Zoltan Balazs, profile picture
Uploaded byZoltan Balazs
781 views

[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő

Ethical hacking 2012 prezentációm a Firefox rosszindulatú böngésző kiegészitőmről

Technology
Related topics:
Computer Security

Embed presentation

Zombi tűzróka, avagy mire képes egy rosszindulatú böngésző kiegészítő
Bemutatkozás Balázs Zoltán Deloitte Vezető tanácsadó CISSP, CPTS, MCP zbalazs@deloittece.com
Miről szól az előadás? • Kártékony kiegészítők (add-on, plug- in, extension) történelme • Fókuszban a Firefox, de Chrome / IE is • Előnyök – hátrányok • Böngésző-kiegészítő „rootkit” • Élő demo – saját fejlesztésű kiegészítő Jogi nyilatkozat: • Minden nézet és gondolat amit ma megosztok, a sajátom. • A következő prezentáció tartalma nem áll összefüggésben bármilyen korábbi, jelenlegi vagy jövőbeni munkáltatóm véleményével. • Az elhangzottakat csak tesztlabor körülmények között szabad alkalmazni, csak jó célra.
Firefox kártékony kódok történelme • Kiegészitők 90%-ban Facebook spammelésre készültek • 2004-2010: 5 darab • 2011: 5 darab • 2012.01.01 – 2012.05.08: 31 darab • Cheesecake factory – 600,000 felhasználó Firefoxban – Chrome-ban is elkészült
© websense
Saját fejlesztésű Firefox kiegészítő • C&C – parancsvégrehajtás utasításra • Jelszavak, sütik lopása • Fájlok fel- és letöltése • Exe végrehajtás (csak Windows) • HTTP kérés küldése és válasz küldése támadónak • HTTP kérés/válasz tetszőleges módosítása
Kiegészítő telepítése • Fizikai hozzáférés, Social Engineering, XSS + SE • Távoli kódvégrehajtás - felhasználói interakció nélkül 1. Látható a kiegészítő listában • Meterpreter autorunscript installer 2. Másik kiegészítőbe rejtőzködés - rootkit • Plusz egy .js fájl beszúrása a XUL fájlba • A .js fájl beszúrása az XPI fájlba • Aláírás telepítéskor kerül ellenőrzésre
Jelenlegi figyelmeztetések
Zombi böngésző veszélyei • Tűzfal/proxy N • Lokális szoftver tűzfal N • Alkalmazás fehérlista N • Webes tartalomszűrő N • Kiegészítő frissítése N
Zombi böngésző veszélyei • Cross-platform N • Cross-domain N • Minden titok elérhető N – Jelszó beviteli mód sem számit (jelszó széf, virtuális billentyűzet stb.) – SSL (+JS obfuszkáció) előtti kommunikáció • A kártékony kiegészítők forráskódjai elérhetőek N • Meterpreterrel szemben előny N – Perzisztenciához nem szükséges exe/dll – Regisztrációs adatbázis írás
Zombi böngésző veszélyei • Alacsony AV szignatúra felismerési arány N • 2011. januári minta – 2012. februárjában 00 / 43 0 0/// 43 43 43 • Kiegészítő vs. viselkedés alapú védelem N
Hátrányok • Nem valódi rootkit • Böngésző korlátok (pl. portscan) • Platform korlátok (pl. végrehajtható fájlok csak Windowson) • Felhasználói jogokkal fut
Böngésző védelem • Firefox – addons.mozilla.org – UID blokkolása blocklist.xmlben (naponta frissül) – activity@facebook.com – youtubeer@youtuber.com – extensions.blocklist.enabled = false • Chrome – chromeextensions.org – Fejlesztői díj (5 $) – „Ellenőrzött” szerző – Jogosultságok kérése telepítésnél – ExtensionInstallBlacklist_Policy – http://www.gstatic.com/chrome/extensions/blacklist/l_0_0_0_7.txt • Internet Explorer – Felhasználók nem telepítenek IE kiegészítőket
Saját fejlesztésű Firefox kiegészítő • Sütik ellopása • Jelszavak lopása • Böngésző jelszótárolóból vagy DOMból vagy hálózatról • C&C – parancsvégrehajtás utasításra • Fájlok fel- és letöltése • JavaScript végrehajtás • Exe végrehajtás (csak Windows) • HTTP kérés küldése és válasz küldése támadónak • SSL tanúsítvány ujjlenyomat változás esetén kommunikáció megszakítása • Demo hacme-bank • Célszámlaszám átírása • Tranzakciós lista visszaírása eredeti adatokra • Kijelentkezés letiltása • És még sok más… 
Hacmebank DEMO
Kétfaktoros autentikáció • Süti lopás – Google demo
Chrome DEMO
Zombi Android DEMO
Mi a teendő? • @antivírus fejlesztők – Legalább reaktivitás legyen – A böngésző az új operációs rendszer • @böngésző fejlesztők – Alapértelmezett tiltás külső oldalakról történő kiegészítő telepítés esetén – Chrome-szerű biztonság • Jogosultság kérése telepítéskor • Kiegészítő komponensek - jogosultság szétválasztás – Kiegészítő ne tilthassa le a frissítést
Mi a teendő? • @web fejlesztők – Jelszó lopás ellen – Süti lopás • Alapértelmezett (de választható) munkamenet kötése IP címhez – Tranzakció módosítás ellen • Független csatornán tranzakció ellenőrzés tranzakció részletekkel - zárt platform… • @felhasználóknak – Óvatosan a kiegészítő telepítésekkel… • @vállalatoknak – Kiegészítők korlátozása GPO-ból
The 11th Immutable Law of Security If a bad guy can persuade you to install his extension in your browser, it's not your browser anymore Balázs Zoltán zbalazs@deloittece.com
ESET Smart Security kérdés Melyik védelem hatásos a zombi tűzróka kiegészítő jelszó-lopó funkciója ellen? C: Jelszó-széf S: SSL Z: Javascript obfuszkáció a jelszón elküldés előtt P: Egyik sem

More Related Content

PDF
Túlélés a Három Betűs Rövidítések világában
byOpen Academy
 
PDF
[ENG] Hacktivity 2013 - Alice in eXploitland
byZoltan Balazs
 
PPTX
Hacking with Remote Admin Tools (RAT)
byZoltan Balazs
 
PDF
[ENG] Zombie browsers spiced with rootkit extensions - Hacktivity 2012
byZoltan Balazs
 
PPT
[ENG] IPv6 shipworm + My little Windows domain pwnie
byZoltan Balazs
 
PPTX
[ENG] OHM2013 - The Quest for the Client-Side Elixir Against Zombie Browsers -
byZoltan Balazs
 
PPTX
[HUN] Védtelen böngészők - Ethical Hacking
byZoltan Balazs
 
PDF
A világ változik, változik a Mozilla is
byKálmán "KAMI" Szalai
 
Túlélés a Három Betűs Rövidítések világában
byOpen Academy
 
[ENG] Hacktivity 2013 - Alice in eXploitland
byZoltan Balazs
 
Hacking with Remote Admin Tools (RAT)
byZoltan Balazs
 
[ENG] Zombie browsers spiced with rootkit extensions - Hacktivity 2012
byZoltan Balazs
 
[ENG] IPv6 shipworm + My little Windows domain pwnie
byZoltan Balazs
 
[ENG] OHM2013 - The Quest for the Client-Side Elixir Against Zombie Browsers -
byZoltan Balazs
 
[HUN] Védtelen böngészők - Ethical Hacking
byZoltan Balazs
 
A világ változik, változik a Mozilla is
byKálmán "KAMI" Szalai
 

Similar to [HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő

ODP
A Mozilla nem csak Firefox
byKálmán "KAMI" Szalai
 
PDF
Firefox Thunderbird Seamonkey - felpörgetve!
byKálmán "KAMI" Szalai
 
PDF
„Mozilla: a mi hősünk Te vagy!” előadás a Corvinus Nyári Egyetem rendezvényen
byKálmán "KAMI" Szalai
 
ODP
A Firefox-on túl is Mozilla
byKálmán "KAMI" Szalai
 
PPT
[HUN] Hacktivity2009 - M&M’s: Mafia & Malware’s
byZoltan Balazs
 
DOCX
Rosszindulatú szoftverek.docx
byWill694375
 
PDF
[HUN][Hackersuli] Haunted by bugs on a cybersecurity side-quest
byhackersuli
 
A Mozilla nem csak Firefox
byKálmán "KAMI" Szalai
 
Firefox Thunderbird Seamonkey - felpörgetve!
byKálmán "KAMI" Szalai
 
„Mozilla: a mi hősünk Te vagy!” előadás a Corvinus Nyári Egyetem rendezvényen
byKálmán "KAMI" Szalai
 
A Firefox-on túl is Mozilla
byKálmán "KAMI" Szalai
 
[HUN] Hacktivity2009 - M&M’s: Mafia & Malware’s
byZoltan Balazs
 
Rosszindulatú szoftverek.docx
byWill694375
 
[HUN][Hackersuli] Haunted by bugs on a cybersecurity side-quest
byhackersuli
 

More from Zoltan Balazs

PPTX
[ Hackersuli ] Privacy on the blockchain
byZoltan Balazs
 
PPTX
MLSEC 2020
byZoltan Balazs
 
PDF
Web3 + scams = It's a match
byZoltan Balazs
 
PDF
MIPS-X
byZoltan Balazs
 
PPTX
How to hide your browser 0-day @ Disobey
byZoltan Balazs
 
PPTX
Explain Ethereum smart contract hacking like i am a five
byZoltan Balazs
 
PDF
How to hide your browser 0-days
byZoltan Balazs
 
PPTX
Test & Tea : ITSEC testing, manual vs automated
byZoltan Balazs
 
PDF
Hacking Windows 95 #33c3
byZoltan Balazs
 
PPTX
Ransomware - what is it, how to protect against it
byZoltan Balazs
 
PDF
Hacktivity 2016: The real risks of the IoT security-nightmare: Hacking IP cam...
byZoltan Balazs
 
PDF
IoT security is a nightmare. But what is the real risk?
byZoltan Balazs
 
PPTX
Sandboxes
byZoltan Balazs
 
PPTX
Sandbox detection: leak, abuse, test - Hacktivity 2015
byZoltan Balazs
 
PDF
DEFCON 22: Bypass firewalls, application white lists, secure remote desktops ...
byZoltan Balazs
 
PDF
[ENG] Hacker halted 2012 - Zombie browsers, spiced with rootkit extensions
byZoltan Balazs
 
[ Hackersuli ] Privacy on the blockchain
byZoltan Balazs
 
MLSEC 2020
byZoltan Balazs
 
Web3 + scams = It's a match
byZoltan Balazs
 
MIPS-X
byZoltan Balazs
 
How to hide your browser 0-day @ Disobey
byZoltan Balazs
 
Explain Ethereum smart contract hacking like i am a five
byZoltan Balazs
 
How to hide your browser 0-days
byZoltan Balazs
 
Test & Tea : ITSEC testing, manual vs automated
byZoltan Balazs
 
Hacking Windows 95 #33c3
byZoltan Balazs
 
Ransomware - what is it, how to protect against it
byZoltan Balazs
 
Hacktivity 2016: The real risks of the IoT security-nightmare: Hacking IP cam...
byZoltan Balazs
 
IoT security is a nightmare. But what is the real risk?
byZoltan Balazs
 
Sandboxes
byZoltan Balazs
 
Sandbox detection: leak, abuse, test - Hacktivity 2015
byZoltan Balazs
 
DEFCON 22: Bypass firewalls, application white lists, secure remote desktops ...
byZoltan Balazs
 
[ENG] Hacker halted 2012 - Zombie browsers, spiced with rootkit extensions
byZoltan Balazs
 

[HUN] Zombi tűzróka, avagy mire képes egy rosszindulatú böngősző kiegészitő

  • 2.
    Zombi tűzróka, avagy mireképes egy rosszindulatú böngésző kiegészítő
  • 3.
  • 4.
    Miről szól azelőadás? • Kártékony kiegészítők (add-on, plug- in, extension) történelme • Fókuszban a Firefox, de Chrome / IE is • Előnyök – hátrányok • Böngésző-kiegészítő „rootkit” • Élő demo – saját fejlesztésű kiegészítő Jogi nyilatkozat: • Minden nézet és gondolat amit ma megosztok, a sajátom. • A következő prezentáció tartalma nem áll összefüggésben bármilyen korábbi, jelenlegi vagy jövőbeni munkáltatóm véleményével. • Az elhangzottakat csak tesztlabor körülmények között szabad alkalmazni, csak jó célra.
  • 6.
    Firefox kártékony kódok történelme •Kiegészitők 90%-ban Facebook spammelésre készültek • 2004-2010: 5 darab • 2011: 5 darab • 2012.01.01 – 2012.05.08: 31 darab • Cheesecake factory – 600,000 felhasználó Firefoxban – Chrome-ban is elkészült
  • 7.
  • 8.
    Saját fejlesztésű Firefox kiegészítő •C&C – parancsvégrehajtás utasításra • Jelszavak, sütik lopása • Fájlok fel- és letöltése • Exe végrehajtás (csak Windows) • HTTP kérés küldése és válasz küldése támadónak • HTTP kérés/válasz tetszőleges módosítása
  • 10.
    Kiegészítő telepítése • Fizikaihozzáférés, Social Engineering, XSS + SE • Távoli kódvégrehajtás - felhasználói interakció nélkül 1. Látható a kiegészítő listában • Meterpreter autorunscript installer 2. Másik kiegészítőbe rejtőzködés - rootkit • Plusz egy .js fájl beszúrása a XUL fájlba • A .js fájl beszúrása az XPI fájlba • Aláírás telepítéskor kerül ellenőrzésre
  • 11.
  • 12.
    Zombi böngésző veszélyei •Tűzfal/proxy N • Lokális szoftver tűzfal N • Alkalmazás fehérlista N • Webes tartalomszűrő N • Kiegészítő frissítése N
  • 13.
    Zombi böngésző veszélyei •Cross-platform N • Cross-domain N • Minden titok elérhető N – Jelszó beviteli mód sem számit (jelszó széf, virtuális billentyűzet stb.) – SSL (+JS obfuszkáció) előtti kommunikáció • A kártékony kiegészítők forráskódjai elérhetőek N • Meterpreterrel szemben előny N – Perzisztenciához nem szükséges exe/dll – Regisztrációs adatbázis írás
  • 14.
    Zombi böngésző veszélyei •Alacsony AV szignatúra felismerési arány N • 2011. januári minta – 2012. februárjában 00 / 43 0 0/// 43 43 43 • Kiegészítő vs. viselkedés alapú védelem N
  • 15.
    Hátrányok • Nem valódirootkit • Böngésző korlátok (pl. portscan) • Platform korlátok (pl. végrehajtható fájlok csak Windowson) • Felhasználói jogokkal fut
  • 16.
    Böngésző védelem • Firefox – addons.mozilla.org – UID blokkolása blocklist.xmlben (naponta frissül) – activity@facebook.com – youtubeer@youtuber.com – extensions.blocklist.enabled = false • Chrome – chromeextensions.org – Fejlesztői díj (5 $) – „Ellenőrzött” szerző – Jogosultságok kérése telepítésnél – ExtensionInstallBlacklist_Policy – http://www.gstatic.com/chrome/extensions/blacklist/l_0_0_0_7.txt • Internet Explorer – Felhasználók nem telepítenek IE kiegészítőket
  • 17.
    Saját fejlesztésű Firefox kiegészítő • Sütik ellopása • Jelszavak lopása • Böngésző jelszótárolóból vagy DOMból vagy hálózatról • C&C – parancsvégrehajtás utasításra • Fájlok fel- és letöltése • JavaScript végrehajtás • Exe végrehajtás (csak Windows) • HTTP kérés küldése és válasz küldése támadónak • SSL tanúsítvány ujjlenyomat változás esetén kommunikáció megszakítása • Demo hacme-bank • Célszámlaszám átírása • Tranzakciós lista visszaírása eredeti adatokra • Kijelentkezés letiltása • És még sok más… 
  • 18.
  • 19.
  • 20.
  • 21.
  • 22.
    Mi a teendő? •@antivírus fejlesztők – Legalább reaktivitás legyen – A böngésző az új operációs rendszer • @böngésző fejlesztők – Alapértelmezett tiltás külső oldalakról történő kiegészítő telepítés esetén – Chrome-szerű biztonság • Jogosultság kérése telepítéskor • Kiegészítő komponensek - jogosultság szétválasztás – Kiegészítő ne tilthassa le a frissítést
  • 23.
    Mi a teendő? •@web fejlesztők – Jelszó lopás ellen – Süti lopás • Alapértelmezett (de választható) munkamenet kötése IP címhez – Tranzakció módosítás ellen • Független csatornán tranzakció ellenőrzés tranzakció részletekkel - zárt platform… • @felhasználóknak – Óvatosan a kiegészítő telepítésekkel… • @vállalatoknak – Kiegészítők korlátozása GPO-ból
  • 24.
    The 11th ImmutableLaw of Security If a bad guy can persuade you to install his extension in your browser, it's not your browser anymore Balázs Zoltán zbalazs@deloittece.com
  • 25.
    ESET Smart Securitykérdés Melyik védelem hatásos a zombi tűzróka kiegészítő jelszó-lopó funkciója ellen? C: Jelszó-széf S: SSL Z: Javascript obfuszkáció a jelszón elküldés előtt P: Egyik sem

Editor's Notes

  • #12 Socialengineering állandó