Zombi tűzróka,avagy mire képes egy rosszindulatúböngésző kiegészítő
BemutatkozásBalázs ZoltánDeloitteVezető tanácsadóCISSP, CPTS, MCPzbalazs@deloittece.com
Miről szól az előadás?• Kártékony kiegészítők (add-on, plug-  in, extension) történelme• Fókuszban a Firefox, de Chrome / ...
Firefox kártékony kódoktörténelme• Kiegészitők 90%-ban Facebook  spammelésre készültek• 2004-2010: 5 darab• 2011: 5 darab•...
© websense
Saját fejlesztésű Firefoxkiegészítő• C&C – parancsvégrehajtás utasításra• Jelszavak, sütik lopása• Fájlok fel- és letöltés...
Kiegészítő telepítése• Fizikai hozzáférés, Social Engineering,  XSS + SE• Távoli kódvégrehajtás - felhasználói  interakció...
Jelenlegi figyelmeztetések
Zombi böngésző veszélyei• Tűzfal/proxy N• Lokális szoftver tűzfal N• Alkalmazás fehérlista N• Webes tartalomszűrő N• Kiegé...
Zombi böngésző veszélyei• Cross-platform N• Cross-domain N• Minden titok elérhető N      – Jelszó beviteli mód sem számit ...
Zombi böngésző veszélyei• Alacsony AV szignatúra felismerési arány N  • 2011. januári minta – 2012. februárjában          ...
Hátrányok• Nem valódi rootkit• Böngésző korlátok (pl. portscan)• Platform korlátok (pl. végrehajtható fájlok  csak Windows...
Böngésző védelem• Firefox   – addons.mozilla.org   – UID blokkolása blocklist.xmlben (naponta frissül)            – activi...
Saját fejlesztésű Firefoxkiegészítő•   Sütik ellopása•   Jelszavak lopása         • Böngésző jelszótárolóból vagy DOMból v...
Hacmebank  DEMO
Kétfaktoros autentikáció• Süti lopás    – Google demo
ChromeDEMO
Zombi Android   DEMO
Mi a teendő?• @antivírus fejlesztők     – Legalább reaktivitás legyen     – A böngésző az új operációs rendszer• @böngésző...
Mi a teendő?• @web fejlesztők     – Jelszó lopás ellen     – Süti lopás          • Alapértelmezett (de választható) munkam...
The 11th Immutable Law of           SecurityIf a bad guy can persuade you to install  his extension in your browser, its n...
ESET Smart Security kérdésMelyik védelem hatásos a zombi tűzrókakiegészítő jelszó-lopó funkciója ellen?C: Jelszó-széfS: SS...
[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő
[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő
[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő
Upcoming SlideShare
Loading in …5
×

[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő

511
-1

Published on

Ethical hacking 2012 prezentációm a Firefox rosszindulatú böngésző kiegészitőmről

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
511
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • Socialengineering állandó
  • [HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő

    1. 1. Zombi tűzróka,avagy mire képes egy rosszindulatúböngésző kiegészítő
    2. 2. BemutatkozásBalázs ZoltánDeloitteVezető tanácsadóCISSP, CPTS, MCPzbalazs@deloittece.com
    3. 3. Miről szól az előadás?• Kártékony kiegészítők (add-on, plug- in, extension) történelme• Fókuszban a Firefox, de Chrome / IE is• Előnyök – hátrányok• Böngésző-kiegészítő „rootkit”• Élő demo – saját fejlesztésű kiegészítőJogi nyilatkozat: • Minden nézet és gondolat amit ma megosztok, a sajátom. • A következő prezentáció tartalma nem áll összefüggésben bármilyen korábbi, jelenlegi vagy jövőbeni munkáltatóm véleményével. • Az elhangzottakat csak tesztlabor körülmények között szabad alkalmazni, csak jó célra.
    4. 4. Firefox kártékony kódoktörténelme• Kiegészitők 90%-ban Facebook spammelésre készültek• 2004-2010: 5 darab• 2011: 5 darab• 2012.01.01 – 2012.05.08: 31 darab• Cheesecake factory – 600,000 felhasználó Firefoxban – Chrome-ban is elkészült
    5. 5. © websense
    6. 6. Saját fejlesztésű Firefoxkiegészítő• C&C – parancsvégrehajtás utasításra• Jelszavak, sütik lopása• Fájlok fel- és letöltése• Exe végrehajtás (csak Windows)• HTTP kérés küldése és válasz küldése támadónak• HTTP kérés/válasz tetszőleges módosítása
    7. 7. Kiegészítő telepítése• Fizikai hozzáférés, Social Engineering, XSS + SE• Távoli kódvégrehajtás - felhasználói interakció nélkül 1. Látható a kiegészítő listában • Meterpreter autorunscript installer 2. Másik kiegészítőbe rejtőzködés - rootkit • Plusz egy .js fájl beszúrása a XUL fájlba • A .js fájl beszúrása az XPI fájlba • Aláírás telepítéskor kerül ellenőrzésre
    8. 8. Jelenlegi figyelmeztetések
    9. 9. Zombi böngésző veszélyei• Tűzfal/proxy N• Lokális szoftver tűzfal N• Alkalmazás fehérlista N• Webes tartalomszűrő N• Kiegészítő frissítése N
    10. 10. Zombi böngésző veszélyei• Cross-platform N• Cross-domain N• Minden titok elérhető N – Jelszó beviteli mód sem számit (jelszó széf, virtuális billentyűzet stb.) – SSL (+JS obfuszkáció) előtti kommunikáció• A kártékony kiegészítők forráskódjai elérhetőek N• Meterpreterrel szemben előny N – Perzisztenciához nem szükséges exe/dll – Regisztrációs adatbázis írás
    11. 11. Zombi böngésző veszélyei• Alacsony AV szignatúra felismerési arány N • 2011. januári minta – 2012. februárjában 00 / 43 0 0/// 43 43 43• Kiegészítő vs. viselkedés alapú védelem N
    12. 12. Hátrányok• Nem valódi rootkit• Böngésző korlátok (pl. portscan)• Platform korlátok (pl. végrehajtható fájlok csak Windowson)• Felhasználói jogokkal fut
    13. 13. Böngésző védelem• Firefox – addons.mozilla.org – UID blokkolása blocklist.xmlben (naponta frissül) – activity@facebook.com – youtubeer@youtuber.com – extensions.blocklist.enabled = false• Chrome – chromeextensions.org – Fejlesztői díj (5 $) – „Ellenőrzött” szerző – Jogosultságok kérése telepítésnél – ExtensionInstallBlacklist_Policy – http://www.gstatic.com/chrome/extensions/blacklist/l_0_0_0_7.txt• Internet Explorer – Felhasználók nem telepítenek IE kiegészítőket
    14. 14. Saját fejlesztésű Firefoxkiegészítő• Sütik ellopása• Jelszavak lopása • Böngésző jelszótárolóból vagy DOMból vagy hálózatról• C&C – parancsvégrehajtás utasításra• Fájlok fel- és letöltése• JavaScript végrehajtás• Exe végrehajtás (csak Windows)• HTTP kérés küldése és válasz küldése támadónak• SSL tanúsítvány ujjlenyomat változás esetén kommunikáció megszakítása• Demo hacme-bank • Célszámlaszám átírása • Tranzakciós lista visszaírása eredeti adatokra • Kijelentkezés letiltása• És még sok más… 
    15. 15. Hacmebank DEMO
    16. 16. Kétfaktoros autentikáció• Süti lopás – Google demo
    17. 17. ChromeDEMO
    18. 18. Zombi Android DEMO
    19. 19. Mi a teendő?• @antivírus fejlesztők – Legalább reaktivitás legyen – A böngésző az új operációs rendszer• @böngésző fejlesztők – Alapértelmezett tiltás külső oldalakról történő kiegészítő telepítés esetén – Chrome-szerű biztonság • Jogosultság kérése telepítéskor • Kiegészítő komponensek - jogosultság szétválasztás – Kiegészítő ne tilthassa le a frissítést
    20. 20. Mi a teendő?• @web fejlesztők – Jelszó lopás ellen – Süti lopás • Alapértelmezett (de választható) munkamenet kötése IP címhez – Tranzakció módosítás ellen • Független csatornán tranzakció ellenőrzés tranzakció részletekkel - zárt platform…• @felhasználóknak – Óvatosan a kiegészítő telepítésekkel…• @vállalatoknak – Kiegészítők korlátozása GPO-ból
    21. 21. The 11th Immutable Law of SecurityIf a bad guy can persuade you to install his extension in your browser, its not your browser anymore Balázs Zoltán zbalazs@deloittece.com
    22. 22. ESET Smart Security kérdésMelyik védelem hatásos a zombi tűzrókakiegészítő jelszó-lopó funkciója ellen?C: Jelszó-széfS: SSLZ: Javascript obfuszkáció a jelszón elküldés előttP: Egyik sem

    ×