Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайтеrevisium
Основные методы автоматизированного поиска вредоносного кода на заражённом сайте с помощью сканеров и антивирусов (Manul, AI-Bolit, ClamAV, Maldet, антивирусных программ);
Эвристический подход к поиску вирусов на сайте в режиме командной строки (всемогущие FIND и GREP);
Поиск вредоносного кода с помощью проксирования и анализа HTTP-трафика (веб-прокси Fiddler, Charles);
Сторонние сервисы (Яндекс.Вебмастер, Quttera, Sucuri SiteCheck);
и другие варианты (VCS, Integrity Check, встроенные антивирусы CMS и т. д.).
Обзор текущей ситуации с веб-атаками на сайты малого и среднего бизнеса, целевые/нецелевые атаки, особенности взломов сайтов 2015-2016 года, тенденции.
Запись вебинара «Мастер-класс по лечению сайта от ссылочных санкций Google. Penguin 3.0»
Спикер — Владимир Столбов, аналитик компании SiteClinic.ua
В октябре Google обновил свой алгоритм Penguin до версии 3.0. Напомним, что Пингвин отвечает за борьбу со спамом в поисковой выдаче и впервые был запущен 24 апреля 2012 года. Его основная задача «перекрыть кислород» тем сайтам, которые используют для продвижения спамные техники получения обратных ссылок.
Тезисы вебинара:
Симптомы ссылочных санкций. Чем ручной фильтр отличается от автоматического Пингвина.
Качество ссылок глазами Google. За какие ссылки наказывает Penguin.
Как выйти из под ссылочного фильтра: пошаговая инструкция по анализу и чистке ссылочной массы.
Восстановление позиций и трафика после снятия фильтра. Реальные кейсы.
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайтеrevisium
Основные методы автоматизированного поиска вредоносного кода на заражённом сайте с помощью сканеров и антивирусов (Manul, AI-Bolit, ClamAV, Maldet, антивирусных программ);
Эвристический подход к поиску вирусов на сайте в режиме командной строки (всемогущие FIND и GREP);
Поиск вредоносного кода с помощью проксирования и анализа HTTP-трафика (веб-прокси Fiddler, Charles);
Сторонние сервисы (Яндекс.Вебмастер, Quttera, Sucuri SiteCheck);
и другие варианты (VCS, Integrity Check, встроенные антивирусы CMS и т. д.).
Обзор текущей ситуации с веб-атаками на сайты малого и среднего бизнеса, целевые/нецелевые атаки, особенности взломов сайтов 2015-2016 года, тенденции.
Запись вебинара «Мастер-класс по лечению сайта от ссылочных санкций Google. Penguin 3.0»
Спикер — Владимир Столбов, аналитик компании SiteClinic.ua
В октябре Google обновил свой алгоритм Penguin до версии 3.0. Напомним, что Пингвин отвечает за борьбу со спамом в поисковой выдаче и впервые был запущен 24 апреля 2012 года. Его основная задача «перекрыть кислород» тем сайтам, которые используют для продвижения спамные техники получения обратных ссылок.
Тезисы вебинара:
Симптомы ссылочных санкций. Чем ручной фильтр отличается от автоматического Пингвина.
Качество ссылок глазами Google. За какие ссылки наказывает Penguin.
Как выйти из под ссылочного фильтра: пошаговая инструкция по анализу и чистке ссылочной массы.
Восстановление позиций и трафика после снятия фильтра. Реальные кейсы.
Никита Селиванов: 8 правил эффективного взаимодействия с подрядчиком при созд...Ruslan Begaliev
Как правильно поставить ТЗ на создание сайта.
Как правильно закладывать структуру сайта при разработке.
Какие KPI поставить перед подрядчиком при SEO. оптимизации сайта.
Как самостоятельно проверить эффективность контекстной рекламы.
Как анализировать ROI в контекстной рекламе.
Improving web application defenses against XSS.Grid Dynamics
The web is rapidly developing, however common web applications still have problems. One of which is XSS (Cross-Site scripting), which took 7th place in OWASP-10 in 2017. We’ll talk about the vulnerability itself, exploitation methods and how to be protected from it.
Sergey Belov - Покажите нам Impact! Доказываем угрозу в сложных условияхDefconRussia
Все шире и шире получают распространение bugbounty программы - программы вознаграждения за уязвимости различных вендоров. И порой при поиске уязвимостей находятся места, которые явно небезопасны (например - self XSS), но доказать от них угрозу сложно. Но чем крупнее (хотя, скорее адекватнее) вендор, тем они охотнее обсуждают и просят показать угрозу от сообщенной уязвимости, и при успехе – вознаграждают 8). Мой доклад – подборка таких сложных ситуаций и рассказ, как же можно доказать угрозу.
Андрей Ковалев - Безопасность сайта: мифы и реальностьYandex
В поисковой выдаче Яндекса иногда можно встретить предупреждения о том, что сайт может быть небезопасен для компьютера или мобильного устройства пользователя. О том, что это значит, где найти вредоносный код и как его удалить, вы услышите из первых уст — от вирусного аналитика Яндекса.
Никита Селиванов: 8 правил эффективного взаимодействия с подрядчиком при созд...Ruslan Begaliev
Как правильно поставить ТЗ на создание сайта.
Как правильно закладывать структуру сайта при разработке.
Какие KPI поставить перед подрядчиком при SEO. оптимизации сайта.
Как самостоятельно проверить эффективность контекстной рекламы.
Как анализировать ROI в контекстной рекламе.
Improving web application defenses against XSS.Grid Dynamics
The web is rapidly developing, however common web applications still have problems. One of which is XSS (Cross-Site scripting), which took 7th place in OWASP-10 in 2017. We’ll talk about the vulnerability itself, exploitation methods and how to be protected from it.
Sergey Belov - Покажите нам Impact! Доказываем угрозу в сложных условияхDefconRussia
Все шире и шире получают распространение bugbounty программы - программы вознаграждения за уязвимости различных вендоров. И порой при поиске уязвимостей находятся места, которые явно небезопасны (например - self XSS), но доказать от них угрозу сложно. Но чем крупнее (хотя, скорее адекватнее) вендор, тем они охотнее обсуждают и просят показать угрозу от сообщенной уязвимости, и при успехе – вознаграждают 8). Мой доклад – подборка таких сложных ситуаций и рассказ, как же можно доказать угрозу.
Андрей Ковалев - Безопасность сайта: мифы и реальностьYandex
В поисковой выдаче Яндекса иногда можно встретить предупреждения о том, что сайт может быть небезопасен для компьютера или мобильного устройства пользователя. О том, что это значит, где найти вредоносный код и как его удалить, вы услышите из первых уст — от вирусного аналитика Яндекса.
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...Ontico
HighLoad++ 2017
Зал «Мумбай», 7 ноября, 14:00
Тезисы:
http://www.highload.ru/2017/abstracts/2900.html
Уязвимости Cross-Site Request Forgery (CSRF) являются "классикой" AppSec и хорошо известны как специалистам по безопасности, так и разработчикам веб-приложений. Сегодня, как правило, при разработке веб-приложений уделяется внимание защите от CSRF-атак, и реализуются механизмы защиты. Также относительно новая технология "SameSite cookie", должна еще больше обезопасить веб-приложения от CSRF. На текущий момент CSRF находится на 8 месте в списке OWASP Top-10, в то время как они находились на 5 месте до 2013 года. Означает ли это, что CSRF-уязвимости стали менее актуальными и "уходят в прошлое"?
...
Waf.js: как защищать веб-приложения с использованием JavaScriptPositive Hack Days
Ведущие: Денис Колегов и Арсений Реутов
Авторы доклада продемонстрируют, как внедрение клиентских сценариев JavaScript может быть использовано для обнаружения и предотвращения различных атак, поиска уязвимых клиентских компонент, определения утечек данных об инфраструктуре веб-приложений, выявления веб-ботов и инструментальных средств нападения. Поделятся собственными методами обнаружения инъекций при помощи синтаксических анализаторов без сигнатур и фильтрующих регулярных выражений, а также рассмотрят реализацию концепции JavaScript-ловушек на стороне клиента для атак SSRF, IDOR, Command Injection и CSRF.
Основные угрозы безопасности для интернет-бизнеса в 2014 годуSiteSecure
Презентация с вебинара "Первые шаги к безопасности и новым клиентам" (запись вебинара - http://www.youtube.com/watch?v=TWlea8tPp3E)
Спикер: Олег Михальский, Лабоработия Касперского / Acronis
Тезисы:
- основные угрозы в 2014;
- основные примеры реализации угроз;
- как угрозы в действительности влияют на интернет-бизнес.
Презентация для вебинара от 22.04.2014. Запись вебинара на Youtube: http://www.youtube.com/watch?v=3ZBLXqOW8mQ&hd=1
Эксперт по информационной безопасности Григорий Земсков – об эффективных методах предотвращения взлома сайта, кражи конфиденциальных данных и заражения вирусами, а также о том, что следует предпринять, если ваш сайт взломали.
www.vk.com/siteprotect - группа ВК “Безопасность сайтов”
twitter.com/revisium - Твиттер компании Revisium
facebook.com/Revisium - страница Revisium в Facebook
www.revisium.com/ru/blog/ - блог Revisium (rss подписка)
Особенности использования машинного обучения при защите от DDoS-атакQrator Labs
В докладе мы взглянем на проблему DDOS, с одной стороны, более широко — как на проблему обеспечения доступности ресурса, с другой стороны более конкретно — как на проблему информационной безопасности.
Поговорим о том, как автоматизировать борьбу с DDOS-атаками при помощи машинного обучения, и чем такая автоматизация может быть опасна.
Наконец, рассмотрим пару примеров и обсудим, с чего начинать строить систему защиты от DDOS.
Как не положить тысячи серверов с помощью системы централизованного управлени...Ontico
В 2012 году мы начали внедрение CFEngine в нашу инфраструктуру. Переход на централизованное управление конфигурацией в проектах такого масштаба подобен ремонту - его невозможно закончить, его можно только прекратить. И уже весной 2013 года (в день 404 ошибки и международного дня Интернета) этот "ремонт" превратился в катастрофу и был остановлен. После 3 суток недоступности портала нам пришлось изобрести схему, которая бы физически ограничивала возможность повторения катастрофы. Схема включает в себя тестирование политик на тестовых серверах различной важности и конфигурации. "Маринование" в этой тестовой среде сопровождается автоматизированным контролем характеристик нагрузки этих серверов. Далее происходит обязательный ревью и плавное распространение последовательно по всем датацентрам.
В докладе будет рассказано:
1. почему мы выбрали CFEngine, а не Chief или Puppet;
2. как мы научили CFEngine быть дружелюбным (примеры политик и выдержки из библиотеки);
3. 100500 предпринятых мер, что бы не повторить "день 404" и соблюсти баланс между безопасностью и удобством;
4. как ещё можно использовать системы управления серверами.
[Defcon Russia #29] Борис Савков - Bare-metal programming на примере Raspber...DefconRussia
Докладчик покажет, как с помощью bare-metal programming подружить Raspberry Pi с GPIO, памятью и Ethernet, и пояснит, кому и зачем это может понадобиться.
[Defcon Russia #29] Александр Ермолов - Safeguarding rootkits: Intel Boot Gua...DefconRussia
Intel Boot Guard — аппаратно поддержанная технология верификации подлинности BIOS, которую вендор компьютерной системы может встроить на этапе производства. Докладчик представит результаты анализа технологии, расскажет об её эволюции. Слушатели узнают, как годами клонируемая ошибка на производстве нескольких вендоров позволяет потенциальному злоумышленнику воспользоваться этой технологией для создания в системе неудаляемого (даже программатором!) скрытого руткита. Github: https://github.com/flothrone/bootguard
[Defcon Russia #29] Алексей Тюрин - Spring autobindingDefconRussia
В Spring MVC есть классная фича — autobinding. Но если пользоваться ей неправильно, могут появиться «незаметные» уязвимости, иногда с серьёзным импактом. Рассмотрим пару примеров, углубимся в тонкости появления autobinding-багов. Writeup [ENG]: http://agrrrdog.blogspot.ru/2017/03/autobinding-vulns-and-spring-mvc.html
[Defcon Russia #29] Михаил Клементьев - Обнаружение руткитов в GNU/LinuxDefconRussia
Руткиты в мире основанных на ядре Linux операционных систем уже не являются редкостью. Рассказ будет о том, как попытки в современных реалиях определить то, скомпрометирована ли система, привели к неожиданному результату.
[DCG 25] Александр Большев - Never Trust Your Inputs or How To Fool an ADC DefconRussia
Мы поговорим об общей проблеме валидации входных данных и качестве их обработки. Интерпретация входящих данных оказывает прямое влияние на решения, принимаемые в физической инфраструктуре: если какая-либо часть данных обрабатывается недостаточно аккуратно, это может повлиять на эффективность и безопасность процесса.
В этой беседе мы обсудим атаки на процесс обработки данных и природу концепции «never trust your inputs» в контексте информационно-физических систем (в общем смысле, то есть любых подобных систем). Для иллюстрации проблемы мы используем уязвимости аналого-цифровых преобразователей (АЦП), которые можно заставить выдавать поддельный цифровой сигнал с помощью изменения частоты и фазы входящего аналогового сигнала: ошибка масштабирования такого сигнала может вызывать целочисленное переполнение и дает возможность эксплуатировать уязвимости в логике PLC/встроенного ПО. Также мы покажем реальные примеры использования подобных уязвимостей и последствия этих нападений.
Cisco network equipment has always been an attractive attack target due to its prevalence and the key role that it plays in network structure and security.
This equipment is based on a wide variety of OS (firmware) architectures, types, and versions, so it is much harder to develop a universal shellcode. Publicly available Cisco IOS shellcodes are tailored to specific equipment, have narrow functionality, and are not exactly useful for penetration testing.
This talk is the presentation of a research initiated by our research center to create a shellcode which is as easily portable between different IOS firmwares as possible and which provides a lot of pentesting features because it can dynamically change the shellcode destination at the stage of post-exploitation.
We will also consider the possibility of creating a worm which could spread across the infrastructure, from firewall to router, from router to switch, etc.
Andrey Belenko, Alexey Troshichev - Внутреннее устройство и безопасность iClo...DefconRussia
Расскажу где и как iCloud Keychain хранит пароли, и какие потенциальные риски это несёт. Apple утверждает, что пароли надежно защищены, и даже её сотрудники не могут получить к ним доступ. Чтобы это подтвердить или опровергнуть, необходимо разобраться с внутренним устройством iCloud Keychain, чем мы и займемся.
George Lagoda - Альтернативное использование вэб сервисов SharePoint со сторо...DefconRussia
Мои последние исселодования показали, что у SharePoint есть определенное количество вэб сервисов, которые могут помочь аудитору собрать крайне полезную информацию с сайта (списки пользователей, групп, ролей и т д). Также данные сервисы, в комбинации с хранимыми XSS, могут быть использованы для вертикального повышения привилегий или предоставить информацию для компрометации доменных записей AD.
George Lagoda - Альтернативное использование вэб сервисов SharePoint со сторо...
Samosadny mass csrf attacks via flash ads
1. Массовые CSRF-атаки через Flash-
рекламу
Самосадный Кирилл
Лаборатория Безопасности Информационных Систем
факультет ВМК МГУ
ZeroNights 2012
2. Введение
● XSS и CSRF - самые распространенные уязвимости.
● Как провести массовую атаку на клиентов через
CSRF/XSS в приватной части/XSS over CSRF
в случае, когда время сеанса ограничено?
● Как попутно определить, что атакуемый
пользователь уязвим к подобной атаке, т.е.
авторизован на уязвимом сайте?
● Предлагаемый инструмент - баннерообменные сети.
● Цель настоящего исследования - оценить
применимость предлагаемого инструмента.
3. Взаимодействие баннера и DOM
<embed src="ad.swf" …
allowScriptAccess="always"
type="application/x-shockwave-flash" >
</embed>
● Ограничения накладываются с помощью атрибута
allowScriptAccess:
○ sameDomain (default) – взаимодействие разрешено только
в том случае, если они находятся в одном домене
○ never – взаимодействие запрещено
○ always – взаимодействие разрешено
4. Пример взаимодействия
● ExternalInterface:
○ call - вызов произвольного JavaScript-кода из ActionScript;
○ addcallback - установка обработчика для вызовов из JS
function recieve(s : String) : void {
ExternalInterface.call("alert", "Recieved from JS: " + s);
}
ExternalInterface.addcallback("send", recieve);
JavaScript:
document['flash'].send('Hello!')
6. Цели исследования
1. Дано:
a. CSRF/XSS уязвимость на некотором сайте;
b. целевые характеристики массовости атаки;
c. директивный интервал атаки (сутки, неделя, год);
2. Вопросы:
a. во многих ли сетях allowScriptAccess = always?
b. сколько они могут обеспечить клиентов в сутки?
c. легко ли обойти модерацию?
d. сколько в среднем будет стоить атака на одного
клиента?
7. Beeline + XSS over CSRF
http://www.youtube.com/watch?v=c2T3eBDVRI0
8. Определение состояния logged-in
● Запрос приватного ресурса (скрипт, картинка и т.п.).
● Для соц. сети - API: Facebook API, VK API.
● Замер времени ответа "тяжелого" запроса:
○ у авторизованного запрос будет выполняться долго;
○ неавторизованного отсекут раньше.
● Комбо redirect after login + favicon.ico:
○ https://login.mts.ru/amserver/UI/Login?service=lk&goto=https:
//lk.ssl.mts.ru/favicon.ico
○ http://www.facebook.com/login.php?next=http%3A%2F%
2Fwww.facebook.com%2Ffavicon.ico
● Демо: http://bushwhackers.ru/social_detector.html
9. Полученные результаты (1 из 3)
● Во многих сетях параметр allowScripAccess = always
является необходимым для корректной работы
баннера.
● Прохождение модерации:
○ основные требования - нет обфускации и нет сетевого
взаимодействия;
○ нам не известны методы проверок;
○ неизвестна причина отказа:
■ плохой сайт;
■ некрасивый баннер;
■ спалили вредоносный код.
○ в крупных сетях пройти проверку легальными способами не
получилось;
○ однако, интерфейсы проверяющих уязвимы для
вредоносных баннеров.
10. Полученные результаты (2 из 3)
● Есть сети без проверок:
○ приличное число ботов (идут клики/показы, но нет ответа
от Flash и посещения рекламируемого сайта);
● Когда баннер не проходит модерацию, он не
удаляется из хранилища баннеров, что позволяет:
○ договариваться непосредственно с участниками
баннерообменной сети о демонстрации своего баннера;
○ при взломе сайта, входящего в баннерообменную сеть,
заменять показ произвольного баннера на показ
вредоносного.
● Идеальная кобинация: allowScripAccess = always,
крупная сеть, нету модерации и накручивающих
ботов - не найдена.
11. Полученные результаты (3 из 3)
● Есть некоторое количество сетей без модерации и без
доступа к DOM вероятно пригодных для ВПО,
использующих уязвимости FP.
○ есть одна сеть с более 30 млн. показов в день;
● В мелких сетях, в которых можем пройти проверку:
○ получаем около одного зарегистрированного пользователя
на 10000 в сутки (для beeline), что для достижения
массовости требует использования большого числа таких
сетей;
○ для сайтов c remember me получаем хорошие результаты:
● vk.com - 57,5%;
● google.com - 17,2%;
● twitter.com - 14,9%;
● facebook.com - 13,7%;
● plus.google.com - 11,5%.
12. Выводы
● Вредоносные Flash-баннеры опасны, потому что
○ с их помощью можно массово эксплуатировать различные
уязвимости;
○ грамотно упакованный payload не обнаруживается до
выполнения;
○ при отсутствии модерации сеть можно использовать для
Flash-уязвимостей;
○ если злоумышленник знает методику проверки баннеров,
то наверняка может ее обойти.
● Нужно средство для обнаружения подобных
баннеров!
13. Хорошая статья
● О детектировании атак типа drive-by download и
новых векторах распространения вредоносного ПО
через Flash-баннеры
http://habrahabr.ru/post/143345/
14. Спасибо за внимание!
● Name: Самосадный Кирилл
● Email: kirsamosad@gmail.com
● О себе:
○ студент 5-го курса ВМК МГУ
○ пишу диплом на тему "Обнаружение вредоносных Flash-
баннеров"
○ играю в CTF за Bushwhackers
● Презентация доступна по адресу:
http://lvk.cs.msu.su/~samosad/ZeroNights_2012/ZN2012.pdf
15. Инструмент
● Один или несколько баннеров,
которые выполняют
фингерпринтинг клиента (и админа)
и загружают вредоносносное Flash-
приложение с сервера.
● Javascript-код, который проводит
проверку возможности
эксплуатации уязвимостей.
● Серверный скрипт, которому
отсылаются результаты проверки
пререквизитов атак и который
возвращает js-код,
непосредственно эксплуатирующий
уязвимости.
● Вредоносное Flash-приложение,
который содержит js-код из п. 2, а
также запускает js-код эксплойтов,
полученный от серверного модуля
из п.3.