t1r1 5 мая 2012 в 09:18

О детектировании атак типа drive-by download и новых векторах распространения вредоносного ПО через Flash-баннеры

8 мин

13K

Информационная безопасность *

+35

Комментарии 14

Aquahawk 5 мая 2012 в 10:11

allowScriptAccess устанавливается в значение «always» ага, это уязвимость флеша.

Jecky 5 мая 2012 в 10:54

У нормальных антивирусов/файрволов те конечные адреса с эксплойтами и их сигнатуры должны быть в базах, поэтому все предыдущие манипуляции выглядят не опаснее пользователя, жмущего на сомнительные ссылки.

megaweber 5 мая 2012 в 11:18

Адреса можно очень бодро менять и никакие антивирусы не угонятся.

Aquahawk 5 мая 2012 в 11:23

Контент во флешке тоже можно шифровать так что не угонишься. Можно вообще полиморфную(не совсем честно конечно) флешку написать чтоб с сервера каждый раз разная флешка отдавалась и криптовалась на лету. Можно интерпритатор брейнфак машины прицепить и логику на брейнфаке сделать.

nail84 5 мая 2012 в 11:37

можно, но зачем?

Aquahawk 5 мая 2012 в 12:02

Это к тому что я не понимаю зачем нужны антивирусы, и как они могут спасать от новых атак. Спасают только от старых. А если браузер запущен не от админа, а флешки пускаются без разрешения на модификацию страницы, то и бояться нечего.

nail84 5 мая 2012 в 12:23

Понятно, я удивился решению с привлечением брейнфака, сомнительно что это потребуется. На клиентской стороне вряд ли браузеры будут декомпилить код баннеров когда-либо. А на стороне сервера проблема имеет значительно более легкое решение описанное в коментах выше. allowScriptAccess = none, все.

pimentium 5 мая 2012 в 12:07

Это повлияет только на сигнатуры, но не спасет от поведенческого анализа.

FirsofMaxim 5 мая 2012 в 12:46

Надо 1й комментарий вынести в 1й абзац… Ппц жути навели…

alextheraven 5 мая 2012 в 17:35

Жуть состоит исключительно в том, что очень многие о значениях allowScriptAccess, да и других параметров, не задумываются, как баннерокрутилка ставит по умолчанию – так и оставляют. И уверены, что с ними такое никогда не случится, а потом, оставшись без трафика, пишут гневные письма в тех. поддержку. А ещё обфускация и защита от анализа довольно сильные.

Впрочем, если загружать заражённый Flash-баннер с того же домена, что в большинстве случаев и делают, то для работы вредоносного кода достаточно и значения по умолчанию, «sameDomain». В документации Adobe написано, что Flash-баннеры сторонних производителей нужно размещать на отдельных поддоменах, но её мало кто читает.

Aquahawk 5 мая 2012 в 18:26

Так вот зловредным ПО надо считать такие баннерокрутилки, где по дефолту разрешён allowScriptAccess

alextheraven 6 мая 2012 в 13:37

Такие баннерокрутилки являются уязвимыми, равно как браузер и его соответствующий компонент. То, что уязвимость является обратной стороной простоты, функциональности и «работы из коробки без проблем», сути не меняет. А вредоносным является код, который использует данные уязвимости.

Aquahawk 7 мая 2012 в 05:23

Согласен, код который это использует вредоносен, т.е. вредоносен баннер. И сеть крутилок уязвима из-за неграмотной настройки. Флеш тут не причём совершенно.

mihalich 25 апр 2013 в 18:22

Как для OpenX поставить allowScriptAccess = never?
Нас, похоже, хакнули…

Спасибо!

Зарегистрируйтесь на Хабре, чтобы оставить комментарий