • Socialengineering állandó
  • Transcript

    • 1. Zombi tűzróka,avagy mire képes egy rosszindulatúböngésző kiegészítő
    • 2. BemutatkozásBalázs ZoltánDeloitteVezető tanácsadóCISSP, CPTS, MCPzbalazs@deloittece.com
    • 3. Miről szól az előadás?• Kártékony kiegészítők (add-on, plug- in, extension) történelme• Fókuszban a Firefox, de Chrome / IE is• Előnyök – hátrányok• Böngésző-kiegészítő „rootkit”• Élő demo – saját fejlesztésű kiegészítőJogi nyilatkozat: • Minden nézet és gondolat amit ma megosztok, a sajátom. • A következő prezentáció tartalma nem áll összefüggésben bármilyen korábbi, jelenlegi vagy jövőbeni munkáltatóm véleményével. • Az elhangzottakat csak tesztlabor körülmények között szabad alkalmazni, csak jó célra.
    • 4. Firefox kártékony kódoktörténelme• Kiegészitők 90%-ban Facebook spammelésre készültek• 2004-2010: 5 darab• 2011: 5 darab• 2012.01.01 – 2012.05.08: 31 darab• Cheesecake factory – 600,000 felhasználó Firefoxban – Chrome-ban is elkészült
    • 5. © websense
    • 6. Saját fejlesztésű Firefoxkiegészítő• C&C – parancsvégrehajtás utasításra• Jelszavak, sütik lopása• Fájlok fel- és letöltése• Exe végrehajtás (csak Windows)• HTTP kérés küldése és válasz küldése támadónak• HTTP kérés/válasz tetszőleges módosítása
    • 7. Kiegészítő telepítése• Fizikai hozzáférés, Social Engineering, XSS + SE• Távoli kódvégrehajtás - felhasználói interakció nélkül 1. Látható a kiegészítő listában • Meterpreter autorunscript installer 2. Másik kiegészítőbe rejtőzködés - rootkit • Plusz egy .js fájl beszúrása a XUL fájlba • A .js fájl beszúrása az XPI fájlba • Aláírás telepítéskor kerül ellenőrzésre
    • 8. Jelenlegi figyelmeztetések
    • 9. Zombi böngésző veszélyei• Tűzfal/proxy N• Lokális szoftver tűzfal N• Alkalmazás fehérlista N• Webes tartalomszűrő N• Kiegészítő frissítése N
    • 10. Zombi böngésző veszélyei• Cross-platform N• Cross-domain N• Minden titok elérhető N – Jelszó beviteli mód sem számit (jelszó széf, virtuális billentyűzet stb.) – SSL (+JS obfuszkáció) előtti kommunikáció• A kártékony kiegészítők forráskódjai elérhetőek N• Meterpreterrel szemben előny N – Perzisztenciához nem szükséges exe/dll – Regisztrációs adatbázis írás
    • 11. Zombi böngésző veszélyei• Alacsony AV szignatúra felismerési arány N • 2011. januári minta – 2012. februárjában 00 / 43 0 0/// 43 43 43• Kiegészítő vs. viselkedés alapú védelem N
    • 12. Hátrányok• Nem valódi rootkit• Böngésző korlátok (pl. portscan)• Platform korlátok (pl. végrehajtható fájlok csak Windowson)• Felhasználói jogokkal fut
    • 13. Böngésző védelem• Firefox – addons.mozilla.org – UID blokkolása blocklist.xmlben (naponta frissül) – activity@facebook.com – youtubeer@youtuber.com – extensions.blocklist.enabled = false• Chrome – chromeextensions.org – Fejlesztői díj (5 $) – „Ellenőrzött” szerző – Jogosultságok kérése telepítésnél – ExtensionInstallBlacklist_Policy – http://www.gstatic.com/chrome/extensions/blacklist/l_0_0_0_7.txt• Internet Explorer – Felhasználók nem telepítenek IE kiegészítőket
    • 14. Saját fejlesztésű Firefoxkiegészítő• Sütik ellopása• Jelszavak lopása • Böngésző jelszótárolóból vagy DOMból vagy hálózatról• C&C – parancsvégrehajtás utasításra• Fájlok fel- és letöltése• JavaScript végrehajtás• Exe végrehajtás (csak Windows)• HTTP kérés küldése és válasz küldése támadónak• SSL tanúsítvány ujjlenyomat változás esetén kommunikáció megszakítása• Demo hacme-bank • Célszámlaszám átírása • Tranzakciós lista visszaírása eredeti adatokra • Kijelentkezés letiltása• És még sok más… 
    • 15. Hacmebank DEMO
    • 16. Kétfaktoros autentikáció• Süti lopás – Google demo
    • 17. ChromeDEMO
    • 18. Zombi Android DEMO
    • 19. Mi a teendő?• @antivírus fejlesztők – Legalább reaktivitás legyen – A böngésző az új operációs rendszer• @böngésző fejlesztők – Alapértelmezett tiltás külső oldalakról történő kiegészítő telepítés esetén – Chrome-szerű biztonság • Jogosultság kérése telepítéskor • Kiegészítő komponensek - jogosultság szétválasztás – Kiegészítő ne tilthassa le a frissítést
    • 20. Mi a teendő?• @web fejlesztők – Jelszó lopás ellen – Süti lopás • Alapértelmezett (de választható) munkamenet kötése IP címhez – Tranzakció módosítás ellen • Független csatornán tranzakció ellenőrzés tranzakció részletekkel - zárt platform…• @felhasználóknak – Óvatosan a kiegészítő telepítésekkel…• @vállalatoknak – Kiegészítők korlátozása GPO-ból
    • 21. The 11th Immutable Law of SecurityIf a bad guy can persuade you to install his extension in your browser, its not your browser anymore Balázs Zoltán zbalazs@deloittece.com
    • 22. ESET Smart Security kérdésMelyik védelem hatásos a zombi tűzrókakiegészítő jelszó-lopó funkciója ellen?C: Jelszó-széfS: SSLZ: Javascript obfuszkáció a jelszón elküldés előttP: Egyik sem

    ×