encontrar si se explotó el error de flash de 0 días (en una máquina en particular)

6

Ha habido varios ataques críticos de 0 días en los últimos días / semanas solo en Flash. Nadie sabe cuánto tiempo se han explotado los 0 días, y es razonable esperar que se estén explotando 0 días en este momento, pero no lo sabemos.

La práctica de parchear / actualizar el complemento de flash después de que se haya descubierto el día 0 me parece inadecuada.

¿Cómo podría comprobarse si una máquina en particular ha sido explotada? Los 0 días en flash permiten la ejecución de código arbitrario. AFAICT, el código ejecutado podría ser cualquier cosa

¿Hay alguna forma de descubrir que se utilizó un exploit y que se ejecutó algún código?

    
pregunta Martin Vegter 03.02.2015 - 10:03
fuente

3 respuestas

1

Bueno, la insuficiencia es relativa, en el sentido de que no sabes lo que están haciendo, pero si estás dispuesto a hacer la investigación, puedes averiguarlo, supongo.

Sandbox el navegador usando algo como Sandboxie , que luego le dirá a qué intenta acceder, también puede instalar Wireshark en una máquina y señala todo el tráfico que sale de esa máquina a la máquina con Wireshark en ella, para ver qué paquetes se están enviando y recibiendo.

Además, una consola que te permitirá ver qué llamadas realiza Flash a tu sistema local.

Personalmente, ya no uso Flash y me inscribo en HTML5, pero aún no hay suficientes sitios que lo utilicen por completo.

    
respondido por el Rio Hazuki 03.02.2015 - 11:56
fuente
0

El problema es que una versión de Flash vulnerable es un conducto en su sistema. No habrá manera de ver si su sistema fue comprometido a través de Flash. En el mejor de los casos, podrá ver que tiene algún tipo de infección / corrupción en general, pero no podrá saber cómo ocurrió.

    
respondido por el schroeder 03.02.2015 - 20:43
fuente
0

Si configura la administración de registros y envía registros de eventos como syslogs, como se ve en el siguiente documento, entonces puede monitorear los IoC (o buscar en los eventos).

enlace

Por ejemplo, si Flash se bloquea, las alertas de EMET o su AV describen un problema relacionado particular, entonces es probable que pueda rastrear la vulnerabilidad. La única forma de saberlo con certeza es si un proceso se puede ver en tiempo de ejecución o en memoria (por ejemplo, a través de Volatility Framework), pero los registros de eventos definitivamente proporcionarán al cazador una ruta hacia adelante.

Otra herramienta en este espacio es El Jefe de Immunity Security, pero la mayoría de las demás están cubiertas en el documento SANS que se encuentra arriba.

Otros comentaron sobre el uso de capturas de paquetes desde la red. No creo que este sea un gran enfoque, pero la información de la red puede corroborar la evidencia con las sugerencias que proporcioné aquí.

    
respondido por el atdre 12.06.2015 - 22:25
fuente

Lea otras preguntas en las etiquetas