Explotaciones de spam sin detección por parte del usuario

6

Entonces hice esta pregunta porque tenía pensamiento que los atacantes ¿Tendría una forma de identificar el software del cliente, porque seguramente si 100 ataques diferentes se enviaran correo no deseado contra la máquina de un usuario, se darían cuenta?

Las respuestas que obtuve sugieren que ese no es el caso, y de hecho, los kits de malware más populares solo hacen spam de una gran variedad de vulnerabilidades con la esperanza de tener suerte.

Mi pregunta, entonces, ¿cómo sucede esto sin que los usuarios lo sepan? Si hace spam en PDF, Java o exploits de reproductores de medios, seguramente los usuarios notarán que estos programas se están abriendo.

Ni siquiera recuerdo los consejos a los usuarios para que estén pendientes de estos programas que se inician aleatoriamente durante la navegación, lo que parece una pista obvia si así es como funciona la unidad de descargas.

Entonces, ¿por qué los exploits de spam no son más obvios?

    
pregunta Sonny Ordell 08.06.2011 - 18:30
fuente

3 respuestas

7

¿Por qué asumes que el usuario lo notaría? Iniciar un programa requiere un poco de CPU, un poco de RAM, causa algunos accesos al disco, pero eso es bastante discreto. Incluso los geeks que tienen un medidor de CPU u otro monitor de sistema común en su barra de tareas probablemente asuman que es solo un Javascript en un temporizador en una página web abierta, un recolector de basura, o una tarea programada en el sistema operativo.

¿Tal vez esperabas que el programa mostrara una ventana? El exploit debería ocultar la ventana o ejecutar el programa sin mostrar su salida en una ventana visible. Una forma muy sencilla de hacerlo (pero no muy discreta) es iniciar el programa minimizado (por ejemplo, en Windows, puede iniciar un programa desde la línea de comandos cmd con programname /min ). Hay formas más sofisticadas de ocultar el programa más: bajo Linux, por ejemplo, inicie el programa en una pantalla virtual como Xvfb ; Hay formas de hacer esto también en Windows . E incluso eso supone que el programa tiene una GUI; muchos componentes de sistema explotables pueden integrarse dentro de otra aplicación GUI (y el exploit se encargaría de proporcionar una aplicación de envoltorio que no muestre nada) o simplemente no tenga una GUI.

En un contexto web, un exploit en forma de algún recurso (imagen, documento que se muestra en un complemento) en una página web podría tener el estilo de mostrarse como un solo píxel en algún rincón remoto, incluso apilados debajo de otros Elemento para buena medida. ¿Quién verifica todos los medios utilizados por todos los marcos de cada página web?

    
respondido por el Gilles 08.06.2011 - 19:19
fuente
3
  

Mi pregunta entonces, es cómo funciona esto.   ¿Pasar sin que los usuarios se den cuenta? Si   Usted spam PDF o Java o reproductor multimedia   hazañas, seguramente los usuarios lo harían.   ¿Te das cuenta de que estos programas se están abriendo?

Los usuarios no necesitan ser conscientes de ello. Si navega a una página de vulnerabilidad creada por un malware reciente, explotará una falla no parcheada o parcheada recientemente en su navegador. Estas páginas generalmente contienen solo los ataques más recientes, y los exploits están diseñados de tal manera que el usuario solo puede notar que una página está demorando un tiempo considerable en cargarse, nada más. Una página de exploits no servirá para los exploits de pdf, ese es otro vector de ataque. Contendrá varias vulnerabilidades relacionadas con el navegador o el complemento del navegador, como java o flash, que se pueden cargar sin que el usuario se dé cuenta. En el caso de PDF, puede enviarlo por correo electrónico o descargar un archivo PDF que tiene vulnerabilidades incrustadas relacionadas con los lectores de PDF, muchos de ellos, y solo notará que abre el archivo PDF, que es lo que pretendía hacer de todos modos.

  

Entonces, ¿por qué los exploits de spam no son más   obvio?

Están hechos de esa manera. El hecho de que una página sirva a su navegador con 10 vulnerabilidades diferentes no significa necesariamente que verá varios programas abriéndose como parece suponer. Dependiendo de la calidad de las vulnerabilidades, es posible que no vea nada, o que solo vea por un segundo que algunas aplicaciones se abren y luego desaparecen, o, en el peor de los casos, que su navegador o lector de PDF se bloquee o que aparezca un error (generalmente cuando su aplicación está parcheada).

    
respondido por el john 10.06.2011 - 13:14
fuente
1

Sus premisas / suposiciones son incorrectas. Los atacantes tienen maneras de decir qué versión está usando su víctima, y muchos atacantes usan esta información de la versión para decidir qué ataques intentar. Por ejemplo, esto es común en el mundo web. Una página web malintencionada consultará varias API de navegador para identificar la versión y luego intentará explotar contra esas API. Para muchas de las vulnerabilidades del navegador (descargas automáticas), intentar explotar una API no requiere la interacción del usuario, no abre ninguna ventana nueva y no muestra ningún signo visible para el usuario.

Puede haber algunos atacantes que no se molesten en verificar la información de la versión, pero eso no significa que nadie lo haga.

    
respondido por el D.W. 09.06.2011 - 09:44
fuente

Lea otras preguntas en las etiquetas