Hackers zuinig met verspreiden kwaadaardige code
Onderzoekers hebben de volgende generatie webaanvallen ontdekt die nog lastiger te ontdekken zijn. De computercriminelen houden bij welke IP-adressen de geïnfecteerde websites bezocht hebben, en laten de kwaadaardige code maar één keer "zien". Probeert men de kwaadaardige pagina nog een keer te laden, dan verschijnt er een willekeurige andere pagina. Op deze manier hopen de aanvallers detectie te voorkomen, en de techniek wordt dan ook omschreven als een "gigantische sprong" qua technische complexiteit.
"Ontwijkende aanvalstechnieken waarbij kwaadaardige code per IP-adres, land of aantal bezoeken wordt gecontroleerd geeft hackers de mogelijkheid om de blootstelling van de kwaadaardige code te minimaliseren, wat de kans op detectie beperkt. De ontwijkende aanvallen kunnen ook de IP-adressen van crawlers die filterbedrijven en zoekmachines gebruiken herkennen, en zo de kans verhogen dat ze als een legitieme website worden zien," zegt Finjan CTO Yuval Ben-Itzhak.
Het onderzoek van de beveiliger laat verder zien dat er steeds vaker kwaadaardige code via online advertenties wordt verspreid. Nu websites afhankelijker van dit soort inkomsten zijn, tonen ze vaak advertenties van andere advertentienetwerken waar ze geen controle over hebben. Zo werden recent nog advertenties ontdekt die keyloggers installeerden en de Windows ANI exploit gebruikten. Het volledige onderzoek is op deze pagina te vinden.
Fout, fout fout.....via elke geopende "poort" - al
is dit maar 1 keer - is elke code te ontdekken.
Waarom klopt de tekst dan niet? Zover ik kan zien klopt het
precies. Ik ben geen topprogrammeur maar ik weet wel dat ik
een server kan bouwen die random pagina's aanlevert. Maar
zich verder voordoet als een legitieme IIS, Apache of wat
dan ook maar voor webserver je kunt verzinnen. En je browser
geeft vrij veel informatie voordat die pas informatie verwacht.
Verder is het gewoon een kwestie van informatie en die is
genoeg te vinden. Het is vrij simpel om na te gaan welke
ip's van een specifieke provider voor particulieren gebruikt
worden. Ok veel bedrijven werken ook via een particulier
abbotje maar die test bureau's waarschijnlijk niet (op dit
moment dan).
Dus stel ik weet dat de gemiddelde HetNet gebruiker een
simpele huis tuin en keuken gebruiker is dan selecteer ik op
die ip-adressen. Verder laat ik alle firefox gebruikers
links liggen omdat die al weer iets meer kennis van het
systeem hebben. Dan laat ik mijn gevaarlijke code alleen op
bepaalde dagen tonen (bv weekends). En pak ik alleen elke
100 bezoeken en dan ook alleen als dat betreffende ip nog
nooit eerder langs is geweest. En om niet te verdacht te
worden ga ik na een 2/3 maand selectief zijn op een ander
ip-block.
Dan mag jij mij vertellen hoe groot nu de kans is dat zo'n
testbureau achter mijn code komt. En dat mijn coverage wat
minder is maakt me niet uit aangezien 9 van de 10 die de
code krijgt wel geinfecteerd is door mijn selectieproces. En
ik zie mijn bestand langzaam aan wel groeien aangezien de
pc's die ik geinfecteerd heb toch niets door hebben.
Ook laat ik mijn code voor een tijdje slapend zodat niemand
wat opmerkt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
