Darabokra hulló támadások

A szoftverekben lévő sebezhetőségek megjelenéséről és azok kisebb-nagyobb támadások alkalmával történő kihasználásáról naponta lehet hallani. Miközben a támadók azon dolgoznak, hogy a sérülékenységekben számukra rejlő lehetőségeket a biztonsági megoldások megkerülésével vagy átejtésével a saját javukra tudják fordítani, aközben a védelmi eszközök fejlesztői arra törekednek, hogy a káros kódokat, illetve adatforgalmat minél hatékonyabban tudják kiszűrni. Ebben a macska-egér harcba egy újabb fejezetett nyithatnak azok a technikák, amelyek az M86 Security szakértői szerint sok fejtörést okozhatnak a jövőben.

Az exploitok és a hozzájuk tartozó payloadok elrejtésére a vírusírók, vírusterjesztők már rengeteg módszert találtak ki annak érdekében, hogy a behatolásfelderítő, a behatolásmegelőző és a tartalomszűrést végző határvédelmi megoldásokat valamint a végpontokon futó biztonsági eszközöket megtéveszthessék. E technikák egyike, amikor a kártékony kódokat vagy titkosítottan továbbítják, vagy feldarabolják azokat kisebb részekre. Ez utóbbi megoldás révén különösen a szignatúralapú védelmi technikákon tudnak kifogni, amelyek a fragmentált, töredezett kódokat nem vagy csak nehezen képesek kiszűrni. Az M86 Security kutatói az utóbbi napokban pontosan egy ilyen hacker trükkre lettek figyelmesek, amely az AJAX-ra is jelentős mértékben támaszkodik.

Az eddigi vizsgálatok során kiderült, hogy a támadók teljesen ártalmatlannak látszó weboldalakat hoztak létre, amelyek első ránézésre AJAX-os oldalak esetében megszokott JavaScripteket tartalmaznak. Azonban amikor egy ilyen weblap megjelenik, akkor érdekes műveletek zajlanak a háttérben, ugyanis különböző alkalmazások sebezhetőségeit kihasználó kódok töltődnek le, méghozzá sok kisebb részben. Amikor az összes kódtöredék átkerül a kliensre, akkor az erre a célra kialakított JavaScript összeállítja a darabokat, és végül egy komplett payload áll össze.

Nehéz felismerés

"Az úgynevezett payload fragmentálás jelentősen megnehezíti a szignatúralapú biztonsági alkalmazások dolgát a támadások felismerését illetően. Számos tartalomszűrő olyan technikákat alkalmaz, amelyek a hálózati adatforgalom, illetve a hálózati interfészek monitorozásával végzik az ellenőrzéseket. Ugyanakkor az egyes kódtöredékek akár teljesen ártalmatlanok is lehetnek, és kizárólag akkor válnak ártalmassá, amikor a böngészőkben a dinamikus tartalmak teljes egészében betöltődnek" - mondta Moshe Basanchig, az M86 Security kutatója.

Az M86 Security felfedezéseit a BitDefender is megerősítette: "E támadási forma a támadók számára nyilvánvalóan azzal az előnnyel jár, hogy a payloadokat több darabban képesek továbbítani, és ezáltal nagyobb valószínűséggel tudják azokat átjuttatni a tűzfalakon". A szakember szerint e károkozásokat elsősorban a végpontokon lévő antivírus alkalmazásokkal lehet blokkolni, de leginkább csak akkor, amikor az ártalmas kódok összeállítása és memóriába való betöltése megtörténik.

A kutatások szerint a fragmentált payload technikára épülő ártalmas weboldalak eddig többnyire kínai szervereken kaptak helyet, és elsősorban az Internet Explorer valamint a Flash Player szoftverek nem naprakészen tartott példányaiban lévő sebezhetőségeket igyekeznek kihasználni.