作者blman (我愛亦潔我愛亦潔)
看板Browsers
標題Re: [新聞] Firefox遭“獨家”惡意軟件攻擊
時間Wed Dec 10 12:11:34 2008
Firefox 上的安全主題我有研究一陣子,上來野人獻曝 :)
現在確定惡意的附加元件(malicious components)可以做到:
1. 繞過安裝提示,直接安裝惡意元件到 firefox 上。
2. 在附加元件列表上,隱藏自身而不顯示出來
從 Trojan.PWS.ChromeInject.A 身上,它只實作了第 1點。
如果它實作了第 2點,那麼使用者很難在介面操作上找到這
個惡意附加元件。
再來,偽裝成其它附加元件的作法也是有分級的:
(低) 冒名其它的附加元件。
(高) 附屬於其它的附加元件。
較低的作法只是"冒名"而無實作其功能,而高級作法則有。
例如 Trojan.PWS.ChromeInject.A 是假冒 Greasemonkey,
但假冒的行為若是沒有實作出 Greasemonkey 的功能,則很
容易被使用者發現而移除。
但事實証明(我也實作過),假冒別的附加元件,除了惡意的
程式外,也是可以實作出原本附加元件的功能,這樣在騙使
用者安裝時,不容易被使用者發現。
因為沒有 Trojan.PWS.ChromeInject.A 樣本,所以我不清楚
它的層級是屬於哪個。
不過,我與 ybite 板友有一點不同的想法,若有錯請指正 :)
這個惡意元件應該不是以 .exe 來散佈,它是以附加元件的
方式,就像大家平常裝附加元件那般。加上 firefox 有繞過
安裝提示的漏洞,這使得可能在瀏覽一個網頁時,就被莫名
的"安裝"。
最後,暫時可以放心的是,這個惡意元件會伴隨著惡意的 DLL
程式散佈,這就比較容易被防毒軟體抓出來。但若是單純利
用 javascript 來做,這就很難防了。
雖然有很多人認為 javascript 能做的事情有限,但我在今
年台灣駭客年會實作出來的手法都只是用 javascript 做的
,不用 DLL 的方式是想要避開防毒軟體的偵測。
目前我實作出來的惡意 firefox 附加元件的功能有:
1. 釣魚網頁
2. 內部網路入侵
3. 追蹤瀏覽紀錄
4. 竊取 cookies (我用竊取 Gmail 為範例)
5. 自動化 CSRF 攻擊 (有可能做到自動銀行轉帳)
6. 讀取使用者電腦的檔案 (密碼檔/照片檔...)
7. 竊取使用者輸入的任何帳號/密碼/信用卡卡號
8. 遠端控制 (可令使用者自己下載木馬,瀏覽惡意網站)
當然,事實証明,市面上沒有一套防毒軟體抓得出來我的展
示樣本。
以上只是想要告知 firefox 使用者,
"Firefox 不一定安全"
最後,其實是可以寫個元件,專門來檢查目前安裝的元件是
否安全,但是我沒有時間,有興趣往這方面研究的人可以試
試看。 :)
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 140.109.22.10
推 examsystem:>有可能做到自動銀行轉帳 HOLY CRAP... 12/10 14:54
推 grantchiue:是b大@O@" 12/10 15:51
推 EqualMan:請問你做的惡意程式能 不被 no script擋下來嗎? 12/10 15:52
→ blman:回EqualMan: NoScript 沒用,惡意程式依然我行我素 12/10 18:05
→ emethxyz:也太可怕了 囧 12/10 18:09
推 grantchiue:有沒有比較安全的方法呢?還是說為一方法就是希望妳看 12/10 19:13
→ grantchiue:的網頁是安全的 囧? 12/10 19:13
推 Dynason:雖然你沒時間做 但可以把你的想法讓fx開發團隊知道 應該有 12/11 09:18
→ Dynason:對安全方面的幫助 12/11 09:18
推 ateclean:換Opera XDDD 12/11 14:19
推 doom3:開源+可客製套件+樹大招風.....XD 12/12 07:37