7 Sneak-Attacken, die von den hinterhältigsten Hackern von heute verwendet werden

Millionen von Malware-Stücken und Tausende von böswilligen Hacker-Banden durchstreifen die heutige Online-Welt und jagen nach einfachen Dupes. Wenn sie dieselbe Taktik wiederverwenden, die jahrelang, wenn nicht jahrzehntelang funktioniert hat, tun sie nichts Neues oder Interessantes, um unsere Faulheit, Fehlurteile oder reine Idiotie auszunutzen.

Aber jedes Jahr stoßen Antimalware-Forscher auf einige Techniken, die die Augenbrauen hochziehen. Diese inspirierten Techniken werden von Malware oder Hackern verwendet und erweitern die Grenzen des böswilligen Hackens. Betrachten Sie sie als Innovationen in Abweichungen. Wie alles Innovative sind viele ein Maß für Einfachheit.

[Versieren Sie sich in 14 schmutzigen Tricks von IT-Sicherheitsberatern, 9 gängigen IT-Sicherheitspraktiken, die einfach nicht funktionieren, und 10 verrückten Sicherheitstricks, die funktionieren. | Erfahren Sie, wie Sie Ihre Systeme mit dem Webbrowser Deep Dive PDF-Sonderbericht und dem Security Central-Newsletter von sichern können. ]]

Nehmen wir den Microsoft Excel-Makrovirus aus den 1990er Jahren, der in Tabellenkalkulationen zufällig Nullen durch Großbuchstaben O ersetzte und Zahlen sofort in Textbeschriftungen mit dem Wert Null umwandelte - Änderungen, die größtenteils unentdeckt blieben, bis die Sicherungssysteme lange Zeit nichts anderes enthielten schlechte Daten.

Die genialste Malware und Hacker von heute sind ebenso heimlich und nachsichtig. Hier sind einige der neuesten Techniken, die mein Interesse als Sicherheitsforscher geweckt haben, und die daraus gewonnenen Erkenntnisse. Einige stehen auf den Schultern früherer böswilliger Innovatoren, aber alle sind heute sehr im Trend, um selbst die versiertesten Benutzer abzureißen.

Stealth-Angriff Nr. 1: Gefälschte drahtlose Zugangspunkte

Kein Hack ist einfacher durchzuführen als ein gefälschter WAP (Wireless Access Point). Jeder, der ein bisschen Software und eine drahtlose Netzwerkkarte verwendet, kann seinen Computer als verfügbaren WAP bewerben, der dann an einem öffentlichen Ort mit dem echten, legitimen WAP verbunden wird.

Denken Sie an alle Zeiten, in denen Sie - oder Ihre Benutzer - zum örtlichen Café, Flughafen oder öffentlichen Treffpunkt gegangen sind und eine Verbindung zum "kostenlosen drahtlosen" Netzwerk hergestellt haben. Hacker bei Starbucks, die ihren gefälschten WAP "Starbucks Wireless Network" oder am Flughafen Atlanta "Atlanta Airport Free Wireless" nennen, haben alle möglichen Leute, die innerhalb von Minuten eine Verbindung zu ihrem Computer herstellen. Die Hacker können dann ungeschützte Daten aus den Datenströmen abhören, die zwischen den unwissenden Opfern und ihren beabsichtigten Remote-Hosts gesendet werden. Sie wären überrascht, wie viele Daten, auch Passwörter, noch im Klartext gesendet werden.

Die schändlicheren Hacker werden ihre Opfer bitten, ein neues Zugangskonto zu erstellen, um ihren WAP zu nutzen. Diese Benutzer verwenden höchstwahrscheinlich einen allgemeinen Anmeldenamen oder eine ihrer E-Mail-Adressen sowie ein Kennwort, das sie an anderer Stelle verwenden. Der WAP-Hacker kann dann versuchen, auf beliebten Websites - Facebook, Twitter, Amazon, iTunes usw. - dieselben Anmeldeinformationen zu verwenden, und die Opfer werden nie erfahren, wie es passiert ist.

Lektion: Sie können öffentlichen drahtlosen Zugangspunkten nicht vertrauen. Schützen Sie immer vertrauliche Informationen, die über ein drahtloses Netzwerk gesendet werden. Verwenden Sie eine VPN-Verbindung, die Ihre gesamte Kommunikation schützt, und recyceln Sie keine Kennwörter zwischen öffentlichen und privaten Websites.

Stealth-Angriff Nr. 2: Cookie-Diebstahl

Browser-Cookies sind eine wunderbare Erfindung, die den "Status" beibehält, wenn ein Benutzer auf einer Website navigiert. Diese kleinen Textdateien, die von einer Website an unsere Maschinen gesendet werden, helfen der Website oder dem Service, uns während unseres Besuchs oder über mehrere Besuche hinweg zu verfolgen, sodass wir beispielsweise leichter Jeans kaufen können. Was ist nicht zu mögen?

Antwort: Wenn ein Hacker unsere Cookies stiehlt und dadurch zu uns wird, kommt dies heutzutage immer häufiger vor. Sie werden auf unseren Websites authentifiziert, als wären sie wir und hätten einen gültigen Anmeldenamen und ein gültiges Passwort angegeben.

Sicher, Cookie-Diebstahl gibt es seit der Erfindung des Web, aber heutzutage machen Tools den Prozess so einfach wie Klicken, Klicken, Klicken. Firesheep ist beispielsweise ein Firefox-Browser-Add-On, mit dem Benutzer ungeschützte Cookies von anderen stehlen können. Bei Verwendung mit einem gefälschten WAP oder in einem gemeinsam genutzten öffentlichen Netzwerk kann die Entführung von Cookies recht erfolgreich sein. Firesheep zeigt alle Namen und Speicherorte der gefundenen Cookies an. Mit einem einfachen Mausklick kann der Hacker die Sitzung übernehmen (ein Beispiel für die einfache Verwendung von Firesheep finden Sie im Codebutler-Blog).

Schlimmer noch, Hacker können jetzt sogar SSL / TLS-geschützte Cookies stehlen und sie aus der Luft schnüffeln. Im September 2011 hat ein von seinen Erstellern als "BEAST" bezeichneter Angriff bewiesen, dass sogar SSL / TLS-geschützte Cookies erhalten werden können. Weitere Verbesserungen und Verfeinerungen in diesem Jahr, einschließlich des bekannten CRIME, haben das Stehlen und Wiederverwenden verschlüsselter Cookies noch einfacher gemacht.

Bei jedem veröffentlichten Cookie-Angriff wird Websites und Anwendungsentwicklern mitgeteilt, wie sie ihre Benutzer schützen können. Manchmal besteht die Antwort darin, die neueste Kryptoverschlüsselung zu verwenden. In anderen Fällen wird eine dunkle Funktion deaktiviert, die die meisten Benutzer nicht verwenden. Der Schlüssel ist, dass alle Webentwickler sichere Entwicklungstechniken verwenden müssen, um den Diebstahl von Cookies zu reduzieren. Wenn Ihre Website ihren Verschlüsselungsschutz seit einigen Jahren nicht mehr aktualisiert hat, sind Sie wahrscheinlich gefährdet.

Lektionen: Auch verschlüsselte Cookies können gestohlen werden. Stellen Sie eine Verbindung zu Websites her, die sichere Entwicklungstechniken und die neueste Krypto verwenden. Ihre HTTPS-Websites sollten die neueste Krypto verwenden, einschließlich TLS Version 1.2.

Stealth-Angriff Nr. 3: Dateinamen-Tricks

Hacker verwenden seit Beginn der Malware Dateinamen-Tricks, um uns dazu zu bringen, schädlichen Code auszuführen. Zu den ersten Beispielen gehörte die Benennung der Datei, die ahnungslose Opfer zum Klicken anregen würde (wie AnnaKournikovaNudePics), und die Verwendung mehrerer Dateierweiterungen (wie AnnaKournikovaNudePics.Zip.exe). Bis heute verbergen Microsoft Windows und andere Betriebssysteme "bekannte" Dateierweiterungen, wodurch AnnaKournikovaNudePics.Gif.Exe wie AnnaKournikovaNudePics.Gif aussieht.

Vor Jahren stützten sich Malware-Virenprogramme, die als "Zwillinge", "Spawner" oder "Begleitviren" bekannt sind, auf eine wenig bekannte Funktion von Microsoft Windows / DOS. Selbst wenn Sie den Dateinamen Start.exe eingeben, sieht Windows so aus für und, falls gefunden, führen Sie stattdessen Start.com aus. Companion-Viren suchen nach allen EXE-Dateien auf Ihrer Festplatte und erstellen einen Virus mit demselben Namen wie die EXE-Datei, jedoch mit der Dateierweiterung .com. Dies wurde von Microsoft längst behoben, aber seine Entdeckung und Nutzung durch frühe Hacker legte den Grundstein für erfinderische Methoden, um Viren zu verbergen, die sich bis heute weiterentwickeln.

Zu den ausgefeilteren Tricks zum Umbenennen von Dateien gehört derzeit die Verwendung von Unicode-Zeichen, die sich auf die Ausgabe der Dateinamen auswirken, die Benutzer darstellen. Beispielsweise kann das Unicode-Zeichen (U + 202E), das als Überschreiben von rechts nach links bezeichnet wird, viele Systeme dazu verleiten, eine Datei mit dem Namen AnnaKournikovaNudeavi.exe als AnnaKournikovaNudexe.avi anzuzeigen.

Lektion: Stellen Sie nach Möglichkeit sicher, dass Sie den tatsächlichen, vollständigen Namen einer Datei kennen, bevor Sie sie ausführen.

Stealth-Angriff Nr. 4: Ort, Ort, Ort

Ein weiterer interessanter Stealth-Trick, bei dem ein Betriebssystem gegen sich selbst verwendet wird, ist ein Trick zum Speichern von Dateien, der als "relativ versus absolut" bezeichnet wird. Wenn Sie in älteren Versionen von Windows (Windows XP, 2003 und früher) und anderen frühen Betriebssystemen einen Dateinamen eingegeben und die Eingabetaste gedrückt haben oder wenn das Betriebssystem in Ihrem Namen nach einer Datei gesucht hat, beginnt dies immer mit Zuerst Ihren aktuellen Ordner oder Verzeichnisstandort, bevor Sie woanders suchen. Dieses Verhalten mag effizient und harmlos genug erscheinen, aber Hacker und Malware nutzten es zu ihrem Vorteil.

Angenommen, Sie möchten den integrierten, harmlosen Windows-Rechner (calc.exe) ausführen. Es ist einfach genug (und oft schneller als mit mehreren Mausklicks), eine Eingabeaufforderung zu öffnen, einzugeben calc.exeund die Eingabetaste zu drücken. Malware kann jedoch eine schädliche Datei namens calc.exe erstellen und diese im aktuellen Verzeichnis oder in Ihrem Basisordner ausblenden. Wenn Sie versuchen, calc.exe auszuführen, wird stattdessen die gefälschte Kopie ausgeführt.

Ich habe diesen Fehler als Penetrationstester geliebt. Nachdem ich in einen Computer eingebrochen war und meine Berechtigungen zum Administrator erhöhen musste, nahm ich häufig eine nicht gepatchte Version einer bekannten, zuvor anfälligen Software und legte sie in einem temporären Ordner ab. Die meiste Zeit musste ich nur eine einzelne anfällige ausführbare Datei oder DLL platzieren, während das gesamte zuvor installierte gepatchte Programm in Ruhe gelassen wurde. Ich würde den Dateinamen der ausführbaren Programmdatei in meinen temporären Ordner eingeben, und Windows würde meine anfällige ausführbare Trojaner-Datei aus meinem temporären Ordner anstelle der kürzlich gepatchten Version laden. Ich habe es geliebt - ich konnte ein vollständig gepatchtes System mit einer einzigen fehlerhaften Datei ausnutzen.

Bei Linux-, Unix- und BSD-Systemen wurde dieses Problem seit mehr als einem Jahrzehnt behoben. Microsoft hat das Problem 2006 mit den Versionen von Windows Vista / 2008 behoben, obwohl das Problem aufgrund von Abwärtskompatibilitätsproblemen in älteren Versionen weiterhin besteht. Microsoft warnt und lehrt Entwickler seit vielen Jahren, absolute (und nicht relative) Datei- / Pfadnamen in ihren eigenen Programmen zu verwenden. Dennoch sind Zehntausende von Legacy-Programmen anfällig für Standorttricks. Hacker wissen das besser als jeder andere.

Lektion: Verwenden Sie Betriebssysteme, die absolute Verzeichnis- und Ordnerpfade erzwingen, und suchen Sie zuerst in den Standardsystembereichen nach Dateien.

Stealth-Angriff Nr. 5: Hosts-Dateiumleitung

Den meisten heutigen Computerbenutzern ist nicht bekannt, dass eine DNS-bezogene Datei mit dem Namen Hosts vorhanden ist. Die Hosts-Datei befindet sich unter C unter C: \ Windows \ System32 \ Drivers \ Etc in Windows und kann Einträge enthalten, die eingegebene Domänennamen mit den entsprechenden IP-Adressen verknüpfen. Die Hosts-Datei wurde ursprünglich von DNS verwendet, damit Hosts die Suche nach Name-zu-IP-Adressen lokal auflösen können, ohne die DNS-Server kontaktieren und eine rekursive Namensauflösung durchführen zu müssen. Zum größten Teil funktioniert DNS einwandfrei, und die meisten Benutzer interagieren nie mit ihrer Hosts-Datei, obwohl sie vorhanden ist.

Hacker und Malware schreiben gerne ihre eigenen böswilligen Einträge an Hosts, sodass sie, wenn jemand einen beliebten Domainnamen eingibt - beispielsweise bing.com - an einen anderen Ort weitergeleitet werden, der bösartiger ist. Die böswillige Weiterleitung enthält häufig eine nahezu perfekte Kopie der ursprünglich gewünschten Website, sodass der betroffene Benutzer den Wechsel nicht bemerkt.

Dieser Exploit ist heute noch weit verbreitet.

Lektion: Wenn Sie nicht herausfinden können, warum Sie böswillig umgeleitet werden, überprüfen Sie Ihre Hosts-Datei.

Stealth-Angriff Nr. 6: Wasserlochangriffe

Wasserlochangriffe erhielten ihren Namen von ihrer ausgeklügelten Methodik. Bei diesen Angriffen nutzen Hacker die Tatsache, dass sich ihre Opfer häufig an einem bestimmten physischen oder virtuellen Ort treffen oder dort arbeiten. Dann "vergiften" sie diesen Ort, um böswillige Ziele zu erreichen.

Zum Beispiel haben die meisten großen Unternehmen ein lokales Café, eine Bar oder ein Restaurant, das bei Mitarbeitern des Unternehmens beliebt ist. Angreifer erstellen gefälschte WAPs, um so viele Unternehmensanmeldeinformationen wie möglich zu erhalten. Oder die Angreifer ändern in böswilliger Absicht eine häufig besuchte Website, um dasselbe zu tun. Die Opfer sind oft entspannter und ahnungsloser, weil der Zielort ein öffentliches oder soziales Portal ist.

Waterhole-Angriffe wurden in diesem Jahr zu einer großen Neuigkeit, als mehrere hochkarätige Technologieunternehmen, darunter Apple, Facebook und Microsoft, aufgrund der beliebten Websites zur Anwendungsentwicklung, die ihre Entwickler besuchten, kompromittiert wurden. Die Websites wurden mit böswilligen JavaScript-Weiterleitungen vergiftet, die Malware (manchmal null Tage) auf den Computern der Entwickler installierten. Die kompromittierten Entwicklerarbeitsplätze wurden dann verwendet, um auf die internen Netzwerke der Opferunternehmen zuzugreifen.

Lektion: Stellen Sie sicher, dass Ihre Mitarbeiter erkennen, dass beliebte "Wasserstellen" häufige Hackerziele sind.

Stealth-Angriff Nr. 7: Köder und Schalter

Eine der interessantesten Hacker-Techniken heißt Köder und Schalter. Den Opfern wird gesagt, dass sie eine Sache herunterladen oder ausführen, und dies ist vorübergehend der Fall, aber sie wird dann mit einem böswilligen Gegenstand ausgetauscht. Beispiele gibt es zuhauf.

Malware-Spreizer kaufen häufig Werbeflächen auf beliebten Websites. Bei der Bestätigung der Bestellung wird den Websites ein nicht schädlicher Link oder Inhalt angezeigt. Die Website genehmigt die Werbung und nimmt das Geld. Der Bösewicht wechselt dann den Link oder Inhalt mit etwas Bösartigerem. Oft codieren sie die neue schädliche Website, um die Zuschauer zurück zum ursprünglichen Link oder Inhalt zu leiten, wenn sie von jemandem von einer IP-Adresse des ursprünglichen Genehmigenden angezeigt werden. Dies erschwert die schnelle Erkennung und Abschaltung.

Die interessantesten Köder-und-Schalter-Angriffe, die ich in letzter Zeit gesehen habe, betreffen Bösewichte, die "kostenlose" Inhalte erstellen, die von jedem heruntergeladen und verwendet werden können. (Denken Sie an eine Administrationskonsole oder einen Besucherzähler am Ende einer Webseite.) Oft enthalten diese kostenlosen Applets und Elemente eine Lizenzierungsklausel, die besagt: "Kann frei wiederverwendet werden, solange der ursprüngliche Link erhalten bleibt." Ahnungslose Benutzer setzen den Inhalt nach Treu und Glauben ein und lassen den ursprünglichen Link unberührt. Normalerweise enthält der ursprüngliche Link nur ein Grafikdatei-Emblem oder etwas anderes Triviales und Kleines. Später, nachdem das falsche Element in Tausenden von Websites enthalten war, ändert der ursprüngliche böswillige Entwickler den harmlosen Inhalt gegen etwas Bösartigeres (wie eine schädliche JavaScript-Weiterleitung).

Lektion: Achten Sie auf Links zu Inhalten, die nicht unter Ihrer direkten Kontrolle stehen, da diese ohne Ihre Zustimmung kurzfristig ausgeschaltet werden können.