Porady dla firmy

    Kolejna metoda ataku z fałszywą witryną

    Jeden komentarzPrzeczytasz w 2 minuty

    Z reguły w przypadkach ataków na strony internetowe, które objawiają się pojawianiem się dodatkowych treści mamy do czynienia z skryptem, który dodaje dodatkową treść albo podejrzewamy arp spoof, który podstawia nam w całości fałszywą witrynę. Technicy laboratorium AVG wykryli kolejną metodę ataku. Malware, które wykorzystuje zupełnie odmienny sposób na dodanie fałszywej treści do witryny.

    Domyślny widok google.com i tuż po użyciu malware różni się od siebie.

    Wygląda zupełnie jak ramka wstawiona w kod witryny google.com. Analizując źródło strony nie ma w kodzie nic niezwykłego więc to na pewno nie frame injection. Wiemy też na pewno, że Google nie zostały zhakowane i nie ma ARP spoofa w naszej testowej sieci.

    Skąd więc owa ramka się wzięła? Po dogłębnej analizie wykryto, że wykorzystywany jest obiekt  ‘InternetExplorer’.  Czym jest zatem obiekt InternetExplorer? Jest to funkcja wstawienia instancji Internet Explorera w kod dowolnej aplikacji napisanej w Visual Basic.

    Jak wspomniałem malware powstało w VB, tu macie przykład jak taki obiekt w VB wstawić:

    Dim IE As SHDocVw.InternetExplorer

    Set IE = CreateObject(„InternetExplorer.Application”)

    Malware sprawdza wszystkie uruchomione procesy iexplore.exe i odczytuje wartość opcji ‘FullName’. Jeśli jest ‘IExplorer.exe’ malware próbuje wstawić się przed wywołanie funkcji ‘BeforeNavigate’, ’OnVisible’ lub podobnych więc jeśli IE wykona przejętą funkcję to uruchomiony zostanie kod malware.

    Modyfikacja przejmowanej funkcji dotyczy sprawdzenia URL docelowego i wstawienia fałszywego. Po pierwsze sprawdzane jest czy URL jest adresem fałszywym czyli kod został już wykonany czy nowy proces ma jeszcze zamiast URL ustawiony ‘About:Blank’. Po drugie sprawdzany jest status funkcji ‘ReadyState’ żeby zweryfikować czy strona została już w całości załadowana. Po trzecie następuje przejęcie obiektu DOM  (Document Object Model) i wstawienie kodu iframe . Z racji tego, że kod iframe jest wstawiany przez obiekt DOM, to nie widać kodu iframe w źródle witryny. W testowanym przypadku docelowy URL, do którego prowadził wstawiony jako DOM kod jest już zablokowany i niedostępny dlatego wstawiony na screenie wyżej iframe zwrócił ‘Page not found’.

    Sprawdzenie URL:

    Sprawdzenie stanu ReadyState:

    Kod wstawianego obiektu DOM:

    Póki co detekcja tego typu infekcji przez antywirusy jest niska. AVG wykrywa tego typu infekcję jako Trojan VB.AMTX

    ___

    Artykuł powstał dzięki CORE – polskiemu dystrybutorowi antywirusów AVAST i AVG. Sprawdź dobry antywirus AVG Internet Security. Idealny jeżeli potrzebujesz profesjonalnej ochrony domowego komputera.
    antywirus avg logo

     

    Oceń artykuł
    [Głosów: 0 Średnia: 0]

    Podobał Ci się ten artykuł?

    Zapisz się na listę i nie przegap nowych ciekawostek, porad i konkursów!

    Prowadzisz małą lub średnią firmę?

    Pobierz Darmowy Ebook - Bezpieczna firma z AVG, który pomoże Ci zwiększyć bezpieczeństwo biznesu, zaoszczędzić czas oraz pieniądze.

    Znajdziesz w nim ponad 30 konkretnych artykułów, dzięki którym dowiesz jak się jak szybko i łatwo, za pomocą darmowych narzędzi zadbać o takie rzeczy jak: polityka bezpiecznych haseł, backup cennych danych, blokowanie portów USB, korzystanie z pulpitu zdalnego, awaryjne odzyskiwanie danych... i wiele, wiele więcej!

    Pobierz e-book teraz!

    Udostępnij.

    Specjalista pomocy technicznej AVG, IT Wizard, zapalony gracz, fan komiksu, literatury fantasy i muzyki metalowej.

    Subscribe
    Powiadom o
    guest
    1 Komentarz
    najstarszy
    najnowszy oceniany
    Inline Feedbacks
    View all comments
    trackback
    » * Malware podmieniający stronę -- Niebezpiecznik.pl --
    12 lat temu

    […] Chłopaki z AVG opisują malware, który modyfikuje zawartość strony internetowej. […]

    0
    Odpowiedz