Εκτύπωση αυτής της σελίδας
Τρίτη, 11 Φεβρουαρίου 2014 12:16

Χακάρισμα του website σας μέσω… εικόνας!

Κατά καιρούς έχουν βρεθεί πολλές μέθοδοι για να εισάγει κάποιος κακόβουλο κώδικα σε ένα website αλλά η συγκεκριμένη τεχνική είναι πρωτόγνωρη ακόμα και για τους ειδικούς.

Ο λόγος γίνεται για μία μέθοδο εισαγωγής κακόβουλου κώδικα μέσω iframe, πολλοί από εσάς θα πουν «και είναι η πρώτη φορά που γίνεται αυτό;» άλλα στην περίπτωση μας είναι η μοναδικότητα του τρόπου που εισάγεται και εκτελείται αυτό το iframe στην ιστοσελίδα μας που το κάνει ασύλληπτο για ακόμη και τους ποιο έμπειρους διαδικτυακούς αναλυτές.

Στις περισσότερες δικτυακές επιθέσεις γίνεται προτίμηση εισαγωγής του κώδικα Iframe σε κάποιο σημείο μέσα στον ισότοπο του θύματος με εισαγωγή απομακρυσμένου κώδικα από άλλη πηγή.

Κώδικας Iframe:

digi-web-iframe-sample

Η νέα μέθοδος εισαγωγής  περιλαμβάνει ένα εκτελέσιμο αρχείο javascript, μια ελαφρώς τροποποιημένη έκδοση του Jquery η οποία φορτώνονταν μέσω iframe. Κάτι το απολύτως φυσιολογικό όπως μπορείτε να δείτε και στην ακόλουθη εικόνα…

digi-web-blog injection1-494x650

Αρχικά δεν φαίνεται κάτι το ύποπτο στον εκτελέσιμο κώδικα, με μία πιο προσεκτική ματιά όμως  βλέπουμε την συνάρτηση loadFile() και η οποία φορτώνει το αρχείο “dron.png”. Όπως είναι λογικό εκλέχτηκε η εικόνα και όπως μπορείτε να δείτε δεν βρέθηκε κάτι περίεργο…

digi-web-Sucuri-iframe

…Μέχρι που εντοπίστηκε ένας περίεργος βρόγχος:

digi-web-Sucuri-PNG-Decoding-Loop

Ο Βρόγχος αυτός αποτελεί μια λούπα αποκωδικοποίησης η οποία τρέχει ουσιαστικά για το αρχείο png. Όταν έγινε έλεγχος για την έξοδο που μας δίνει αυτή η εικόνα μέση της μεταβλητής StrData βρέθηκε ο ακόλουθος αποκωδικοποιημένος κώδικας:

digi-web-sucuri-png-iframe-payload

Όπως μπορεί να δει κάποιος με βασικές γνώσεις προγραμματισμού ο εμφωλευμένος κώδικας στο iframe ουσιαστικά χρησιμοποιεί τις υπάρχουσες προγραμματιστικές δυνατότητες  για να αποκρυπτογραφήσει τα δεδομένα μιας ειδικά διαμορφωμένης εικόνας ώστε να παραχθεί κώδικας ικανός να φορτώσει δεδομένα από μια εξωτερική σελίδα βασισμένη σε άλλο ένα iframe στοιχείο το οποίο μάλιστα δεν θα είναι εμφανές στον χρήστη αφού έχει θέσεις -1000px από την οθόνη του χρήστη.

Ο κώδικας αυτός που παραπέμπει στο domain “bestbinfo.com” είναι μοναδικός με την λογική του ότι κανένα λογισμικό προστασίας δεν πρόκειται να εκτελέσει τον βρόχο αποκρυπτογράφησης της εικόνας και θα αρκεστούν απλά στο να ελέγξουν το περιεχόμενο του εκτελέσιμου αρχείου javascript.

Το γεγονός του ότι αναφερόμαστε σε ένα απλό αρχείο .png δεν σημαίνει πως δεν μπορεί να γίνει αυτή η διαδικασία και με άλλα αρχεία πολυμέσων. Για αυτό το λόγο θα πρέπει να δώσουμε έμφαση στην ασφάλεια του site μας, στο τι μπορεί να εκτελεστεί στον server μας και ποιες αδυναμίες του συστήματος υπάρχουν ώστε να μην μπορέσει κάποιος να της εκμεταλλευτεί.

Πηγή: http://blog.sucuri.net

Διαβάστηκε 6931 φορές Τελευταία τροποποίηση στις Κυριακή, 19 Φεβρουαρίου 2017 16:30