¿Cómo los kits de explotación enumeran o identifican sus objetivos?

10

Mi entendimiento actual es que un kit de exploits hará una huella digital (recopilará información sobre) un sistema, verificará esos detalles en una base de datos de vulnerabilidades y luego intentará usar los exploits relevantes.

Puedo ver formas sencillas de verificar cosas como la versión instalada de Flash usando JS, pero esto es realmente fácil de defender (porque el usuario solo puede detener, modificar o pasar por alto JavaScript).

¿Qué otras técnicas se utilizan para recopilar información sobre un usuario cuando encuentran la página de destino del kit de explotación?

Por ejemplo, ¿cómo descubriría qué versión de Adobe Reader está utilizando o qué complementos de navegador están instalados si llega a mi página web?

    
pregunta Arlix 10.11.2017 - 14:33
fuente

2 respuestas

14

Creo que podría estar suponiendo que los kits son más complicados de lo que son.

Un kit está diseñado para explotar vulnerabilidades específicas . No es necesario 'huella digital' y elegir el mejor exploit. Solo puede intentar explotar aquello para lo que está diseñado para explotar. Algunos kits intentarán un método tras otro en serie hasta que algo funcione.

Por ejemplo, se puede diseñar un kit para explotar los navegadores Safari. Cuando un usuario lo golpea, se lanza el exploit. Si funciona o no depende de si el navegador y la versión correctos hicieron la conexión. Si no fue así, generalmente no sucede nada que el usuario pueda ver de todos modos.

Para su ejemplo de Adobe Reader, el kit no necesita saber que una versión específica está leyendo el archivo. El kit solo sirve el archivo PDF con el exploit dentro de él. ¿Cuál es el costo del fracaso?

Por otro lado, si el kit quiere ser más específico, entonces sí, busca los marcadores específicos que requiere. Pero qué son esos marcadores y, posteriormente, cómo buscarlos, dependerá de la vulnerabilidad. Demasiados para enumerar aquí.

    
respondido por el schroeder 10.11.2017 - 15:18
fuente
3

Una técnica que se puede utilizar para recopilar información sobre un usuario es a través de Flash.

Flash es muy similar a Java y puede detectar el tipo de su navegador y hacer mucho más.

El código del script de acción puede hacer mucho.

Como detectar si JavaScript está habilitado, el tipo de su navegador, el sistema operativo e incluso si el SWF (archivo flash) se está ejecutando en un entorno de caja de arena.

Cómo un atacante usaría flash:

  1. Use un archivo flash para detectar la información de los usuarios.

  2. Si el navegador es Chrome, lo más probable es que se redirija a una página ficticia, ya que en la mayoría de los casos Chrome no puede ser explotado debido a su caja de arena. O lo redireccionará a la página de inicio de exploits.

En la mayoría de los casos, JavaScript no sería necesario en un exploit flash, pero muchos kits de exploits utilizan JavaScript para escribir en el código html a la dom.

Los archivos JAR (java empaquetada) y los archivos XAP (Silverlight dll + XAML) pueden hacer lo mismo y, en algunos casos, más que Flash.

En general, lo que más hacen los kits de exploit es:

  1. Primero obtenga detalles sobre la información del sistema de los usuarios, principalmente mediante flash o JavaScript.
  2. Si la información del sistema de los usuarios es explotable, siga adelante y explótela.

Los kits de explotación también hacen uso de vulnerabilidades llamadas filtraciones de información del navegador. ¡Usando esto, pueden detectar la versión de su navegador, la información del sistema y los complementos!

    
respondido por el NTDLL 02.01.2018 - 02:54
fuente

Lea otras preguntas en las etiquetas