(轉貼)The Register:神秘Web攻擊綁架剪貼簿!

顯示結果從第 1 筆 到 4 筆,共計 4 筆
  1. #1
    會員
    註冊日期
    2008-08-15
    所在地區
    ADSL 10M/2M
    討論區文章
    6

    (轉貼)The Register:神秘Web攻擊綁架剪貼簿!

    轉貼自:http://armorize-cht.blogspot.com/200...gisterweb.html

    本來要睡午覺了,看到 The Register 八月十五號這篇,突然好奇起來:

    The Register: Mystery web attack hijacks your clipboard(神秘 Web 攻擊綁架剪貼簿)

    要讓我一腳已經踏到床上又起來,當然要有很好的原因。這篇引起我興趣的原因有:

    一、歐洲最大 IT 媒體之一的 The Register 報的
    二、「神秘」這兩個字--最近資安界已經很久沒有「神秘」的攻擊了...
    三、「Web 攻擊」--我對 Web 安全的議題特別有興趣,而 The Register 也還蠻專業的,沒有寫成「Web 病毒」。沒錯,Web 上的威脅大部分不是病毒,所以用攻擊(attack)來形容通常比較貼切,所以似乎記者還算專業。

    好,爬起來看看寫些什麼。小標題:「No, MACs are not immune(抱歉,MAC 並不免疫)」。

    OK,文章基本上在講,最近有一種 Web 上的攻擊,綁架使用者的剪貼簿,不論你貼上什麼東西,等到貼出來,都會變成一個惡意的連結。報導中:

    一、列舉了一堆受害者上網的留言(這裡 這裡 這裡 這裡

    二、報導說這些受害的使用者有用 Windows 系統的也有用 MAC OS X 系統的,雖然以上四篇都是用 Firefox,但是不排除其他瀏覽器也可能受攻擊。

    三、報導建議使用 Firefox 的 noscript 外掛

    OK,福爾韋恩小偵探出現了...根據上述證據,福爾韋恩的推論:

    一、記者厲害,沒寫成病毒,而寫成 Web 攻擊。可能因為他引述的那四篇求救文,有人是跑 MAC OS 2 而有人跑 Windows,所以他從中知道,大概不是病毒,而是一種對瀏覽器的攻擊。

    二、報導說惡意的網址是 xp-vista-update.net(點下去自行負責,我剛才用 HackAlert 掃過沒有問題,但是現在沒有問題不代表你點的時候沒有問題,這種惡意網頁隨時在改內容)。做一下 whois,這個網域電話是南斯拉夫的、DNS 是惡名昭彰的 estboxes.com、IP 為 83.229.251.28 是俄羅斯的 IP。福爾韋恩:有目的、組織性攻擊之可能提升!

    三、福爾韋恩依稀記得,IE 才是笨到會讓 javascript 存取剪貼簿的瀏覽器(CVE-2002-1671),而且 2002 年被報有問題,到 2006 年底出IE 7 才把問題修掉。可是記者說受害者都是用 Firefox... 聰明的 Firefox 預設是不讓 javascript 存取剪貼簿的... 所以兇手...一定是最近 PDPRSnake都一直在講的--Adobe Flash!其實福爾韋恩也依稀記得,Flash 可以存取剪貼簿...

    四、報導說受害者是在瀏覽 MSNBC.COM 時被攻擊綁架剪貼簿的。福爾韋恩:很有可能是駭客組織向 MSNBC.COM 買了廣告 banner,並在廣告中利用 Flash 來達成攻擊。以 MSNBC.COM 的流量,影響人數應該不少。

    是否真的是這樣呢?

    再確定技術細節以前,我們先來看看,這種攻擊的效果是什麼?如果只是單純能寫入剪貼簿,這樣的一個網頁(或廣告頁)能造成什麼威脅?因為其時還有第五點:

    五、即使這種攻擊可以做到,還真的有人受害出來求救,表示技術面如何達到先不管,但這種攻擊確實有其威脅性。但是如果只是寫入剪貼簿,那威脅性在哪?

    Google 了一下,發現威脅自七月中開始,並蠻多人抱怨的:

    七月12日,有人被攻擊,無法解除狀況,貼文出來,並用趨勢掃瞄未發現病毒。

    八月08日,有人貼文對美國大選發表意見,卻遭攻擊,直接把惡意連結貼出來。該使用者「Old Owl333」在貼文的時候一定是先 CTRL-C 複製然後再 CTRL-V 貼出,沒想到剪貼簿遭綁架,貼出了惡意的連結:



    八月07日,有人快瘋了,剪貼簿一直被植入惡意連結

    惡意連結到底連到哪裡?做什麼?

    八月10日,Kayrac做了分析:



    惡意連結「http://xp-vista-update.net/?id=xx」根據...體「Internet Scanner 2009」或「AV 2009」。根據 八月10日,Kayrac 貼的文,把此程式放到 virustotal 測試,沒有幾家會偵測出它是偽的。

    其實如果 Google 「xp-vista-update」,可以發覺中獎而跑出來貼文的還真不少。但是這邊就顯示了 The Register 記者的功力:大部分受害者貼文,都用了「病毒(virus)」一辭來形容此攻擊,但是記者卻正確的用了 「Web 攻擊」來形容。

    調查到此,福爾韋恩已經確定,此為有組織性,有目的性之 Web 攻擊行為,其攻擊手法的確會造成威脅,並確實可以達到攻擊者的目的。

    好了,現在來調查技術上到底如何達成的。我先寫一段可以寫剪貼簿,但是只在 IE 中有效的 javascript。為了此 javascript 顯示出來好看,我用 syntaxhighligher來顯示。syntaxhighlighter是很流行的一套 javascript,可以顯示很漂亮的程式碼。以下是一段在 IE 執行時可以寫入剪貼簿的 javascript:



    執行起來如以下,如果您正在用 IE 可以按下按鈕看看,然後再找地方 CTRL-V 貼上,就會發現剪貼簿被改了。但是如果是 IE 7 以上,會發現 IE 會問你是否允許存取剪貼簿。



    既然 IE 7 已經修正此安全性漏洞,firefox 上則預設不允許,除非你修改設定,不然連問都不會問,反正就是不行... 那麼,唯一的兇手就是... flash 了。

    其實上方用來顯示漂亮程式碼的 syntaxhighligher,早就透露了破案線索了。仔細觀察,程式碼視窗上面有一個灰色的小字:「copy to clipboard」。試試看按下去,你會發現程式碼已經貼到您的剪貼簿了,但是 IE 沒有問你是否允許,firefox 也直接 work... :)

    為何?都是 Adobe flash 的漏洞... 但是這種東西比漏洞嚴重,漏洞會被修改,這種算是「功能」,短期內不太可能改。為何?因為一旦功能公開,就會有很多人使用,一旦大家用了一個功能,要將此功能取消,就很不容易了。如果您 Google 「_clipboard.swf」或「clipboard.swf」或「flash copier」就會發現有多少程式都用了這個偉大的功能了。

    這個手法主要是利用Flash ActionScript:System.setClipboard這個含式來寫入剪貼簿。

    程式碼分兩部分,一部分是一小段 Flash ActionScript,編譯成一個 flash SWF 檔(這裡可以下載),另一部分則是一小段 javascript。

    Flash action script 的程式碼如下(這裡可以下載編譯好的 SWF 檔):



    Javascript 程式碼則如下:



    好了,現在您是否想被「駭」一下呢?以下是我猜測這次攻擊的程式碼:



    跑起來就像下面這樣,按下按鈕就綁架你的剪貼簿:



    原來元兇就是 Adobe Flash 啊!您猜到了嗎?

    於是福爾韋恩調查成功,回去寫報告曰:
    一、此次 The Register 報導之「神秘 Web 攻擊綁架剪貼簿」事件,元兇再次為 Adobe Flash。

    二、此為 Flash 存在已久之功能,許多網站皆運用此功能,故短期內 Adobe 不容易取消此功能,威脅將持續一段時間。

    三、了解此類攻擊甚為重要,此類即今年與去年各大資安會議,Jeremiah、PDPRSnake 三位研究員一直在提的 client-side 攻擊。由於這些攻擊大部分利用第三方外掛之漏洞甚至「功能」,問題短時間不易改善。試想如果攻擊 IE 漏洞,則攻擊對 firefox 就無效;然針對各瀏覽器皆有普遍安裝之第三方外掛,如 Adobe Flash、PDF 等攻擊,則可以跨瀏覽器。本事件便是一例。

    四、此類為 Web 攻擊,其中 Javascript 又可以經過各種方式加殼與變形,防毒軟體幾乎沒有可能偵測到。

    五、從兩方面觀察:A) 散播 Web 攻擊之伺服器所屬地區 以及 B) 諸多使用者確實被攻擊之案例,此為有組織性,有目的性之 Web 攻擊行為,其攻擊手法的確會造成威脅,並確實可以達到攻擊者的目的。

    六、防禦的方法:可以選擇使用 firefox 外掛 noscriptFlashBlock

    看了上述事實陳列,您認為福爾韋恩這次的調查分析正確嗎?

    ;-)

    轉貼自:http://armorize-cht.blogspot.com/200...gisterweb.html



  2. #2
    FYI
    FYI 目前未上線
    會員
    註冊日期
    2001-06-22
    討論區文章
    7,295
    引用 作者:deephoe 瀏覽文章
    六、防禦的方法:可以選擇使用 firefox 外掛 noscriptFlashBlock
    小弟漏看了這一段, 結果也是根據關鍵字 "Flash", 於Firefox Add-ons 找到了 "FlashBlock"

    這真是一個重要的警訊, 小弟不熟悉網頁語法, 但無意中發現以下網頁 (事實上是因為小弟後悔允許 ".ru" 網頁啟用JavaScript, 事後補救才又裝了FlashBlock):
    如點選 "Edit this page!", 網頁設計者利用 "<iframe>" 把JavaScript 隱藏於 "fckeditor.html" 之中 (FCKeditor - The text editor for Internet), 而且巧秒利用 "<table>" 加以掩飾, 讓NoScript 用戶不易察覺JavaScript 的存在, 同理或許也可以把Flash 藏起來, 不讓網友發現, 進而誤觸陷阱, 只安裝NoScript 者不可不慎

    不過話說回來, 小弟以 "SAFER" 也無法阻止剪貼簿被綁架, 所以很可能綁架剪貼簿並不需要管理員權限, 這能算是Windows 的漏洞嗎?

    或許是小弟多慮了, 但您不妨看看FCKeditor 所用的技巧, 也許只要稍微變化一下, 就可以被駭客所利用

  3. #3

  4. #4

類似的主題

  1. 【笑話】【軟體】轟死黑NET 0.9 -簡易WEB的doc攻擊程式
    作者:sfilc 所在討論版:---- ADSL 抱 怨 與 鼓 勵
    回覆: 0
    最後發表: 2005-10-18, 11:01 AM
  2. 【教學】技術剪貼簿---網線製作
    作者:wins 所在討論版:-- 無 線 網 路 版
    回覆: 1
    最後發表: 2005-08-31, 09:44 PM
  3. 【求助 winxp 的剪貼簿在那裡?
    作者:kc092755 所在討論版:-- Windows 討 論 版
    回覆: 2
    最後發表: 2004-06-06, 11:45 PM
  4. 【求助】找不到xp的"剪貼簿"
    作者:kaku541000 所在討論版:-- Windows 討 論 版
    回覆: 5
    最後發表: 2002-06-30, 12:49 AM
  5. 【問題】xp有沒有剪貼簿啊??
    作者:kuan1999 所在討論版:-- Windows 討 論 版
    回覆: 2
    最後發表: 2002-04-28, 08:58 AM

 

此網頁沒有從搜尋引擎而來的訪客

發表文章規則

  • 不可以發表新主題
  • 不可以回覆文章
  • 不可以上傳附加檔案
  • 不可以編輯自己的文章
  •