t1r1 May 5 2012 at 09:18

О детектировании атак типа drive-by download и новых векторах распространения вредоносного ПО через Flash-баннеры

8 min

13K

Information Security*

+35

Comments 14

Aquahawk May 5 2012 at 10:11

allowScriptAccess устанавливается в значение «always» ага, это уязвимость флеша.

Jecky May 5 2012 at 10:54

У нормальных антивирусов/файрволов те конечные адреса с эксплойтами и их сигнатуры должны быть в базах, поэтому все предыдущие манипуляции выглядят не опаснее пользователя, жмущего на сомнительные ссылки.

megaweber May 5 2012 at 11:18

Адреса можно очень бодро менять и никакие антивирусы не угонятся.

Aquahawk May 5 2012 at 11:23

Контент во флешке тоже можно шифровать так что не угонишься. Можно вообще полиморфную(не совсем честно конечно) флешку написать чтоб с сервера каждый раз разная флешка отдавалась и криптовалась на лету. Можно интерпритатор брейнфак машины прицепить и логику на брейнфаке сделать.

nail84 May 5 2012 at 11:37

можно, но зачем?

Aquahawk May 5 2012 at 12:02

Это к тому что я не понимаю зачем нужны антивирусы, и как они могут спасать от новых атак. Спасают только от старых. А если браузер запущен не от админа, а флешки пускаются без разрешения на модификацию страницы, то и бояться нечего.

nail84 May 5 2012 at 12:23

Понятно, я удивился решению с привлечением брейнфака, сомнительно что это потребуется. На клиентской стороне вряд ли браузеры будут декомпилить код баннеров когда-либо. А на стороне сервера проблема имеет значительно более легкое решение описанное в коментах выше. allowScriptAccess = none, все.

pimentium May 5 2012 at 12:07

Это повлияет только на сигнатуры, но не спасет от поведенческого анализа.

FirsofMaxim May 5 2012 at 12:46

Надо 1й комментарий вынести в 1й абзац… Ппц жути навели…

alextheraven May 5 2012 at 17:35

Жуть состоит исключительно в том, что очень многие о значениях allowScriptAccess, да и других параметров, не задумываются, как баннерокрутилка ставит по умолчанию – так и оставляют. И уверены, что с ними такое никогда не случится, а потом, оставшись без трафика, пишут гневные письма в тех. поддержку. А ещё обфускация и защита от анализа довольно сильные.

Впрочем, если загружать заражённый Flash-баннер с того же домена, что в большинстве случаев и делают, то для работы вредоносного кода достаточно и значения по умолчанию, «sameDomain». В документации Adobe написано, что Flash-баннеры сторонних производителей нужно размещать на отдельных поддоменах, но её мало кто читает.

Aquahawk May 5 2012 at 18:26

Так вот зловредным ПО надо считать такие баннерокрутилки, где по дефолту разрешён allowScriptAccess

alextheraven May 6 2012 at 13:37

Такие баннерокрутилки являются уязвимыми, равно как браузер и его соответствующий компонент. То, что уязвимость является обратной стороной простоты, функциональности и «работы из коробки без проблем», сути не меняет. А вредоносным является код, который использует данные уязвимости.

Aquahawk May 7 2012 at 05:23

Согласен, код который это использует вредоносен, т.е. вредоносен баннер. И сеть крутилок уязвима из-за неграмотной настройки. Флеш тут не причём совершенно.

mihalich Apr 25 2013 at 18:22

Как для OpenX поставить allowScriptAccess = never?
Нас, похоже, хакнули…

Спасибо!