Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Download Zipped Docx als Exe via Dropbox
03-07-2016, 17:03 door Anoniem, 10 reacties
Soms zie je een website met een aanpak die opvalt.
Een dusdanig creatieve aanpak dat je ineens begint te twijfelen of zij nou heel slim is of misschien toch het omgekeerde.
Vandaag gezien: een download van onder andere verzamelde Docx-en (danwel Pdf's of verzamelde Epubs) aangeboden als Zip's die weer zijn verpakt in Exe bestanden en extern worden aangeboden via een Dropbox link.
Wanneer we iets dergelijks in de mail als link naar een te downloaden bijlage zouden aantreffen,
dan hoop ik dat er inmiddels bij een meerderheid van gebruikers eerst een fictief alarm-belletje gaat rinkelen alvorens het klikgrage vingertje de link naar dropbox aanklikt, per omgaande ophaalt en direct uitpakt.
Maar als we deze oplossing op een website aantreffen, wat doen we dan?
Gewoon aanklikken en downloaden maar?
Zie bijvoorbeeld deze inspiratieve bron: http://www.verbodengeschriften.nl/download/downloads.html
Hoe veilig is/zijn dit soort oplossingen eigenlijk?
- Iets aanbieden via een online storage box in plaats van op de website zelf.
Is het Veiliger omdat Dropbox en andere online storage aanbieders misschien zelf wel extra scannen op mogelijke malware in Zips en andere opgeslagen bestanden?
- Hoe ziet het dan met bestanden dubbel verpakken? Waarom zou je een zip van docx's of pdf's weer als Exe aanbieden? Wekt dat vertrouwen?
- En als het inderdaad veiliger is, is het dan eigenlijk als methode raadzaam om te doen omdat gebruikers erdoor in verwarring gebracht kunnen worden en eerder verleid worden dergelijke combinaties ook te accepteren als het als link of bijlage wordt aangeboden via de mail?
Wat ik zie is dat beheerders van websites er verschillend over denken.
Security.nl moet niets hebben van online storage links, Tweakers heeft (had?) er weer geen enkel probleem mee.
Is deze manier van bestanden aanbieden security-verstanding of juist niet?
Een dusdanig creatieve aanpak dat je ineens begint te twijfelen of zij nou heel slim is of misschien toch het omgekeerde.
Vandaag gezien: een download van onder andere verzamelde Docx-en (danwel Pdf's of verzamelde Epubs) aangeboden als Zip's die weer zijn verpakt in Exe bestanden en extern worden aangeboden via een Dropbox link.
Wanneer we iets dergelijks in de mail als link naar een te downloaden bijlage zouden aantreffen,
dan hoop ik dat er inmiddels bij een meerderheid van gebruikers eerst een fictief alarm-belletje gaat rinkelen alvorens het klikgrage vingertje de link naar dropbox aanklikt, per omgaande ophaalt en direct uitpakt.
Maar als we deze oplossing op een website aantreffen, wat doen we dan?
Gewoon aanklikken en downloaden maar?
Zie bijvoorbeeld deze inspiratieve bron: http://www.verbodengeschriften.nl/download/downloads.html
Downloads - Vrij van Virus, Adware en andere ongewenste zaken!
alle-doc-verbodengeschriften.exe ___________ 50 MB __________ zelfuitpakkend zip-bestand
http://www.verbodengeschriften.nl/download/alle-doc-verbodengeschriften-exe.html
De virusscanner ging inderdaad niet af bij dit genoemde download voorbeeld.alle-doc-verbodengeschriften.exe ___________ 50 MB __________ zelfuitpakkend zip-bestand
http://www.verbodengeschriften.nl/download/alle-doc-verbodengeschriften-exe.html
Hoe veilig is/zijn dit soort oplossingen eigenlijk?
- Iets aanbieden via een online storage box in plaats van op de website zelf.
Is het Veiliger omdat Dropbox en andere online storage aanbieders misschien zelf wel extra scannen op mogelijke malware in Zips en andere opgeslagen bestanden?
- Hoe ziet het dan met bestanden dubbel verpakken? Waarom zou je een zip van docx's of pdf's weer als Exe aanbieden? Wekt dat vertrouwen?
- En als het inderdaad veiliger is, is het dan eigenlijk als methode raadzaam om te doen omdat gebruikers erdoor in verwarring gebracht kunnen worden en eerder verleid worden dergelijke combinaties ook te accepteren als het als link of bijlage wordt aangeboden via de mail?
Wat ik zie is dat beheerders van websites er verschillend over denken.
Security.nl moet niets hebben van online storage links, Tweakers heeft (had?) er weer geen enkel probleem mee.
Is deze manier van bestanden aanbieden security-verstanding of juist niet?
Reacties (10)
04-07-2016, 19:56 door
karma4
Is deze manier van bestanden aanbieden security-verstanding of juist niet?
Volgens mij heb je het antwoord zelf al gegeven..."Wanneer we iets dergelijks in de mail als link naar een te downloaden bijlage zouden aantreffen, dan hoop ik dat er inmiddels bij een meerderheid van gebruikers eerst een fictief alarm-belletje gaat rinkelen alvorens het klikgrage vingertje de link naar dropbox aanklikt, per omgaande ophaalt en direct uitpakt."
Ik stel voor om alles wat lijkt op taktieken van black hatters zien te vermijden.
Uit een grijs verleden (MacClassic) weet ik dat Stuffit archieven konden worden gecomprimeerd als .sit of .sea waarbij .sea stond voor self extracting archive. (Type: APPL Creator: aust)
Voor dat archief had je de applicatie Stuffit expander of Stuffit de Luxe niet nodig, want het archief was dus net als hier ook een applicatie op zich, dus dubbelklikken deed de was en klaar.
Ik was daarvoor in 1999 niet zo bang. Tijdens het uitpakken controleerde Virex het proces en ik heb nooit een ingreep gehad.
Maar het is nu 2016. Virussen zijn malware geworden en daarmee business!
Waarschijnlijk is hier hetzelfde aan de hand met dat bestand: alle-doc-verbodengeschriften.exe ___________ 50 MB __________ zelfuitpakkend zip-bestand, maar-je-weet-het-niet! dus volkomen terecht dat je het wantrouwt!
Klikken kan inhouden uitpakken of misschien gegijzeld worden als er toevallig een zero-day in zit.
Mijn advies: Begin er niet aan hoe verleidelijk het aangebodene ook is!
Voor dat archief had je de applicatie Stuffit expander of Stuffit de Luxe niet nodig, want het archief was dus net als hier ook een applicatie op zich, dus dubbelklikken deed de was en klaar.
Ik was daarvoor in 1999 niet zo bang. Tijdens het uitpakken controleerde Virex het proces en ik heb nooit een ingreep gehad.
Maar het is nu 2016. Virussen zijn malware geworden en daarmee business!
Waarschijnlijk is hier hetzelfde aan de hand met dat bestand: alle-doc-verbodengeschriften.exe ___________ 50 MB __________ zelfuitpakkend zip-bestand, maar-je-weet-het-niet! dus volkomen terecht dat je het wantrouwt!
Klikken kan inhouden uitpakken of misschien gegijzeld worden als er toevallig een zero-day in zit.
Mijn advies: Begin er niet aan hoe verleidelijk het aangebodene ook is!
Je moet vooraf weten van wie het is en je moet weten wat het is. Anders gelijk verwijderen.
05-07-2016, 00:33 door
cthulhu318
Het is best mogelijk om op dropbox of google drive besmette bestanden te bewaren volgens mij. Dus kun je ze ook delen.
Dat gezegd hebbende is het dus ten zeerste af te raden om bestanden zomaar van een dropbox te downloaden. Voor dit soort diensten geldt hetzelfde als voor je mail. Als je niet om een bestand gevraagd hebt, en de herkomst niet kent, is het verdacht en kun je er beter niets mee doen. Wili je toch graag weten wat er in de file staat, scan het ding met je lokale virusscanner, vervolgens met virustotal, pak hem uit in een sandbox op een virtual machine en check alle netwerk connecties die gemaakt worden etc. Kortom tref alle maatregelen die je kunt verzinnen om eventuele schade te beperken. het allerbeste is het eerste advies, laat de file voor wat het is. De meerwaarde van op meerdere manieren inpakken en self extracting maken ontgaat me sowieso. Een modern OS heeft gewoon zip ondersteuning.
Dat gezegd hebbende is het dus ten zeerste af te raden om bestanden zomaar van een dropbox te downloaden. Voor dit soort diensten geldt hetzelfde als voor je mail. Als je niet om een bestand gevraagd hebt, en de herkomst niet kent, is het verdacht en kun je er beter niets mee doen. Wili je toch graag weten wat er in de file staat, scan het ding met je lokale virusscanner, vervolgens met virustotal, pak hem uit in een sandbox op een virtual machine en check alle netwerk connecties die gemaakt worden etc. Kortom tref alle maatregelen die je kunt verzinnen om eventuele schade te beperken. het allerbeste is het eerste advies, laat de file voor wat het is. De meerwaarde van op meerdere manieren inpakken en self extracting maken ontgaat me sowieso. Een modern OS heeft gewoon zip ondersteuning.
Wat zou helpen is als de maker van de (self-extracting) exe file deze van een digitale handtekening zou voorzien waarbij je ervan opaan kunt dat de ondertekenaar:
1) Is wie hij zegt dat hij is;
2) Daadwerkelijk de bedoelde persoon is en niet (toevallig) een kwaadwillende met dezelfde naam;
3) Een goede reputatie heeft;
4) Voldoende snapt van beveiliging en weet te voorkomen dat zijn private key wordt gekopieerd of zijn signing proces door derden kan worden misbruikt;
5) Nooit exe files zonder geldige digitale handtekening zou verspreiden.
In het geval van een exe file moet de ontvanger:
A) Deze altijd naar een lege map kopiëren (om DLL-hijacking attacks te voorkomen, zie [1] voor voorbeelden);
B) Dan handmatig de digitale handtekening checken. Dit is verstandig omdat, als om de een of andere reden de MotW (Mark-of-the-Web, zie [2]) is weggevallen (bijv. door kopiëren via een FAT32 geformatteerde USB memorystick), Windows de digitale handtekenining niet controleert als je op een exe file dubelklikt.
C) Als de hantekening klopt (is gezet door een persoon die jij vertrouwt) kun je de exe file starten (maar lees ook het volgende punt).
Sowieso verstandig (cthulhu318 noemde veel van deze punten ook al):
i) Scan de gedownloade file met de op jouw PC geïnstalleerde virusscanner (on-demand dus). Tijdens on-demand scan wordt meestal grondiger en op meer zaken gecheckt dan tijdens een on-access scan (die niet lang mag duren, anders zouden computers veel te traag worden als je een aantal bestanden kopieert of bijv. een backup maakt);
ii) Als het om een algemeen beschikbaar bestand gaat (zonder vertrouwelijke gegevens), upload het bestand dan naar https://www.virustotal.com/;
iii) Start nooit self-extracting-archives, maar open dat soort exe-files met bijv. 7-zip en gebruik dat programma (7-zip dus) om de gewenste files uit te pakken. Voor de zekerheid kun je de extensie van gedownloade SFX (self-extracting exexutable) bestanden, direct na download, hernoemen van ".exe" in ".exe.zip";
iv) Gebruik bijv. "Sumatra PDF" om PDF bestanden te lezen;
v) Stel verkenner zo in dat bestandsextensies worden getoond.
[1] https://packetstormsecurity.com/files/author/6137/
[2] https://textslashplain.com/2016/04/04/downloads-and-the-mark-of-the-web/
1) Is wie hij zegt dat hij is;
2) Daadwerkelijk de bedoelde persoon is en niet (toevallig) een kwaadwillende met dezelfde naam;
3) Een goede reputatie heeft;
4) Voldoende snapt van beveiliging en weet te voorkomen dat zijn private key wordt gekopieerd of zijn signing proces door derden kan worden misbruikt;
5) Nooit exe files zonder geldige digitale handtekening zou verspreiden.
In het geval van een exe file moet de ontvanger:
A) Deze altijd naar een lege map kopiëren (om DLL-hijacking attacks te voorkomen, zie [1] voor voorbeelden);
B) Dan handmatig de digitale handtekening checken. Dit is verstandig omdat, als om de een of andere reden de MotW (Mark-of-the-Web, zie [2]) is weggevallen (bijv. door kopiëren via een FAT32 geformatteerde USB memorystick), Windows de digitale handtekenining niet controleert als je op een exe file dubelklikt.
C) Als de hantekening klopt (is gezet door een persoon die jij vertrouwt) kun je de exe file starten (maar lees ook het volgende punt).
Sowieso verstandig (cthulhu318 noemde veel van deze punten ook al):
i) Scan de gedownloade file met de op jouw PC geïnstalleerde virusscanner (on-demand dus). Tijdens on-demand scan wordt meestal grondiger en op meer zaken gecheckt dan tijdens een on-access scan (die niet lang mag duren, anders zouden computers veel te traag worden als je een aantal bestanden kopieert of bijv. een backup maakt);
ii) Als het om een algemeen beschikbaar bestand gaat (zonder vertrouwelijke gegevens), upload het bestand dan naar https://www.virustotal.com/;
iii) Start nooit self-extracting-archives, maar open dat soort exe-files met bijv. 7-zip en gebruik dat programma (7-zip dus) om de gewenste files uit te pakken. Voor de zekerheid kun je de extensie van gedownloade SFX (self-extracting exexutable) bestanden, direct na download, hernoemen van ".exe" in ".exe.zip";
iv) Gebruik bijv. "Sumatra PDF" om PDF bestanden te lezen;
v) Stel verkenner zo in dat bestandsextensies worden getoond.
[1] https://packetstormsecurity.com/files/author/6137/
[2] https://textslashplain.com/2016/04/04/downloads-and-the-mark-of-the-web/
Door Anoniem: Je moet vooraf weten van wie het is en je moet weten wat het is. Anders gelijk verwijderen.
Afzender spoofing is niet heel moeilijk.
En een pdf of doc, docx of docm kan ook een virus/malware bevatten.
05-07-2016, 12:43 door
cthulhu318
Goede aanvulling !
05-07-2016, 13:40 door
Ron625
Zou de aanbieder weten, dat een .EXE file voor een hoop mensen onbruikbaar is?
Tenslotte werkt het alleen onder Windows.
Zou de aanbieder weten, dat het aanbieden van een DOC, of een DOCx file eigenlijk een vreemde aanbieding is, het is voor (semi)overheden en gesubsidieerde instellingen zelfs verboden!
Tenslotte werkt het alleen onder Windows.
Zou de aanbieder weten, dat het aanbieden van een DOC, of een DOCx file eigenlijk een vreemde aanbieding is, het is voor (semi)overheden en gesubsidieerde instellingen zelfs verboden!
Er worden hier voors en tegens aangevoerd en ik vind er ook zinnige argumenten bij. Er stonden eerst (jaren geleden) alleen exe-bestanden omdat we ervan uit gingen dat lang niet iedereen met zip overweg kon. Ik heb daarna zip-bestanden toegevoegd, na een opmerking van een bezoeker die terecht opmerkte dat mensen met een Mac niks met exe kunnen. Inmiddels kunnen de meeste bezoekers denk ik wel met zip overweg, elk OS heeft zoals een van jullie hier al opmerkte tegenwoordig die functie ingebouwd. En exe-bestanden zijn door de toenemende risico's op internet verdacht(er) geworden en daarom heb ik ze verwijderd.
Webmaster http://www.verbodengeschriften.nl
Webmaster http://www.verbodengeschriften.nl
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
