(轉貼)The Register:神秘Web攻擊綁架剪貼簿!
轉貼自:[url]http://armorize-cht.blogspot.com/2008/08/registerweb.html[/url]
本來要睡午覺了,看到 The Register 八月十五號這篇,突然好奇起來:
[url=http://www.theregister.co.uk/]The Register[/url]: [url=http://www.theregister.co.uk/2008/08/15/webbased_clipboard_hijacking/]Mystery web attack hijacks your clipboard(神秘 Web 攻擊綁架剪貼簿)[/url]
要讓我一腳已經踏到床上又起來,當然要有很好的原因。這篇引起我興趣的原因有:
一、歐洲最大 IT 媒體之一的 [url=http://www.theregister.co.uk/]The Register[/url] 報的
二、「神秘」這兩個字--最近資安界已經很久沒有「神秘」的攻擊了...
三、「Web 攻擊」--我對 Web 安全的議題特別有興趣,而 The Register 也還蠻專業的,沒有寫成「Web 病毒」。沒錯,Web 上的威脅大部分不是病毒,所以用攻擊(attack)來形容通常比較貼切,所以似乎記者還算專業。
好,爬起來看看寫些什麼。小標題:「No, MACs are not immune(抱歉,MAC 並不免疫)」。
OK,文章基本上在講,最近有一種 Web 上的攻擊,綁架使用者的剪貼簿,不論你貼上什麼東西,等到貼出來,都會變成一個惡意的連結。報導中:
一、列舉了一堆受害者上網的留言([url=http://forums.techguy.org/malware-removal-hijackthis-logs/729773-weird-copy-paste-virus.html]這裡[/url] [url=http://discussions.apple.com/thread.jspa?messageID=7768848]這裡[/url] [url=http://www.thornsoft.com/phpBB2/viewtopic.php?t=3567]這裡[/url] [url=http://forums.devnetwork.net/viewtopic.php?f=6&t=86448&p=477521]這裡[/url])
二、報導說這些受害的使用者有用 Windows 系統的也有用 MAC OS X 系統的,雖然以上四篇都是用 Firefox,但是不排除其他瀏覽器也可能受攻擊。
三、報導建議使用 Firefox 的 [url=http://noscript.net/]noscript 外掛[/url]。
OK,福爾韋恩小偵探出現了...根據上述證據,福爾韋恩的推論:
一、記者厲害,沒寫成病毒,而寫成 Web 攻擊。可能因為他引述的那四篇求救文,有人是跑 MAC OS 2 而有人跑 Windows,所以他從中知道,大概不是病毒,而是一種對瀏覽器的攻擊。
二、報導說惡意的網址是 xp-vista-update.net(點下去自行負責,我剛才用 [url=http://hackalert.armorize.com/]HackAlert[/url] 掃過沒有問題,但是現在沒有問題不代表你點的時候沒有問題,這種惡意網頁隨時在改內容)。做一下 whois,這個網域電話是南斯拉夫的、DNS 是惡名昭彰的 estboxes.com、IP 為 83.229.251.28 是俄羅斯的 IP。福爾韋恩:有目的、組織性攻擊之可能提升!
三、福爾韋恩依稀記得,IE 才是笨到會讓 javascript 存取剪貼簿的瀏覽器([url=http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2002-1671]CVE-2002-1671[/url]),而且 2002 年被報有問題,到 2006 年底出IE 7 才把問題修掉。可是記者說受害者都是用 Firefox... 聰明的 Firefox [url=http://kb.mozillazine.org/Granting_JavaScript_access_to_the_clipboard]預設是不讓 javascript 存取剪貼簿的[/url]... 所以兇手...一定是最近 [url=http://armorize-cht.blogspot.com/2008/08/black-hat-2008.html#PDP]PDP[/url]與 [url=http://armorize-cht.blogspot.com/2008/08/black-hat-2008.html#RSNAKE]RSnake[/url]都一直在講的--Adobe Flash!其實福爾韋恩也依稀記得,[url=http://livedocs.adobe.com/flash/8/main/wwhelp/wwhimpl/common/html/wwhelp.htm?context=LiveDocs_Parts&file=00002727.html]Flash 可以存取剪貼簿[/url]...
四、報導說受害者是在瀏覽 [url=http://msnbc.com/]MSNBC.COM[/url] 時被攻擊綁架剪貼簿的。福爾韋恩:很有可能是駭客組織向 [url=http://msnbc.com/]MSNBC.COM[/url] 買了廣告 banner,並在廣告中利用 Flash 來達成攻擊。以 [url=http://msnbc.com/]MSNBC.COM[/url] 的流量,影響人數應該不少。
是否真的是這樣呢?
再確定技術細節以前,我們先來看看,這種攻擊的效果是什麼?如果只是單純能寫入剪貼簿,這樣的一個網頁(或廣告頁)能造成什麼威脅?因為其時還有第五點:
五、即使這種攻擊可以做到,還真的有人受害出來求救,表示技術面如何達到先不管,但這種攻擊確實有其威脅性。但是如果只是寫入剪貼簿,那威脅性在哪?
Google 了一下,發現威脅自七月中開始,並蠻多人抱怨的:
七月12日,[url=http://forums.techguy.org/malware-removal-hijackthis-logs/729773-weird-copy-paste-virus.html]有人被攻擊,無法解除狀況,貼文出來[/url],並用趨勢掃瞄未發現病毒。
八月08日,[url=http://boards.msn.com/MSNBCboards/thread.aspx?threadid=708752&boardsparam=Page%3D983]有人貼文對美國大選發表意見,卻遭攻擊,直接把惡意連結貼出來[/url]。該使用者「Old Owl333」在貼文的時候一定是先 CTRL-C 複製然後再 CTRL-V 貼出,沒想到剪貼簿遭綁架,貼出了惡意的連結:
[url=http://openwaves.net/images/chinese_blog/clipboard_hijack_1.png][img]http://openwaves.net/images/chinese_blog/clipboard_hijack_1.png[/img][/url]
八月07日,[url=http://forums.devnetwork.net/viewtopic.php?f=6&t=86448&p=477521]有人快瘋了,剪貼簿一直被植入惡意連結[/url]。
惡意連結到底連到哪裡?做什麼?
八月10日,[url=http://www.dslreports.com/profile/485678]Kayrac[/url]做了分析:
[url=http://openwaves.net/images/chinese_blog/clipboard_hijack_2.png][img]http://openwaves.net/images/chinese_blog/clipboard_hijack_2.png[/img][/url]
惡意連結「[url]http://xp-vista-update.net/?id=xx」根據後面參數「id=xx」之不同,轉址到不同的網站,但是大部分都是到某網站騙使用者下載一個偽掃毒軟體「Internet[/url] Scanner 2009」或「AV 2009」。根據 八月10日,[url=http://www.dslreports.com/profile/485678]Kayrac[/url] 貼的文,[url=http://www.virustotal.com/analisis/48bb1c19196fc5712c5f187457e443d0]把此程式放到 virustotal 測試[/url],沒有幾家會偵測出它是偽的。
其實如果 Google 「xp-vista-update」,可以發覺中獎而跑出來貼文的還真不少。但是這邊就顯示了 [url=http://www.theregister.co.uk/]The Register[/url] 記者的功力:大部分受害者貼文,都用了「病毒(virus)」一辭來形容此攻擊,但是記者卻正確的用了 「Web 攻擊」來形容。
調查到此,福爾韋恩已經確定,此為有組織性,有目的性之 Web 攻擊行為,其攻擊手法的確會造成威脅,並確實可以達到攻擊者的目的。
好了,現在來調查技術上到底如何達成的。我先寫一段可以寫剪貼簿,但是只在 IE 中有效的 javascript。為了此 javascript 顯示出來好看,我用 [url=http://code.google.com/p/syntaxhighlighter/]syntaxhighligher[/url]來顯示。[url=http://code.google.com/p/syntaxhighlighter/]syntaxhighlighter[/url]是很流行的一套 javascript,可以顯示很漂亮的程式碼。以下是一段在 IE 執行時可以寫入剪貼簿的 javascript:
[url=http://www.openwaves.net/armorize_blog/clipboardhijack/IE_clipboard.html][img]http://openwaves.net/images//chinese_blog/IE_Clipboard.png[/img][/url]
執行起來如以下,如果您正在用 IE 可以按下按鈕看看,然後再找地方 CTRL-V 貼上,就會發現剪貼簿被改了。但是如果是 IE 7 以上,會發現 IE 會問你是否允許存取剪貼簿。
[url=http://www.openwaves.net/armorize_blog/clipboardhijack/IE_clipboard2.html][img]http://openwaves.net/images/chinese_blog/Copy_Clipboard.png[/img][/url]
既然 IE 7 已經修正此安全性漏洞,firefox 上則預設不允許,除非你修改設定,不然連問都不會問,反正就是不行... 那麼,唯一的兇手就是... flash 了。
其實上方用來顯示漂亮程式碼的 [url=http://code.google.com/p/syntaxhighlighter/]syntaxhighligher[/url],早就透露了破案線索了。仔細觀察,程式碼視窗上面有一個灰色的小字:「copy to clipboard」。試試看按下去,你會發現程式碼已經貼到您的剪貼簿了,但是 IE 沒有問你是否允許,firefox 也直接 work... :)
為何?都是 Adobe flash 的漏洞... 但是這種東西比漏洞嚴重,漏洞會被修改,這種算是「功能」,短期內不太可能改。為何?因為一旦功能公開,就會有很多人使用,一旦大家用了一個功能,要將此功能取消,就很不容易了。如果您 Google 「_clipboard.swf」或「clipboard.swf」或「flash copier」就會發現有多少程式都用了這個偉大的功能了。
這個手法主要是利用[url=http://livedocs.adobe.com/flash/8/main/wwhelp/wwhimpl/common/html/wwhelp.htm?context=LiveDocs_Parts&file=00002727.html]Flash ActionScript:System.setClipboard[/url]這個含式來寫入剪貼簿。
程式碼分兩部分,一部分是一小段 Flash ActionScript,編譯成一個 flash SWF 檔([url=http://www.openwaves.net/armorize_blog/dp.SyntaxHighlighter/Scripts.clipboard.swf]這裡可以下載[/url]),另一部分則是一小段 javascript。
Flash action script 的程式碼如下([url=http://www.openwaves.net/armorize_blog/dp.SyntaxHighlighter/Scripts.clipboard.swf]這裡可以下載編譯好的 SWF 檔[/url]):
[url=http://www.openwaves.net/armorize_blog/clipboardhijack/IE_clipboard3.html][img]http://openwaves.net/images/chinese_blog/IE_clipboard3.png[/img][/url]
Javascript 程式碼則如下:
[url=http://www.openwaves.net/armorize_blog/clipboardhijack/IE_clipboard4.html][img]http://openwaves.net/images/chinese_blog/IE_clipboard4.png[/img][/url]
好了,現在您是否想被「駭」一下呢?以下是我猜測這次攻擊的程式碼:
[url=http://www.openwaves.net/armorize_blog/clipboardhijack/IE_clipboard5.html][img]http://openwaves.net/images/chinese_blog/IE_clipboard5.png[/img][/url]
跑起來就像下面這樣,按下按鈕就綁架你的剪貼簿:
[url=http://www.openwaves.net/armorize_blog/clipboardhijack/IE_clipboard6.html][img]http://openwaves.net/images/chinese_blog/Hijack_Clipboard.png[/img][/url]
原來元兇就是 Adobe Flash 啊!您猜到了嗎?
於是福爾韋恩調查成功,回去寫報告曰:
一、此次 [url=http://www.theregister.co.uk/]The Register[/url] 報導之「[url=http://www.theregister.co.uk/2008/08/15/webbased_clipboard_hijacking/]神秘 Web 攻擊綁架剪貼簿[/url]」事件,元兇再次為 Adobe Flash。
二、此為 Flash 存在已久之功能,許多網站皆運用此功能,故短期內 Adobe 不容易取消此功能,威脅將持續一段時間。
三、了解此類攻擊甚為重要,此類即今年與去年各大資安會議,Jeremiah、[url=http://armorize-cht.blogspot.com/2008/08/black-hat-2008.html#PDP]PDP[/url]與 [url=http://armorize-cht.blogspot.com/2008/08/black-hat-2008.html#RSNAKE]RSnake[/url] 三位研究員一直在提的 client-side 攻擊。由於這些攻擊大部分利用第三方外掛之漏洞甚至「功能」,問題短時間不易改善。試想如果攻擊 IE 漏洞,則攻擊對 firefox 就無效;然針對各瀏覽器皆有普遍安裝之第三方外掛,如 Adobe Flash、PDF 等攻擊,則可以跨瀏覽器。本事件便是一例。
四、此類為 Web 攻擊,其中 Javascript 又可以經過[url=http://www.malwareguru.org/mediawiki/index.php/Collection_of_tools_for_javascript_encryption_%28javascript_packers%29]各種方式加殼與變形[/url],防毒軟體幾乎沒有可能偵測到。
五、從兩方面觀察:A) 散播 Web 攻擊之伺服器所屬地區 以及 B) 諸多使用者確實被攻擊之案例,此為有組織性,有目的性之 Web 攻擊行為,其攻擊手法的確會造成威脅,並確實可以達到攻擊者的目的。
六、防禦的方法:可以選擇使用 firefox 外掛 [url=http://noscript.net/]noscript[/url] 與 [url=http://flashblock.mozdev.org/]FlashBlock[/url]。
看了上述事實陳列,您認為福爾韋恩這次的調查分析正確嗎?
;-)
轉貼自:[url]http://armorize-cht.blogspot.com/2008/08/registerweb.html[/url]