Malware wykorzystuje ARP spoofing do wstrzykiwania złośliwego kodu

Jeśli ktoś myślał, że tworzący sieci botnet wynaleźli już wszystko co było do wynalezienia, to się grubo mylił (jak zawsze jeśli chodzi o boty). Nowoczesne boty posiadają możliwość wstrzykiwania złośliwego kodu do stron przeglądanych przez innych użytkowników w sieci LAN. Atak ten wykorzystuje fałszowanie pakietów w sieciach lokalnych zwany: ARP spoofingiem.

Niezidentyfikowana grupa ;] dokonała ataków SQL injection, wstrzykując do wielu legalnych stron WWW (za Google: ponad 4000 wyników), przekierowanie w JavaScripcie, do domeny winzipices.cn. Pod tym adresem, a dokładnie z pomocą kodu: , gdzie zamiast X.js wykorzystywane są pliki: 1.js, 2.js, 3.js, 4.js – użytkownik w zależności od posiadanej wersji przeglądarki stron WWW, zostaje obdarowany prezentami znajdującymi się w dodatkowych oknach typu IFRAME.

żadnych reklam, sama wiedza.

Zarejestruj się na BEZPŁATNY NEWSLETTER i raz w tygodniu otrzymuj najważniejsze wiadmości
ze świata IT, nowych technologii i kryptowalut.

Bez reklam.

  1. Awatar optimizationkit
    optimizationkit

    "dokonała ataków SQL injection"

    Raczej ataków typu man-in-the-middle, SQL injection to inna bajka.

    1. Awatar stilgar
      stilgar

      chyba nie doczytales 🙂

      "dokonała ataków SQL injection, wstrzykując do wielu legalnych stron WWW"

      jak najbardziej to pasuje do SQL Injection 🙂

      "przekierowanie w JavaScripcie, do domeny winzipices.cn"
      chociaz to juz troche jak XSS 😛

      tylko jakis dziwny ten news – w naglowku jest o ARP spoofingu, a potem o injection… a nie jest powiedziane, co ma jedno do drugiego…

      1. Awatar optimizationkit
        optimizationkit

        Ja to rozumiem tak, że za pomocą man-in-the-middle zmienia się kod strony internetowej. "Atak ten wykorzystuje fałszowanie pakietów w sieciach lokalnych zwany" czyli przesyłany jest kod strony do przeglądarki klienta, atakujący zmienia go tak, aby wykonywał "dodatkowe funkcje".

        Przynajmniej ja to tak zrozumiałem, nie jestem crackerem i się na tym nie znam.

        1. Awatar ktoś
          ktoś

          dokładnie, z opisanego sposobu ataku wynika, że injection to co prawda jest, ale z SQL nie ma NIC wspólnego. To nie serwer jest atakowany, a jedynie określone połęczenie. Kod strony przesyłany do klienta jest W MOMENCIE PRZESYŁANIA "wzbogacany o dodatkowe funkcje" – tak, to dobre określenie

  2. Awatar gg
    gg

    Mam w sieci tego typu problem – komputer w sieci (domena rozgłoszeniowa) podszywa się pod bramę więc wszystkie pakiety do niego dochodzą, prawdopodobnie udaje jednocześnie DNS i na wszystkie żądania WWW odpowiada podesłaniem swojego trojana…
    Jak to zobaczyłem to mi włosy dęba stanęły.

    Najlepsze, że nawet jak ktoś był bardziej świadomy i używał Firefoxa to i tak netu nie miał… Firefox tylko zgłaszał, że chce zapisać jakiś plik. Więc biedny user sprawdzał czy może w IE będzie działać… no i po chwili sam zostawał kolejnym zombie.
    Kilka komputerów wyczyściłem antywirusami – naznajdowały sporo śmieci (m. in. po dwa trojan downloadery), ale wg opisów wirusów żaden nie zachowuje się w ten sposób… Reszcie zainfekowanych kazałem przeinstalować systemy. Jednak problem pojawia się co jakiś czas.

    Ktoś może słyszał o takim trojanie?

    1. Awatar stilgar
      stilgar

      odpowiednia konfiguracja switcha zalatwi sprawe – przypisz IP do portu, mozesz nawet jakis radius postawic, wtedy o zadnym podszywaniu sie pod brame nie bedzie mowy.

      1. Awatar gotar
        gotar

        IP do portu mówisz na switchu mówisz – ciekawe. I możesz powiedzieć, ale tak dokładnie a nie ogólnikiem, co zdziała radius w sieci rozgłoszeniowej (bez osobnej autoryzacji czy to EAP na 802.1x czy PPPoE) na taki atak? Zakładając nawet to, że pod samego klienta podchodzisz switchami, które to w ogóle umieją.

        1. Awatar jr
          jr

          IP do portu mówisz na switchu mówisz – ciekawe.

          Da się jak najbardziej. Na CISCO się to nazywa "ip source guard".

        2. Awatar gotar
          gotar

          Ten mechanizm wymusza stosowanie w sieci DHCP, a ponadto (o ile się nie mylę) uniemożliwia jednoczesne korzystanie z kilku adresów IP,

        3. Awatar jr
          jr

          Nie wymusza stosowania DHCP (można robić wpisy statyczne), ale DHCP ułatwia sprawę. Przy wpisach statycznych chyba rzeczywiście dla jednego mac adresu można przypisać tylko jedno IP.

      2. Awatar gg
        gg

        Częściowo sobie poradziłem, bo jest to sieć radiowa, AP na Mikrotiku i poustawiałem statyczne ARPy plus troche regułek w firewallu, ale to jest półśrodek…
        Wirus nadal czasem się objawia a fascynuje mnie choćby z tego powodu, że mam jeszcze inną sieć, gdzie gdyby tam taki wirus wlazł to byłby nie do powstrzymania… a na pewno oznaczałoby to dla mnie wiele dni ciężkiej pracy… Kilkaset komputerów, jedna domena rozgłoszeniowa, komputery często zmieniają miejsce, sieć się często zmienia… Byłaby totalna katastrofa…

        1. Awatar ktoś
          ktoś

          Wymuś łączenie się przez PPPoE i regułkę wyrzucającą z sieci w razie wykrycia podejżanych pakietów. Filtrowanie MAC jest prymitywne i łatwe do oszukania, ale jeżeli pozwolisz zażądzać siecią z tylko jednego MAC adresu, to dość trudne stanie się podszycie pod niego. Dodatkowo przy atakach typu "man in the midle" atakowany komputer przyjmuje pierwszy pakiet, który do niego dotrze. Można więc podejść też nieco łagodniej, tj. opóźniać wszystkie pakiety podejżanej maszyny ( i jej ofiary, o ile nawiązała połączenie). W tedy zawsze pierwszy dojdzie sygnał od prawdziwej bramy, ataki staną się mniej skuteczne, a jednocześnie próby ataku są kontynuowane, więc można je automatycznie logować, analizować i nawet bez skanowania antywirem wiadomo, które maszyny zą zarażone.
          Wiesz jak wygląda ruch generowany przez to świńśtwo, więc wiesz jakie pakiety powinny aktywować specjalne reguĸłki.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *