¿Las descargas malintencionadas omiten el descargador integrado del navegador? Si es así, ¿cómo sucede eso?

3

He estado leyendo mucho aquí sobre las descargas maliciosas de los sitios de navegación, las descargas por disco, etc., pero nunca escuché hablar sobre cómo ocurre la descarga y cómo evitaría la descarga interna del navegador. En la mayoría de los navegadores se le notificará cuando esté descargando algo, es decir, Chrome muestra todas las descargas en la parte inferior en su propia bandeja.

Me parece que estas descargas malintencionadas son sigilosas, lo que significaría que funcionarían con cualquier descargador de navegador integrado.

Mi pregunta es, si este es realmente el caso de evitarlo, ¿cómo es eso posible, y qué métodos se están utilizando para detener esto, y hay algo que podamos hacer con el cliente?

Si este no es el caso, ¿significa eso que se descarga como un archivo normal, en el que los usuarios ignorantes ejecutarán el programa?

Me encontré con una situación en la computadora de una persona que conozco en la que visitaron un sitio y se descargaron extensiones adicionales en su navegador Chrome que causaron elementos incompletos, como una página de "nueva pestaña" falsa de Google. Así que para mí, parece que mucho de esto puede suceder sin que el usuario lo permita (¿o no saben que lo permitieron?).

EDITAR: encontré esta pregunta ¿Los ataques de unidad de descarga incluyen la descarga de archivos malintencionados?

Lo que no responde exactamente a mi pregunta, pero se suma a la pregunta de que un usuario tendría que ejecutar un archivo o JS malicioso en ejecución, activeX, Java, etc., pero tengo curiosidad por saber si hay una manera de evitar los descargadores. , en ese código malicioso se descarga a su máquina. También parece que el usuario podría necesitar ejecutarlo, pero al mismo tiempo, tal vez no ... Supongo que dependerá de lo que realmente es el código malicioso y de lo que lo está atacando. es decir, es un archivo, o Java, o Adobe Flash, etc ...

    
pregunta XaolingBao 10.01.2017 - 12:58
fuente

2 respuestas

4

Lo importante a entender aquí es que la "navegación" como tal es peligrosa si su navegador es vulnerable y visita el sitio equivocado. El problema no tiene nada (o poco) que ver con lo que la mayoría de los usuarios llama "descargar", es decir, la descarga intencional de un archivo para guardarlo en el disco para su uso posterior (como descargar un pdf, un archivo ejecutable, una imagen o película o lo que sea).

Para comprender qué sucede, debe pensar qué son los programas de computadora. Son procesos que se ejecutan en la memoria. Aceptan entrada y producen salida. Por supuesto estoy simplificando pero pronto tendrás la idea. La entrada es lo que usted proporciona (clics del mouse, información de URL, datos del formulario que completa, etc.). La salida es principalmente lo que se representa en la ventana del navegador y lo que consume a través de su ojo y su cerebro.

Otra entrada al programa del navegador es lo que el navegador descarga de los sitios que visitó. Tenga en cuenta que puede ser difícil hacer un seguimiento de lo que realmente se carga desde el sitio. El sitio puede vincular cientos de otros sitios para obtener imágenes, estilos, javascript, crear anuncios, incluir me gusta de Facebook, etc.

Ahora, ¿cómo se comprometen los programas de computadora? A través de entradas mal formadas en situaciones en las que los programadores se olvidaron de verificar las entradas para el formato correcto o cometieron errores de programación de lo contrario. En nuestro caso: si visita el sitio incorrecto, enviará html, css, formato de película con formato incorrecto, ... (lo que el pirata informático encuentre que puede ser explotado) a su navegador con la esperanza de que esté utilizando una versión vulnerable. Luego, en el proceso del navegador, ocurre un desbordamiento de búfer o algo similar y el pirata informático logra el RCE (ejecución remota de código, lo que significa que convierte su navegador en una herramienta de su voluntad).

Entonces, en caso de que el navegador sea vulnerable, no necesita una descarga intencional para ser pirateado. Si se hace bien, ni siquiera te darás cuenta cuando suceda.

Las extensiones del navegador suelen empeorar esto. En general, cuanto más software ejecute y que procesa la entrada externa (no verificada), mayor será la superficie de ataque.

Entonces, ¿qué puedes hacer?

  • Asegúrese de que su navegador esté actualizado hasta la fecha
  • Evite las cosas que se sabe que son vulnerables (flash player)
  • Evita los sitios que tengan un aspecto sospechoso
  • si puede, use tecnologías de virtualización (use un navegador en una máquina virtual. Restablezca la imagen de la VM después de cada uso)
respondido por el kaidentity 10.01.2017 - 13:18
fuente
0

Como desarrollador web, específicamente un mantenedor a largo plazo de la biblioteca download.js (simplemente citar la relevancia desde que Manténgase al día con estas cosas para mantenerlas actualizadas. Le puedo asegurar que las descargas NO SE SUPONEN que ocurran sin su consentimiento. A veces lo hacen:

    El usuario
  1. ha optado por descargar o abrir automáticamente un determinado tipo de archivo, pero eso no debería incluir los ejecutables. Esta es la opción de "Siempre abrir archivos de este tipo", que te puede ayudar con macros de palabras y otras cosas.

  2. hay una falla en un complemento, navegador o extensión que permite que la página maliciosa use una forma no regulada de guardar el archivo. Los ejemplos incluyen flashes antiguos que podrían escribir directamente en el disco duro, explotaciones de PDF y el terrible sistema de "zona" de IE6 que se está mal administrado.

  3. los archivos que normalmente son inofensivos se pueden convertir en maliciosos: macros de palabras, exploits de lectores de pdf, incluso archivos zip y audio de mal comportamiento. En ocasiones, la extensión muestra estos archivos en el navegador, lo que conlleva un compromiso porque no se preguntó al usuario si mostrarlo es aceptable.

  4. engañan al usuario para que ejecute un ejecutable completo del que aprobaron la descarga, a menudo con el pretexto de un juego, un códec de video, video sexual, etc.

  5. los ataques basados en correo electrónico intentan conectarse a los controladores de secuencia de comandos internos del sistema operativo, evitando las protecciones del navegador y el espacio aislado. Aquí es donde un script jscript o powershell obtiene una carga más grande de http a la carpeta temporal y la ejecuta.

En resumen, no, los ataques ya no pasan por alto las defensas del navegador, engañan al usuario o emplean métodos que no son del navegador.

    
respondido por el dandavis 10.01.2017 - 15:42
fuente

Lea otras preguntas en las etiquetas