Sadece bir web sitesini ziyaret ederek nasıl virüs bulabilirim? [çift]

Olası Çoğalt:
Bir bilgisayara web tarayıcısı aracılığıyla kötü amaçlı yazılım bulaşabilir mi?

Sadece bir web sitesini ziyaret ederek bir virüs bulabileceğiniz yaygın bir bilgidir. Fakat bu nasıl mümkün olabilir?

Bu virüsler Windows, Mac ve Linux kullanıcılarına mı saldırıyor, yoksa Mac / Linux kullanıcıları bağışık mı?

Windows'ta bir .exe indirip çalıştırarak virüs bulaştığımı açıkça biliyorum ama nasıl bir web sitesine erişerek virüs bulabilirim?

Virüsler JavaScript'te programlanmış mı? (Yerel olarak çalışan bir programlama dili olduğu için mantıklı olacaktır.) Öyleyse, hangi JavaScript işlevleri yaygın olarak kullanılır?

Sadece bir web sitesini ziyaret ederek bir virüs bulabileceğiniz yaygın bir bilgidir. Bunun nasıl mümkün olduğunu açıklayan var mı?

Parens örnekleri. Tarayıcıda (IE), javascript yorumlayıcısında veya bir eklentide (flash veya java gibi) bir hata var. Bu hata kod çalıştırmaya yol açar - bu kısım gerçekten karmaşık olabilir, ancak genellikle kullanım sonrası hata ve yığın manipülasyonunu içerir .

Sonra çalışan bazı shellcode var. Kabuk kodu, tarayıcının sahip olduğu korumalardan kaçmalıdır - bir V8 / Chrome hatası için kromun sanal alanından kaçmanız ve DEP ile ASLR'yi yenmeniz gerekir. IE için, DEP ve ASLR'yi yenmeniz ve ardından düşük bütünlük modundan çıkmanız gerekir. Java için ... hiçbir şey yapmamalısın - hepiniz altınsınız. (Bu yüzden bir Java java böceği var.)

Artık makinenizde rastgele bir kod çalıştığım için, siz (yönetici olarak çalışmıyorsunuz, değil mi?), İnternetten bir dosya indirebilir ve çalıştırabilirim, makinenize kötü amaçlı yazılımlar bırakabilirim.

Virüsler JavaScript'te programlanmış mı? (Yerel olarak çalışan bir programlama dili olduğu için mantıklı olacaktır.) Öyleyse, hangi JavaScript işlevleri yaygın olarak kullanılır?

Spesifik olarak - hayır. Javascript, insanların bir tarayıcıda bir hata bulmak için kullanacakları bir saldırı vektörüdür. Ayrıca bir saldırı vektörü olarak Flash, Java veya Silverlight'ı kullanabilirler. Javascript'in durumunda, tarayıcı hatasını tetiklemek için javascript yazıyorlar ve ardından virüs internetten indiriliyor.

Maalesef ve sapkın bir şekilde, bunun olabileceği çok sayıda yol vardır.

Tarayıcı gibi bir "okuma cihazının" kendi sisteminizi aktif bir şekilde manipüle edebileceğinden (ve zarar verebileceğinden) kesinlikle haksızsınız. Bir kitap okumak banka hesabınızı tüketmez ve bir gazete açmak çocuğunuza zarar vermez, neden bir web sitesi açmak tüm bunları ve daha fazlasını yapabilir?

Sorun, internetten gelen ve her zaman en kötü niyetli niyetle yaratıldığını varsaymamız gereken yabancı verilerin olması durumunda, bir şekilde sisteminiz tarafından yürütülmeyi başardığı zaman ortaya çıkar.

Sadece komut satırına ve türüne oturursanız wget http://evil.com/hitme.php, wget HTTP istemcisi yalnızca isteğinizin bir ikili dökümü diskinize yazar ve kötü bir şey olmadı (belki de disk doldurmanız dışında). Ancak adresi tarayıcınıza yazarsanız, tarayıcınız istediğini yapmakta özgürdür - sabit diskinizi biçimlendirin, kredi kartı bilgilerinizi gönderin, vb . Tarayıcınızın bunu yapmamasına güvenmek size kalmıştır . Gerçekten de çoğu tarayıcı bu kötü şeyleri yapmamaya çalışıyor, ama biz koyun kullanıcıları bizden tarayıcılardan daha fazla "akıllı hile" yapabileceklerini ve internetten gelen talimatlara dayanarak otomatik davranış sergilemelerini istediler.. Taleplerimiz, keyfi, yabancı, güvenilmeyen, kötü niyetli kodları indiren ve bunları yürüten , JavaScript ve Flash gibi müşteri tarafı kod yürütme teknolojilerinin oluşturulmasına yol açtı .

Bu teknolojilerle karşılaşan insanların derhal linç edilmemelerinin nedeni, a) tavşanların ekranlarımızda dans etmesini sağlaması ve b) keyfi kötü niyetli kodun manipüle edilmesini önlemek için tasarıma yeterli güvenlik kontrolü koyduğunu iddia ettiler. yerel sistem (örneğin, yerel diskleri okuma / yazma, panoyu okuma / yazma, form alanlarını diğer sekmelerde okuma / yazma izni vermemek).

Ne yazık ki, "ilk önce her şeye izin ver ve sonra da düşünebildiğimiz birkaç kötü noktayı örtbas et" tasarım yaklaşımı temelde kusurludur ve şimdi müşteri tarafında kolaylık özelliklerimizin yapabileceği, hiç bitmeyen bir yeni yöntem akışına giriyoruz. sistemlerimizden ödün vermek için kullanılır.

Orta derecede güvenli olan tek çıkış, tarayıcınızdaki JavaScript ve eklentileri devre dışı bırakmaktır. 1995’te olduğu gibi güvenli.

Bu cevaplarda gerçekten evden kaçmak istediğimden kaçınılması gereken nokta şudur: Bir web sayfasından virüs kapamanın nedeni, çalıştırmakta olduğunuz bazı yazılımların bir hataya sahip olmasıdır - güvenlik açığı .

Yazılım oluşturma sürecinin her aşamasında, Flash yaratıcıları; tarayıcınızın; İşletim sisteminizin rasgele, internetten gelen kötü niyetli kodun kendisini yürütmenin bir yolunu bulamayacağından emin olmaya çalıştım. Ne yazık ki, bunu yapmak zor . Gerçekten zor .

Bu nedenle, tüm insanlar gibi, bu yazılımın geliştiricileri de hata yapmak zorundadır: HTML ayrıştırıcısı, html'yi sonlandırdığınızda yığında bir baytın üzerine yanlışlıkla yazar </p. Yanlışlıkla bir signed intyerine kullandılarunsigned int . Javascript JIT-derleyici yanlışlıkla bir dizi indeksini boş gösterici ile değiştirmeye çalışır. Bu güvenlik açıklarının yanı sıra milyonlarca daha fazlası, yazılımda, güvenlik bilgisi eksikliği veya bir gözetim, hatta basit bir hata nedeniyle her zaman ortaya çıkar. Yazılım basitçe yolu hepsini yakalamak için çok karmaşık.

Bu nedenle, işletim sistemlerinde, bir güvenlik açığı bulunduğunda bile sisteme zarar gelmesini önleyen yerleşik mekanizmalar bulunur. İşletim sisteminizde muhtemelen DEP ve ASLR var . Programlar , derleyici tarafından eklenen çeşitli korumalara sahip olabilir . Tarayıcılar daha düşük seviyelerde çalışıyor. Programlar, bu güvenlik açıklarının çoğunu yakalayabilecek otomatik analiz ve testlerden geçirilir .

Demek istediğim, hiç kimse bunun olmasına izin vermiyor - ama tamamen güvenli bir yazılım tasarlamanın imkansız olduğu gibi tamamen güvenli bir yazılım tasarlamak mümkün değil. Yeterli zamanı, bilgisi, parası ve teşviki olan biri her zaman onu açmanın bir yolunu bulacaktır. Ve bu kasanın sorunu , bazı bilgisayar korsanlarının kopyalarını açtıklarında, dünyadaki diğer kopyaları odadan çıkmadan kolayca açabilmeleridir.

Özel sorularınız

Windows'ta bir .exe indirip çalıştırarak virüs bulaştığımı açıkça biliyorum ama nasıl bir web sitesine erişerek virüs bulabilirim?

Tarayıcınız her zaman kod yürütüyor (koddan yapılmış). Web sayfalarını indirdiğinde, bu kod isteğe bağlı verileri (pikseller, karakterler vb.) İndiriyor ve görüntülüyor.

Kod da veridir (işlemci düzeyinde).

Kod veri olduğundan, tarayıcınız verileri çalıştırmaya çalışırsa (dosya uzantısı veya biçimi ne olursa olsun), gerçekten çalışabilir (doğru hazırlanmışsa).

Normalde tarayıcınız indirdiği rastgele verileri çalıştırmaya çalışmak kadar aptalca olmaz. Ancak, bu olabilir.

Bunu yapmanın bir yolu, verileri okurken "sızdıracak" şekilde oluşturmak ve tarayıcının çalıştırılabilir programını oluşturan verilerin üzerine yazmaktır. Bu, tarayıcının bir hataya sahip olmasını gerektirir (genellikle bu durumda, arabellek taşmasına izin verir ).

Tarayıcınız web sayfalarının üstünde de programlar çalıştırıyor. Javascript, bahsettiğiniz gibi, bu tür bir kod türüdür. Ama onlarca var. ActiveX, Flash, eklentiler, gres maymun komut dosyaları vb. Web sayfalarını ziyaret ederken çalıştırdığınız kodların tümüdür. Bu kod güvenlik pantolonlarına neden olan hataları içerebilir.

Bu virüsler hem Windows, Mac ve Linux kullanıcılarına mı saldırıyor, yoksa Mac / Linux kullanıcıları bağışıklıkta mı?

Kullandığımız hiçbir platform tamamen hatalara karşı bağışıklık kazanmaz, çünkü hepsi verileri kod olarak gören işlemcileri kullanıyor. Bu sadece mevcut bilgisayar mimarimizin çalışma şeklidir.

Bu efsanenin nedeni, Mac ve Linux'un Windows makinelere kıyasla (masaüstü düzeyinde) çok daha düşük benimseme oranlarına sahip olmasıdır. Bu yüzden bu makinelerdeki masaüstü yazılımı virüs üreticileri için ortak bir hedef değildir.

Virüsler sihir veya olayların evrimi sonucu (biyolojik virüslerin yaptığı gibi) oluşmaz. Bireyler veya geliştirici ekipleri tarafından yazılmış bir yazılımdır. Ve düzenli yazılım satıcılarının yaptığı gibi en büyük pazar payını hedeflemek istiyorlar.

Bir virüsün birden fazla platformu hedef alıp alamayacağı konusunda; Tüm tarayıcılar farklı kod çalıştırıyor, bu yüzden farklı hatalar oluşacak (farklı platformlarda aynı tarayıcı bile). Ancak platformlar arasında paylaşılan bazı kod kütüphaneleri var. Böyle bir kütüphane hatayı içeriyorsa, istismarın birden fazla platformda mevcut olması mümkündür.

Fakat yapılan saldırının türü olmayan bir Intel Mac için yazılmış bir virüsün bağlı olabilir Intel Mac üzerinde değil iş ve tersi, farklı işlemciler var çünkü. Farklı işlemciler için, kodu temsil eden veriler farklı bir biçime sahiptir.

Sanal bir makine veya komut dosyası dili hakkında konuşurken, saldırılar platformdan bağımsız olabilir. Bu bizi bir sonraki soruya yönlendirir ...

Virüsler JavaScript'te programlanmış mı?

Bazı virüsler. Yukarıda belirttiğim bilgiler (arabellek taşması istismarları hakkında) genellikle Javascript dışında bir saldırı olarak kullanılır, ancak bir Javascript yorumlayıcısında bir istismara saldırmak için hazırlanmış bir virüse de aynı şekilde iyi şekilde uygulanabilir.

Javascript ayrıca arabellek taşmalarının üstünde bir işletme düzeyinde kendi istismarlara sahip olacaktır. Herhangi bir yazılım parçasına saldırmanın çeşitli yolları vardır. Yazılım ne kadar büyükse (kod satırları), o kadar fazla kullanıcı girişi çeşidi (bu durumda, kod türleri) alması olasıdır ve içerebileceği daha fazla hata vardır.

Ayrıca, çalışan bir yazılım (ör. Sunucu çalıştıran yazılım) ne kadar açık kalırsa, saldırı o kadar savunmasızdır.

Genel olarak, buna Saldırı Yüzeyi denir

Genel olarak sömürür

Microsoft, yaygın istismar türleri için bir anımsatıcıya sahiptir ve hepsinin kendi ilginç özellikleri ve saldırabilecekleri farklı yazılım düzeyleri vardır - STRIDE , bunun anlamı:

Spoofing (of user identity)
Tampering
Repudiation
Information disclosure (privacy breach or Data leak)
Denial of Service (D.o.S.)
Elevation of privilege

Bunlardan bazılarının Javascript temelli bir saldırıda, diğerlerinde sunucularda, bazılarında da veri dosyalarında (görüntüler gibi) kullanılması daha olasıdır.

Ancak güvenlik büyük ve gelişen bir alandır. Tüm sorularınızı tamamen cevaplamak için gerçekten çok fazla bilgi var.

Terim "İndirerek Sür" olarak adlandırılır

Bir web sitesi ziyaret etmekten başka bir şey yapmadan nasıl gerçekleştiğini gösteren güzel bir örnek .

Schneider, şirketin araştırma ekibinin, sayfada kötü amaçlı bir siteye işaret eden bir iframe enjekte eden bir JavaScript parçasını keşfettiğini söyledi. Daha yakından incelendiğinde, tarayıcının tamamen yamalı bir sürümünü çökertme ve kötü niyetli kod çalıştırma yeteneğinin daha önce bilinmeyen (0 gün) bir IE kullanımı olduğunu ortaya koydu. Microsoft kısa bir süre sonra güvenlik açığı ile ilgili ayrıntıları yayınladığı için 0 gün kısa sürdü.

Kabuk kodunun daha ileri bir analizi, bilinen iepeers.dll güvenlik açığı olan MS10-018'den yararlanan M86 deposunda depolanan ve bilinen bir kötü amaçlı sunucuya işaret eden açık bir metin URL'si ortaya çıkardı.

İşin püf noktası, virüs yapımcıları / güvenlik uzmanlarının tarayıcılarda boşluklar bulmasıdır. Basit bir deyişle, tarayıcının güvenliğinde bir delik buluyorlar ve bu deliği sisteminize bir şey yapmak için kullanabiliyorlar. Adobe Flash uygulamasının delikleri olduğu ve belirli kodlarla kullanılabileceği durumlar vardır. Bu güvenlik açıklarını tetikleyebilecek javascript dizeleri de vardır.

Bununla birlikte, tarayıcınızı güncel tutarsanız, sadece bir web sitesini ziyaret ederek bu hastalığa yakalanma olasılığınız çok düşüktür (dosyaları indirin ve yürütmek başka bir hikayedir!).

Bir web sitesini ziyaret ederek sizi etkileyen virüsler gibi ziyaret sistemindeki bir kusurdan yararlanabilirsiniz. Örneğin, bir tarayıcı veya eklentinin programlanmasında bir kusur olabilir, böylece bir görüntünün (yanlışlıkla tarayıcı geliştiricinin bakış açısından) ziyaret eden bilgisayarda keyfi bir komut çalıştırmasına izin verilebilir.

Bu nedenle, sözde her işletim sistemi potansiyel bir kurbandır, ancak virüs yazarları saldırılarını genellikle ölçek ekonomisine dayandırır - ne kadar çok kullanıcı olursa, o kadar iyi. Bu yüzden Windows ve Internet Explorer daha sık hedefleniyor.

Bir tarayıcının veya eklentinin herhangi bir kısmı bir virüs tarafından hedeflenmiş olabilir. Yukarıda belirtilen görüntü bir virüsün sebep olduğu gerçek bir örnekti. Flash ortak bir hedeftir. Tarayıcılarda JavaScript motoru da var. Yanlış gidebilecek birçok farklı şey var.

En iyisi, kaliteli bir virüs tarayıcı çalıştırmak. Eset tarafından NOD32 kullandım . Ayrıca, gerçek olamayacak kadar iyi bir şeyi tıklamayın. Firefox'ta ve AdBlock'ta NoScript kullanın .

Bu virüsler Windows, Mac ve Linux kullanıcılarına mı saldırıyor, yoksa Mac / Linux kullanıcıları bağışık mı?

Bir web sitesi, tarayıcınızın güvenliğini ihlal etmeyi başarırsa, size ait olan herhangi bir şeyi bilgisayardan alabilir. Ancak, ayrıcalıklarını arttırabilir ve idari erişim sağlayabiliyorsa, sistemdeki herhangi bir şeyle çakışabilir.

Unix makinesinde (örneğin Linux, Mac veya BSD) yönetimsel ayrıcalıklara sahip olmanın Windows'a göre daha zor olduğu uzun zamandır görülüyor. Ancak, Microsoft'un (Windows Vista'dan itibaren) güvenlik özellikleri yenilemesi, Windows'u daha önce olduğundan çok daha güvenli hale getirmiş olabilir - veya en azından, inandıklarınız budur.