Malware wykorzystuje ARP spoofing do wstrzykiwania złośliwego kodu
- Dodano: 14 maja 2008
- Wprowadził: bothunterspl
- Komentarze: 12
Jeśli ktoś myślał, że tworzący sieci botnet wynaleźli już wszystko co było do wynalezienia, to się grubo mylił (jak zawsze jeśli chodzi o boty). Nowoczesne boty posiadają możliwość wstrzykiwania złośliwego kodu do stron przeglądanych przez innych użytkowników w sieci LAN. Atak ten wykorzystuje fałszowanie pakietów w sieciach lokalnych zwany: ARP spoofingiem.
Niezidentyfikowana grupa ;] dokonała ataków SQL injection, wstrzykując do wielu legalnych stron WWW (za Google: ponad 4000 wyników), przekierowanie w JavaScripcie, do domeny winzipices.cn. Pod tym adresem, a dokładnie z pomocą kodu: , gdzie zamiast X.js wykorzystywane są pliki: 1.js, 2.js, 3.js, 4.js – użytkownik w zależności od posiadanej wersji przeglądarki stron WWW, zostaje obdarowany prezentami znajdującymi się w dodatkowych oknach typu IFRAME.
Więcej informacji: http://bothunters.pl/2008/05/14/malware-...wego-kodu/
Znalazłeś literówkę? Zgłoś ją używając formularza!
Jeśli uważasz, że ten nius jest nieobiektywny, przedstawia nieprawdziwe wydarzenie, jest spamem lub nie spełnia standardów serwisu, napisz raport.
Niusy na podobny temat:
Komentarze są prywatnymi opiniami dodających je osób. Prosimy o zachowanie kultury wypowiedzi. Komentarze obraźliwe oraz obniżające poziom serwisu będą usuwane. Więcej w regulaminie komentowania.
12 komentarzy
Wszystkie autorskie niusy w serwisie publikowane są na licencji Creative Commons Uznanie autorstwa 2.5 Polska.
"dokonała ataków SQL injection"
Raczej ataków typu man-in-the-middle, SQL injection to inna bajka.
chyba nie doczytales
"dokonała ataków SQL injection, wstrzykując do wielu legalnych stron WWW"
jak najbardziej to pasuje do SQL Injection
"przekierowanie w JavaScripcie, do domeny winzipices.cn"
chociaz to juz troche jak XSS
tylko jakis dziwny ten news – w naglowku jest o ARP spoofingu, a potem o injection… a nie jest powiedziane, co ma jedno do drugiego…
Ja to rozumiem tak, że za pomocą man-in-the-middle zmienia się kod strony internetowej. "Atak ten wykorzystuje fałszowanie pakietów w sieciach lokalnych zwany" czyli przesyłany jest kod strony do przeglądarki klienta, atakujący zmienia go tak, aby wykonywał "dodatkowe funkcje".
Przynajmniej ja to tak zrozumiałem, nie jestem crackerem i się na tym nie znam.
dokładnie, z opisanego sposobu ataku wynika, że injection to co prawda jest, ale z SQL nie ma NIC wspólnego. To nie serwer jest atakowany, a jedynie określone połęczenie. Kod strony przesyłany do klienta jest W MOMENCIE PRZESYŁANIA "wzbogacany o dodatkowe funkcje" – tak, to dobre określenie
Mam w sieci tego typu problem – komputer w sieci (domena rozgłoszeniowa) podszywa się pod bramę więc wszystkie pakiety do niego dochodzą, prawdopodobnie udaje jednocześnie DNS i na wszystkie żądania WWW odpowiada podesłaniem swojego trojana…
Jak to zobaczyłem to mi włosy dęba stanęły.
Najlepsze, że nawet jak ktoś był bardziej świadomy i używał Firefoxa to i tak netu nie miał… Firefox tylko zgłaszał, że chce zapisać jakiś plik. Więc biedny user sprawdzał czy może w IE będzie działać… no i po chwili sam zostawał kolejnym zombie.
Kilka komputerów wyczyściłem antywirusami – naznajdowały sporo śmieci (m. in. po dwa trojan downloadery), ale wg opisów wirusów żaden nie zachowuje się w ten sposób… Reszcie zainfekowanych kazałem przeinstalować systemy. Jednak problem pojawia się co jakiś czas.
Ktoś może słyszał o takim trojanie?
odpowiednia konfiguracja switcha zalatwi sprawe – przypisz IP do portu, mozesz nawet jakis radius postawic, wtedy o zadnym podszywaniu sie pod brame nie bedzie mowy.
IP do portu mówisz na switchu mówisz – ciekawe. I możesz powiedzieć, ale tak dokładnie a nie ogólnikiem, co zdziała radius w sieci rozgłoszeniowej (bez osobnej autoryzacji czy to EAP na 802.1x czy PPPoE) na taki atak? Zakładając nawet to, że pod samego klienta podchodzisz switchami, które to w ogóle umieją.
Da się jak najbardziej. Na CISCO się to nazywa "ip source guard".
Ten mechanizm wymusza stosowanie w sieci DHCP, a ponadto (o ile się nie mylę) uniemożliwia jednoczesne korzystanie z kilku adresów IP,
Nie wymusza stosowania DHCP (można robić wpisy statyczne), ale DHCP ułatwia sprawę. Przy wpisach statycznych chyba rzeczywiście dla jednego mac adresu można przypisać tylko jedno IP.
Częściowo sobie poradziłem, bo jest to sieć radiowa, AP na Mikrotiku i poustawiałem statyczne ARPy plus troche regułek w firewallu, ale to jest półśrodek…
Wirus nadal czasem się objawia a fascynuje mnie choćby z tego powodu, że mam jeszcze inną sieć, gdzie gdyby tam taki wirus wlazł to byłby nie do powstrzymania… a na pewno oznaczałoby to dla mnie wiele dni ciężkiej pracy… Kilkaset komputerów, jedna domena rozgłoszeniowa, komputery często zmieniają miejsce, sieć się często zmienia… Byłaby totalna katastrofa…
Wymuś łączenie się przez PPPoE i regułkę wyrzucającą z sieci w razie wykrycia podejżanych pakietów. Filtrowanie MAC jest prymitywne i łatwe do oszukania, ale jeżeli pozwolisz zażądzać siecią z tylko jednego MAC adresu, to dość trudne stanie się podszycie pod niego. Dodatkowo przy atakach typu "man in the midle" atakowany komputer przyjmuje pierwszy pakiet, który do niego dotrze. Można więc podejść też nieco łagodniej, tj. opóźniać wszystkie pakiety podejżanej maszyny ( i jej ofiary, o ile nawiązała połączenie). W tedy zawsze pierwszy dojdzie sygnał od prawdziwej bramy, ataki staną się mniej skuteczne, a jednocześnie próby ataku są kontynuowane, więc można je automatycznie logować, analizować i nawet bez skanowania antywirem wiadomo, które maszyny zą zarażone.
Wiesz jak wygląda ruch generowany przez to świńśtwo, więc wiesz jakie pakiety powinny aktywować specjalne reguĸłki.