¿Cómo funciona exactamente este malware de Flash en Ubuntu?

0

En este video , un usuario experimentado de Ubuntu se las arregla para infectar su sistema con algún tipo de malware.

Este es el primer ejemplo que he visto de malware realmente exitoso en el mundo aparte de la escalada de privilegios.

Aprendí mi lección y desde que deshabilité Flash, pero sigo sintiendo curiosidad, ¿cómo fue capaz de infectar el sistema?

Se proporcionó una explicación en el video, pero el mecanismo exacto no estaba claro para mí.

    
pregunta Anders 27.07.2014 - 17:18
fuente

3 respuestas

1

Al igual que con la mayoría de las vulnerabilidades remotas dirigidas a un complemento de terceros (es decir, Adobe Flash, en este caso), el atacante usó un video flash comprimido mal formado para corromper el reproductor flash incorporado en la víctima.

Los mecanismos exactos no están claros para mí, ya que no tengo ninguna intención de hacer clic en el video que has vinculado porque ese video PODRÍA ser un malware en sí mismo ... sin embargo, los mecanismos son siempre los mismos: en algún punto, un búfer de datos de algún tamaño que se analizó incorrectamente fue capaz de anular algunos valores clave en la memoria que resultaron en una fuga de datos o ejecución remota en la víctima.

El hecho de que fuera una película Flash no es sorprendente en sí mismo. Algunas vulnerabilidades antiguas en Flash player, de las que tengo conocimiento, implican la anulación de referencias de bloques no válidos para el tamaño de las imágenes incrustadas en el video y el dibujo fuera de la región del lienzo asignado. Básicamente, el atacante cambió las dimensiones de la imagen / video para que fueran válidas de acuerdo con el lenguaje de scripts flash pero no eran válidas en la práctica y, por lo tanto, cuando el reproductor flash intentó ensamblar el contenido, corrompió la memoria.

Lo que es particularmente divertido / interesante es la orientación de Linux, porque Windows es el objetivo dominante para este tipo de ataques. Linux tiende a ser más desafiante porque los usuarios suelen ser más conscientes de su nivel de amenaza y toman precauciones. Obviamente, no es una regla de oro, pero si estás jugando con Linux, al menos estás tratando de aprender cómo funcionan los sistemas mucho más que ser un usuario directo de Windows.

    
respondido por el Nick 27.07.2014 - 18:05
fuente
1

El video muestra muy poca información para confirmar que es un ataque exitoso.

Hay mucho que explicar. Porque toda la infección implica una cadena de proceso de flujo de trabajo. Un desglose realmente simple:

  1. Una página web contiene XSS inyectados que notifican al servidor del atacante. El comportamiento típico del navegador enviará el agente de usuario (versión del navegador, información del sistema operativo) al servidor.
  2. El servidor del atacante responderá con un script que solicite el complemento del navegador instalado. (Consulte panopticlick FEP sobre la exposición del usuario-agente del navegador)
  3. Después de obtener la respuesta del navegador del cliente, comprueba qué complemento está sujeto a explotación y envía nuevas cosas, puede ser un archivo Flash, un archivo PDF, un archivo de video, etc. que contenga una vulnerabilidad.
  4. El complemento del navegador no parcheado solo carga el contenido del exploit y ejecuta lo que diga el código oculto.
  5. Si el sistema operativo no detuvo el complemento por "operación de memoria ilegal", entonces el complemento ejecuta el código y descarga más contenido del servidor del atacante y lo ejecuta en la máquina del usuario.

Sin embargo, la falla del navegador no significa que sea un exploit exitoso. En algún momento, solo significa que el complemento del navegador del martillo del sistema intente hacer cosas divertidas, como el desbordamiento de búfer .

    
respondido por el mootmoot 15.08.2016 - 18:04
fuente
0

Creo que esto no tiene nada que ver con las descargas no autorizadas, como afirma el autor. Me parece que visitó un sitio web que había sido inyectado con un iFrame que contenía el sitio malicioso (una forma de Ataque de secuencias de comandos entre sitios ).

Dice que su navegador falló y eso es todo. Es difícil probar más sin visitar realmente la página donde ocurrió el incidente originalmente, que parece no informar.

    
respondido por el Steve DL 27.07.2014 - 18:04
fuente

Lea otras preguntas en las etiquetas