WhiteHat News #ID:86
WhiteHat Support
-
04/06/2014
-
4
-
33 bài viết
HTML5 có thể được sử dụng để che giấu phần mềm độc hại
Một số tính năng mới của HTML5 có thể được sử dụng trong các cuộc tấn công dựa trên nền web tương tự drive-by-download, nhằm mục đích tránh bị phát hiện bởi các giải pháp an ninh.
Dạng tấn công Drive-by-download thường được thực hiện thông qua các website đã bị đột nhập hoặc website độc hại, được xây dựng nhằm “thả” mã độc vào máy nạn nhân thông qua các lỗ hổng an ninh chưa được vá. Các lỗ hổng này có thể là lỗ hổng trình duyệt, hoặc cũng có thể là lỗ hổng tồn tại trên các trình cắm của trình duyệt như Adobe Reader, Flash Player, Java lẫn Microsoft Silverlight. Trong hầu hết các cuộc tấn công ngày nay, kẻ xấu thường sử dụng bộ kit khai thác để khai thác theo gói một số lỗ hổng trên một website.
Việc các hacker cố tìm cách để che giấu mã khai thác không phải là mới mẻ, nhưng hầu hết các giải pháp an ninh hiện nay đều có khả năng phát hiện ra những nguy cơ này. Tuy nhiên, theo các nhà nghiên cứu, hacker có thể sử dụng một số tính năng của HTML5 để ẩn hành vi khai thác trong tấn công drive-by-download nhằm tránh hệ thống phát hiện xâm nhập.
Phiên bản chính thức của HTML5 được phát hành vào năm 2014 bao gồm nhiều đoạn mã API có thể được sử dụng cùng với JavaScript. Nhiều chuyên gia cho biết một vài mã API có thể được sử dụng để phát tán và thu thập các lỗ hổng trên trình duyệt mà không bị phát hiện.
Kĩ thuật đầu tiên liên quan đến việc thực hiện các lệnh của mã độc trong các hàm API. Kĩ thuật thứ hai dựa trên việc phân phối các đoạn mã được chuẩn bị vào các tiến trình trên hệ thống, bao gồm các tiến trình được thực hiện song song lẫn độc lập với nhau. Phương pháp cuối cùng là kích hoạt các đoạn mã thực thi dựa trên hoạt động của người dùng trên các trang web độc hoặc trang mạng đã được thiết lập sẵn.
Các nhà nghiên cứu đã thử thực hiện lại việc khai thác 4 lỗ hổng cũ trên các trình duyệt Internet Explorer và Firefox và kiểm tra tỉ lệ phát hiện mã độc của các giải pháp an ninh bằng Virustotal và Wepawet.
Các cuộc thử nghiệm được thực hiện vào khoảng thời gian từ tháng 3 đến tháng 4 năm 2013. Nhưng cho đến nay sau 2 năm, các nhà nghiên cứu thực hiện lại thí nghiệm của mình vào tháng 7 năm 2015 thì tỉ lệ phát hiện của Virustotal vẫn duy trì ở mức thấp.
Theo: SecurityWeek
Dạng tấn công Drive-by-download thường được thực hiện thông qua các website đã bị đột nhập hoặc website độc hại, được xây dựng nhằm “thả” mã độc vào máy nạn nhân thông qua các lỗ hổng an ninh chưa được vá. Các lỗ hổng này có thể là lỗ hổng trình duyệt, hoặc cũng có thể là lỗ hổng tồn tại trên các trình cắm của trình duyệt như Adobe Reader, Flash Player, Java lẫn Microsoft Silverlight. Trong hầu hết các cuộc tấn công ngày nay, kẻ xấu thường sử dụng bộ kit khai thác để khai thác theo gói một số lỗ hổng trên một website.
Phiên bản chính thức của HTML5 được phát hành vào năm 2014 bao gồm nhiều đoạn mã API có thể được sử dụng cùng với JavaScript. Nhiều chuyên gia cho biết một vài mã API có thể được sử dụng để phát tán và thu thập các lỗ hổng trên trình duyệt mà không bị phát hiện.
Kĩ thuật đầu tiên liên quan đến việc thực hiện các lệnh của mã độc trong các hàm API. Kĩ thuật thứ hai dựa trên việc phân phối các đoạn mã được chuẩn bị vào các tiến trình trên hệ thống, bao gồm các tiến trình được thực hiện song song lẫn độc lập với nhau. Phương pháp cuối cùng là kích hoạt các đoạn mã thực thi dựa trên hoạt động của người dùng trên các trang web độc hoặc trang mạng đã được thiết lập sẵn.
Các nhà nghiên cứu đã thử thực hiện lại việc khai thác 4 lỗ hổng cũ trên các trình duyệt Internet Explorer và Firefox và kiểm tra tỉ lệ phát hiện mã độc của các giải pháp an ninh bằng Virustotal và Wepawet.
Các cuộc thử nghiệm được thực hiện vào khoảng thời gian từ tháng 3 đến tháng 4 năm 2013. Nhưng cho đến nay sau 2 năm, các nhà nghiên cứu thực hiện lại thí nghiệm của mình vào tháng 7 năm 2015 thì tỉ lệ phát hiện của Virustotal vẫn duy trì ở mức thấp.
Theo: SecurityWeek