Menü
Ingyenes
becsekkolás
a fő  /  Navigátorok / Támadás DNS spoofing DNS spoofing. Blugint írunk a Microsoft DNS-kiszolgálóhoz, hogy megvédjük az IDN SPOODING-t, hogy mi a DNS spoofing

Támadás DNS SPOODING DNS spoofing. Blugint írunk a Microsoft DNS-kiszolgálóhoz, hogy megvédjük az IDN SPOODING-t, hogy mi a DNS spoofing

A titkossági adatokhoz vagy bankszámlákhoz való hozzáféréshez való hozzáférés érdekében nemcsak a valós világban, hanem a virtuális térben a workshopon is sikeresen alkalmazzák. Ezt a gyakorlatot a címnek nevezik - egy kollektív kategória, amely magában foglalja az IP-cím beállításának fogalmát (az üzenetek küldése a számítógéppel a megbízható forrás IP-címével), e-mail spoofing (hamisítja a betűk fejlécét az igazi feladó maszkolásához) és DNS spoofing (a DNS-kiszolgáló beállításainak megváltoztatása a domain név továbbításához a támadók IP-címére).

Hogyan működik a spoofing?

Squealing műszaki fogadás kiadja magát egy másik személynek, hogy megtévessze a hálózatot, vagy specifikus felhasználó Annak érdekében, hogy bizalmat okozzon az információforrás megbízhatóságában. Például a hackerek e-mailen keresztül történő átvevésen keresztül félrevezethetik a felhasználót a feladó hitelesítésével és a bizalmas adatokhoz való hozzáféréssel kapcsolatban. Vagy megpróbálhatják alkalmazni az IP és a DNS-kérelmeket, hogy megtévessze a felhasználó hálózatát, és átirányítsa azt a csalárd helyekre, az igazi álcázásra, amelynek eredményeképpen a felhasználó számítógépe fertőzött.

Hogyan lehet felismerni a spoofingot?

A legtöbb egyszerűen felismeri az e-mail-spoofing, mivel az azonnali cél a felhasználó maga. Minden üzenet e-mail Mail, amelyben a felhasználónak személyes adatokat igényel, kísérlet lehet elrontani, különösen, ha hitelesítő adatokat kértek. Ne feledje, hogy nincs megbízható magán- vagy állami szervezet ilyen módon személyes adatokat kér. Figyeljen a feladó címére, hogy biztosítsa a legitimitását. Azonban a felhasználó szinte soha nem ismeri fel, hogy az IP vagy a DNS-spoofing áldozatává vált, bár a szokásos viselkedés szokásos viselkedésének részleteinek és változásainak köszönhetően rendkívül hasznos lehet. Ha a webhely vagy viselkedése a legkisebb kétséget okozza, akkor jobb, ha elhagyja az ütemezett műveletet az adatok és a pénzügyi alapok mentésére.

Hogyan lehet megszüntetni a spoofingot?

A spoofing az igazi forrás álcázására szolgál, így nem olyan könnyű "megszünteti". Csak a következő józan ész, és megfigyelheti a hálózaton lévő biztonságos munka alapvető szabályait, például semmilyen körülmény nélkül, anélkül, hogy személyes adatokat mondana az EL. E-mail, még akkor is, ha a feladó hírneve nem kétséges.

Hogyan kell figyelmeztetni
  • Ne válaszoljon olyan üzenetekre, amelyekben Ön személyes vagy hitelesítő adatait kéri.
  • Óvatosan ellenőrizze a feladó címét
  • Figyeljen a szokásos webhelyek részleteiről való viselkedés vagy különbségek közötti különbségekre
Biztosítsa magát egy ribancából

Egyrészt a meghatározás védelme a biztonságos munka alapelveiben az interneten történő alapelveiben következtetésre juthat. Azonban sokkal többet tehetsz a saját biztonságához. Először is bízhatja meg a számítógép védelmét és az általa tárolt adatokat egy erőteljes vírusellenes oldattal, például az egyik fejlett avast, amely biztonságosan védi a csalárd helyek ellen, és blokkolja a vírusokat, amelyek megpróbálják behatolni a hálózatba.

DNS-helyettesítés (DNS-spoofing)

DNS rendszer ( DOMAIN NÉV RENDSZER.) Átalakít domain név (Például www.test.com) az IP-címében (például 192.168.0.1) és fordítva. Ez a támadás a hamis válaszok küldésének technológiáját használja a DNS áldozatokra. A támadás két fő módszeren alapul.

DNS-azonosító (DNS ID SPOOFING)

A DNS Protocol Packet fejléc egy azonosítási mezőt tartalmaz, amely megfelel a lekérdezésnek és a válaszoknak. A DNS-azonosító módosításainak célja, hogy válaszoljon a DNS-kérésre, mielőtt a DNS-kiszolgáló válaszolna. Ennek végrehajtásához meg kell kezdeni a lekérdezési azonosítót. Helyileg azt a hálózati forgalom egyszerűen hallgatják. Azonban távolról elvégezheti ezt a feladatot sokkal nehezebb. Vannak különböző módszerek:

    az összes rendelkezésre álló azonosító mező értékének ellenőrzése. Ez nem túl praktikus, mivel a lehetséges értékek teljes száma 65535 (16-as méretű 16 bit);

    több száz DNS kérés küldése a megfelelő sorrendben. Nyilvánvaló, hogy ez a módszer nem túl megbízható;

    a megjósolt azonosítókat generáló kiszolgáló megtalálása (például 1-re növekszik). Ez a fajta sebezhetőség a kötődés egyes verzióiban rejlik windows rendszerek 9x.

Mindenesetre válaszolnia kell egy igazi DNS-kiszolgálóra. Ez megvalósítható például, például egy támadás típusa "A kiszolgáló elleni küzdelem elmulasztása".

A sikeres támadás érdekében a támadónak ellenőriznie kell a DNS-kiszolgálót (Ns.attaquant.com), az AttaQuant.com zónájának hitelességét. A cél DNS-kiszolgáló (ns.cible.com) feltételezhetően előre jelzett azonosító számokat generál (minden alkalommal 1-ig növekszik).

A támadás négy lépés végrehajtását igényli:

Ennek eredményeképpen a TARGET DNS-kiszolgáló gyorsítótára tartalmazza a támadó által megkövetelt megfelelőséget, és a Www.Spooofed.com címet kérő ügyfelek a támadógép címét jelentik. Ezt az oldal másolatát közzéteszi, amellyel a támadó ellophatja a bizalmas információkat.

Változtassa meg a DNS gyorsítótár mérgezését

A DNS-kiszolgáló gyorsítótárat használ, hogy egy ideig tárolja az előző lekérdezések eredményeit. Ez történik, hogy elkerülje az állandó felvételi újrafelhasználásokat az érintett területek engedélyezett szervereihez. A DNS-helyettesítésre irányuló támadás második változata megváltozott cache DNS. Szerverek. Itt van egy példa:

Ugyanazokat az adatokat használjuk, mint az előző példában. Itt van ennek a lehetőségnek a legfontosabb pontjai:

    küldj egy DNS-kérést a www.attaquant.com DNS szerverének felbontására a Cible.com domainje;

    tARGET DNS Server Shotvet kérés engedélye a www.attaquant.com DNS szerver után a támadó;

Az IDN spoofing a "Hasonló" domainnevek generációja, amelyet általában arra használnak, hogy a felhasználó kényszerítse a kapcsolatot az Affair erőforráshoz. Ezután fontolja meg egy konkrétabb támadási lehetőséget.

Képzeld el, hogy a megtámadott vállalat tulajdonosa a domain-szervezet.org, és ezen a vállalaton belül a portal.organization.org belső erőforrását használja. A támadó célja a felhasználói hitelesítő adatok megfizetése, és ehhez egy linket küld egy e-mailen keresztül, vagy a Messenger cégnél használt.

Miután ilyen üzenetet kapott nagy valószínűséggel, nem tudod észrevenni, hogy a link valahol rosszul vezet. Miután a linkre vonatkozó linket a bejelentkezési jel jelszava, és az áldozat kéri, azt gondolja, hogy a hazai erőforrásban van, bemutatja az adatokat számla. A támadó esélyei különösen magasak, ha már behatol a kerületben, veszélyezteti a munkavállaló rendszerét, és most küzd a rendszergazda jogosultságával.

Az abszolút "bolond védelem" nem jön fel itt, de megpróbálhatja elfogni ezt a támadást a név engedélyezési szakaszában a DNS-kérésen keresztül.

A védelem érdekében következetesen meg kell adnunk a neveket a elfogott DNS-kérelmekben. A vállalat belső erőforrásait használja, majd gyorsan megtaláljuk a portál.organizációra. Amint találkoztunk a "Hasonló" névvel a korábban tapasztalt névvel, cserélhetjük a DNS-válaszot a támadó IP-címe helyett.
Mi lehet a "hasonló" definíció algoritmusai?

  • UTS39 zavaros észlelése (http://www.unicode.org/reports/tr39/#confusable_detection) Az Unicode nem csak értékes szőrme asztal szimbólumok, hanem egy csomó szabvány és ajánlás is. Az UTS39-ben az Unicode sor normalizálására szolgáló algoritmust határozzák meg, amelyben az Omoglyphs (például az orosz "A" és a latin "A") különböznek ugyanazon formában.
  • A szavakat belső betűk permutációi jellemzik. Elég könnyen zavaros szervezet.org és Orgainzation.org
  • Az első szintű tartomány cseréje. A név első szintje általában nem tesz semmilyen értelme és a vállalat munkavállalója, aki "szervezetet" láthat, figyelmen kívül hagyhatja a V.ORG Or.net különbségét, bár a kivételek itt lehetségesek.
Valószínűleg a vállalati szerver nem lesz kötődve, amely a szabványos webes hosterek vagy szolgáltatók számára, de a Microsoft DNS-kiszolgáló az Active Directory mindenütt jelenléte miatt. És nem találtam meg az első problémát, amellyel találkoztam, amikor szűrőt írtam a Microsoft DNS-kiszolgálóra - nem találtam meg a DNS lekérdezések szűrését. Ez a probléma megoldható különböző módon, a DLL és IAT horog injekciót választottam az aljzatokkal.

A technika megértéséhez a PE formátum ismerete lesz, például többet olvashat. A végrehajtható fájl fejlécekből, szekciókból és szakaszokból áll. A szekciók maguk is olyan adatblokk, amelyet a bootloadert a relatív címen (relatív virtuális cím - RVA) memóriában kell megjeleníteni, és az összes erőforrás, kód, egyéb adatok tartalmaznak belső részeket. A fejlécen belül is vannak linkek (RVA) a munkához szükséges asztali alkalmazásoknál, a kétpontos behozatali és export asztal fontos ebben a cikkben. Az importáblázat tartalmazza az alkalmazáshoz szükséges funkciók listáját, de más fájlokban található. Az exportálási táblázat a "Reverse" táblázat, amely tartalmazza az ehhez a fájlból exportált funkciók listáját, vagy export továbbítás esetén a fájl nevét és a funkció nevét a függőség megoldására határozza meg.

A DLL injekciót az összes csontozáscreateemotead nélkül végezheti el. Úgy döntöttem, hogy a PE export továbbítást használom - ez egy hosszú ismert felvétel, amikor a kívánt folyamatba indul, az EXE fájlban található könyvtárban a DLL-t az EXE fájl importálja ( A legfontosabb dolog nem használható HKEY_LOCAL_MACHINE \\ SYSTEM \\ CHREATCONTROLSET \\ CONTROL \\ Session Manager \\ EDDLS). A létrehozott DLL-ben az exportálási táblázat a cél DLL-ről másolódik, de az exportált függvény kódjának mutatója helyett RVA-t kell rögzítenie az "Endpoint! Sendto" típusának előrejelzésére. Maga a Microsoft DNS-kiszolgálója HKEY_LOCAL_MACHINE \\ SYSTEM \\ CHEATHCONLSET \\ SYSTEM \\ DNS szolgáltatás, amely a% systemroot% \\ system32 \\ dns.exe

A végső injekciós algoritmus dNS-kiszolgáló. Lesz:

  • Katalógus létrehozása% Systemroot% \\ System32 \\ dnsflt (bármely más, megtalálhatja a katalógust a System32 opcionális).
  • A% systemroot% \\ system32 \\ dnsapi.dll másolása egy dll, amelynek DNS.EXE importál valamit, akkor választhat bármely más "nem ismertd.).
  • Átnevezzük a másolt dll-t a endpoint.dll-ben - Ezt a nevet az előremenő karakterláncban fogjuk használni.
  • Elfogadjuk a befecskendezett DLL-t, és hozzáadjuk a megfelelő exportálót, másolja a DLL-t a% Systemroot% \\ System32 \\ dnsflt
  • A rendszerleíró adatbázisban a kulcs HKEY_LOCAL_MACHINE \\ SYSTEM \\ CHEATHCONTROLSET \\ SERVICE \\ DNS Az ImagePath új címe az akkumulátor új rendszerének új címe% \\ system32 \\ dnsflt \\ dns.exe
  • Simlink létrehozása a% systemroot% \\ system32 \\ dnsflt \\ dns.exe-ről% systemroot% \\ system32 \\ dns.exe
Minek utolsó lépés? Az a tény, hogy a Windows beépített tűzfal, és alapértelmezés szerint windows szerver Az 53 port hallgatásához való jog csak az alkalmazásnál van% Systemroot% \\ System32 \\ dns.exe alkalmazásnál. Amikor megpróbálja futtatni egy másik könyvtárból való hozzáférés a hálózathoz, akkor nem lesz. Miért másoltam egyáltalán? A teljes rendszerre gyakorolt \u200b\u200bhatás minimalizálása érdekében, és ne érintse meg az eredeti dnsapi.dll-t. Kiderül, hogy ha létrehozhat egy szimlinkot az alkalmazáson, megkaphatja hálózati jogok. Alapértelmezés szerint csak a rendszergazdák joga van a szimklink létrehozásához, de elég ahhoz, hogy megtudja, hogy a felhasználónak a szimlink létrehozásához való jogát adja meg, hogy lehetőséget adjon neki a beépített tűzfal megkerülésére.

Miután a DllMain-tól a folyamat belsejében indul, létrehozhat egy folyamatot, és beállíthatja a lehallgatást. Nagyon egyszerű eset A DNS-szolgáltatásunk megmondja az ügyfélnek az IP-címét a névhez az UDP csomag küldésével, 53 porton keresztül a WS2_32.DLL-ről a Sendto Fuching-en keresztül. A szabvány feltételezi, hogy képes 53 TCP-port használni, ha a válasz túl nagy, és nyilvánvaló, hogy a Sendto ehhez való lejárt haszontalan lesz. Azonban, hogy kezelje az ügyet a TCP-vel, bár sokkal nehezebb, de ugyanúgy. Miközben elmondom a legegyszerűbb esetet az UDP-vel. Tehát tudjuk, hogy a DNS.EXE Import kódja a WS2_32.DLL funkciótól a Sendto és a DNS-kéréshez való válaszadáshoz. A funkciók leküzdéséhez nagyon sokat is van különböző módon, Klasszikus Ez a sprasing, amikor az első Sendto utasításokat a JMP-vel helyettesítik a funkciójukra, és befejezése után a Sendto utasítások korábban mentettek, majd a Sendto funkciót elvégzik. A kötés akkor is fog működni, ha a Sendto Hívás használatos GetProcaddress, és nem az importáblázat, de ha az importálódást használják, akkor a szétválasztás helyett könnyebb használni az IAT-kampót. Ehhez keresse meg az importálási táblázatot a DNS.EXE betöltött képében. Maga a táblázatnak van egy kissé zavaros szerkezete, és az elemeknek meg kell mennie a PE formátum leírásához.

A fő dolog az, hogy a rendszer betöltési folyamatának folyamata rögzíti az indexet a Sendto funkció kezdetéhez az importáblában. Ez azt jelenti, hogy a Sendto Hívás elfogása érdekében csak az eredeti SENDTO címét az importálási táblázathoz kell cserélnie a funkcióhoz.

Tehát meghatároztuk a lehallgatást, és elkezdtük kapni az adatokat. A Sendto prototípus funkció így néz ki:

Int sendto (_in_ socket s, _in_ const char * buf, _in_ int len, _in_ int flags, _in_ const struct sockaddr * to, _in_ int tolenc);
Ha S jelentése 53 portaljzat, akkor a BUF jelző a Len méretével a DNS-válasz leereszkedik. Maga a formátumot az RFC1035-ben ismertetjük, röviden leírom, hogy mit kell tennie ahhoz, hogy az érdeklődésre számot tartson.

A szabványos kommunikáció színvonalát a következőképpen írja le:

A címben a kívánt információ: Üzenet típusa, hibakód és elemek száma a szakaszokban. Maga a fejléc így néz ki:

Struct DNS_HEADER (UINT16_T ID; // azonosító szám UINT8_T RD: 1; // Rekurzió Kívánt UINT8_T TC: 1; // csonkolt üzenet UINT8_T AA: 1; // Authoritive válasz UINT8_T OPCODE: 4; // Üzenet célja UINT8_T QR: 1; // lekérdezés / válasz zászló UINT8_T RCODE: 4; // Válaszkód UINT8_T CD: 1; // A fogyatékkal élő UINT8_T AD: 1; // hitelesített adatok UINT8_T Z: 1; // A Z! Fenntartott UINT8_T RA: 1 ; // Rekurzió elérhető UINT16_T q_Count; // A kérdések száma UINT16_T ANS_COUNT; // A válasz bejegyzések száma UINT16_T AUTH_COUNT; // Hatósági bejegyzések száma UINT16_T Add_Count; // Erőforrás-bejegyzések száma);
A kérdés szakasznak meg kell szüntetnie a választ, hogy válaszoljon. Maga a szakasz olyan blokkból áll, amelyek a címben szerepelnek (Q_Count). Minden blokk nevét, típusát és osztályosztályát tartalmazza. A nevet vonalak sorrendként kódolják, amelyek mindegyike egy hosszú karakterláncú bájtot indít. Végül van egy sor nulla hosszúság. Például a Homedomain2008.ru név így fog kinézni:

A válaszok részeként úgy néz ki: a blokk egy név, típus, osztály, TTL és további adatokból áll. Az IP-címet az extrák tartalmazza. adat. Egy másik nehézség merül fel a név elemzésével. Nyilvánvaló, hogy csökkentse az üzenet méretét, a címke hossza helyett talál egy linket egy másik adatterületre. Tehát kódolva van: ha a 2 idősebb hossza 11, akkor a következő byte, a következő byte, valamint a fiatalabb hosszúsága, úgy kell értelmezni, mint az üzenet kezdetéhez viszonyított bájtok eltolódását. A név további elemzését kell végrehajtani ezen az eltolással.

Tehát elfogtuk a kívánt API-t, szétszereltük a DNS-választ, most meg kell döntenie a döntést: Ugrás erre a válaszra, vagy küldje vissza a hibát. Az adatbázisban még nem szereplő egyes nevek esetében meg kell vizsgálni a választ, hogy ez a "gyanús", vagy sem.
Az ilyen neveket "gyanús" fogjuk megfontolni, amelyre a csontvázfunkció eredménye az Unicode műszaki szabványból TR39 egybeesik az alapból származó nevek bármelyikének eredményével, vagy azok a nevek, amelyek eltérnek a doporóban jelenlévő belső betűktől. Az ellenőrzések végrehajtásához 2 táblázatot tárolunk. Az első az adatbázis összes nevét veszi igénybe, a második táblázatban írja meg az alapsorokból származó karakterláncokat az első és az utolsó szimbólum eltávolításával az első és az utolsó szimbólum eltávolításával az első szinten, majd rendezze a fennmaradó karaktereket minden címke. Most, ha egy új név egy két asztal egyik része, gyanúsnak tartjuk.

A csontváz funkció jelentése két vonal hasonlóságának meghatározásában, erre a szimbólumokat minden sorra normalizálják. Például az XLœ xloe-ra alakul át, és ezáltal összehasonlítva a funkció eredményét, meghatározhatja az Unicode sorok hasonlóságát.

A fentiekben ismertetett fent ismertetett példaként a githubot olvashatja.
Nyilvánvaló, hogy a gyakorlatban a szokásos védelem biztosítására vonatkozó határozat nem tud, mert a lefoglalt kis technikai problémák mellett nagy probléma merül fel a "hasonló" nevek kimutatásával. Jó lenne kezelni:

  • Permutációk és Umoglyphs kombinációi.
  • Hozzáadjuk a nem vett be a vázlatot.
  • UTS TR39 nem kimerül a csontváz, akkor még mindig korlátozhatja a karakterkészletek keverését egy címkében.
  • Japán teljes vázolt pont és más címke elválasztó.
  • Valamint szép dolgokat is

A DNS fertőzés vagy a DNS spoofing egyfajta Cyberak, amelyben a rendszer biztonsági réseit használják a DNS-kiszolgálón annak érdekében, hogy átirányítsa a legitim szerverek forgalmát a hamisításra.

Hogyan működik a DNS fertőzés vagy a DNS spoofing munka

A DNS-gyorsítótár fertőzésének kódja gyakran megtalálható a spam üzenetekben küldött URL-ekben. Ezekben az üzenetekben a támadók megpróbálják megijeszteni a felhasználókat, és ezáltal arra kényszerítik őket, hogy menjenek át a csatolt linken, amely viszont megfertőzi a számítógépüket. Bannerek és képek, mint például emailÉs a kétes helyszíneken is átirányíthatja a felhasználókat a kódra. A fertőzés után a számítógépek átirányítják a felhasználókat az eredeti weboldalakat utánzó hamis webhelyekre, így az ilyen kockázatoknak a fertőzésre kémprogramok, keylogera vagy férgek.

Kockázatok

A DNS-fertőzés különböző kockázatokat okoz, az adatok lopásával kezdődik. A bankok és a népszerű online áruházak helyei könnyen cserélhetők, ami azt jelenti, hogy bármilyen jelszó, hitelkártya vagy személyes adatok veszélybe kerülhetnek. És ha az informatikai biztonsági szolgáltatók szolgáltatója cseréje, a felhasználó számítógépe további kockázatoknak, például vírusokkal vagy trójai programokkal való fertőzésnek vethető alá, mivel a biztonsági rendszerek nem kapnak törvényes frissítéseket. Végül a DNS gyorsítótárfertőzés nagyon nehéz, mivel a fertőzött szerver tisztítása nem mentheti a számítógépet a problémától, és a kompromittált kiszolgálóhoz csatlakoztatott számítógépek tisztítása az újrafertőzéshez vezet. Szükség esetén a felhasználók megoldhatják a problémát, tisztíthatják a DNS gyorsítótárát.

A DNS-fertőzés megakadályozása érdekében a felhasználóknak nem szabad átmenniük az ismeretlen linkeken keresztül, és rendszeresen ellenőrizhetik számítógépüket rosszindulatú programokért. Mindig használja a számítógépen telepített program segítségével, nem az online verzió, amely szintén kicserélhető.

A Scaling egy meglehetősen érdekes támadási módszer, amelyet az IB területén számos szakembert tárgyalnak. És hiába, nagyon hiába. Ebből a cikkből meg fogod érteni, milyen megtévesztő ez a multimform világ. Ne higgyetek a szemed!

Figyelem

Minden információ kizárólag tájékoztató jellegű. Sem a szerkesztők, sem a szerző nem felelős az e cikk szerinti anyagok által okozott esetleges kárért.

Intro.

Gyakran, a kollégáktól a műhelyben kell hallani, hogy a spoofing, mint egy támadó vektor nem is fontolóra kell venni. Azonban merészelsz biztosítani Önt: Ha a heveder módszereket gondosan átgondolják, nagyon és nagyon is használhatod őket. És az ilyen támadások mértéke és eredményei néha katasztrofálisak. Végül is, ha egyszer megtéveszti a szemét, megtévesztem téged és tovább. A legfontosabb érv az a tény, hogy a vad támadások valódi veszélyt jelentenek - nem egyetlen személy, beleértve a szakembereket is, nem biztosítottak. Itt kell jegyezni, hogy maga a spoofing nem ad semmit: egy igazán hacker támadást végeznek, szükség van a kizsákmányolás utáni (utáni kiaknázás). A legtöbb esetben a poszt-kizsákmányolás célja, hogy standard menedzsment, növelje a rosszindulatú programok kiváltságait, tömegelosztását, és ennek eredményeként a személyes adatok és az elektronikus digitális billentyűk lopását a banki rendszerek további pénzmosással. Ebben a cikkben először azt szeretném elmondani, hogy mely módszerek vannak egyáltalán olyan módszerek a kifolyás, és másrészt részletesen mondani néhány modern megközelítés. Természetesen minden információt csak az Ön számára biztosítanak, hogy segítsen megvédeni az ilyen típusú támadások ellen.

Múltbeli és igazi gyógyfürdő

Kezdetben a "spoofing" kifejezést használták hálózati biztonságamely bizonyos adatok sikeres hamisítását jelenti annak érdekében, hogy jogosulatlan hozzáférést biztosítson a hálózati erőforráshoz. Idővel ez a kifejezés az info-biztonság más területeiben kezdett használni, bár az úgynevezett régi iskolai szakemberek többsége és ma továbbra is használja a "spoofing" szót, hogy tisztázza a hálózati támadások típusát.

Első idn klónok

Az Idn-Omographs-ot használó támadást először 2001-ben írták le Evgeny Gablovich és Alex Gonmeter az izraeli technológiai technológiai Intézet. A sikeres támadás első híres esete ez a módszer2005-ben a Shmoocon Hacker konferenciáján közzétették. A hackerek sikerült regisztrálni a PayPal.com domain (xn--pypal-4ve.com a Punycode-ban), ahol az első betű a cirillikus. A Slashdot.org kiadványának köszönhetően a nyilvánosság figyelmét felhívták a probléma, amely után mind a böngészők és a rendszergazdák sok domain felső szint Fejlett és végrehajtott ellenintézkedések.

Tehát, amikor a hálózat csak született, a programozók és a fejlesztők erőfeszítéseinek többsége elsősorban a hálózati protokollok működtetésére szolgáló algoritmusok optimalizálására irányult. A biztonság nem volt olyan kritikus, mint ma, és ő is, olyan gyakran történik, nagyon kevés figyelmet fordít. Ennek eredményeként kapunk banális és alapvető hibákat hálózati protokollokamelyek ma továbbra is léteznek, különféle típusú foltok ellenére (a megtérülés nem a protokoll logikai hibáját nem nyomja be). Itt van szükségünk, hogy a meglévő nézetben lévő hálózat egyszerűen nem fog túlélni. Például a cikkben "támadások a DNS: tegnap, ma, holnap" (] [ #5 2012) Beszéltem az alapvető sebezhetőségek katasztrofális következményeiről a DNS-rendszerekben - az UDP protokoll használata (amely a TCP / IP-vel ellentétben nem biztonságos, mivel nincs beépített mechanizmus a spoofing megelőzésére) és a helyi gyorsítótár.

Vektorok

A céltól és feladatoktól függően a spoofing vektorok helyi (helyi) és hálózati (nettó) irányba oszthatók. Ez az, hogy megvizsgáljuk ebben a cikkben. A helyi vektorban támadási objektumként az operációs rendszert leggyakrabban figyelembe veszik, az áldozat számítógépére telepítve, valamint bizonyos esetekre, amelyek gyakran további elemzést igényelnek, a helyzettől függően. Az objektumok támadása egy hálózati vektorral, ellenkezőleg több elterjedt. A legfontosabbak alkatrészek információs rendszerekmind a helyi, mind a globális hálózatok képviselve. Tekintsük a főfunkciós típusokat.

  1. TCP / IP & UDP - támadások a közlekedés szintjén. A TCP és az UDP protokollok szállításának alapvető hibái miatt a következő támadási típusok lehetségesek:
    • IP spoofing - Az ötlet az IP-cím helyettesítése a forrásmező értékének megváltoztatásával az IP csomag testében. A támadó címét helyettesíti, például annak érdekében, hogy a válaszcsomagot a kívánt címre hívja;
    • ARP spoofing - támadási technika az Ethernet hálózatokban, lehetővé téve a gazdák közötti forgalom elfogását. Az ARP protokoll használata alapján;
    • DNS cache mérgezés - szerver DNS-KESHA mérgezés;
    • NetBIOS / NBNS SPOOGING - A Microsoft hálózatokon belüli helyi gépek megoldásának jellemzői alapján.
  2. Referrer spoofing - helyettesítési hivatkozás.
  3. Fájlmegosztó hálózatok mérgezése - Adathalászat fájlmegosztó hálózatokban.
  4. Hívóazonosítótudás - A hívó telefonszámának helyettesítése VoIP hálózatokban
  5. E-mail cím spoofing - helyettesítés email címek Feladó.
  6. GPS spoofing - csomagok felosztása egy műholdból a GPS-eszköz megzavarásához.
  7. A hangposta spoofing a hangposta számok helyettesítése az adathalász áldozat jelszavakhoz.
  8. SMS SPOFING - SPLAFING módszer az SMS küldőszámának almenüjében.

A legújabb fejlemények a kifolyásban

A leggyakoribb technikák már eléggé és megverték. Globális hálózat Szó szerint a működésük lehetséges változatairól és védelméről való tájékoztatást jelent. Ma megnézzük a legújabb lépést, amelynek használata csak lendületet kap, a helyi vektoroktól kezdve, és a hálózatokkal végződik. Tehát minden rendben van.

Flamer és botrányos tanúsítványok Microsoft

Microsoft biztonsági tanácsadó (2718704) - A jogosulatlan digitális tanúsítványok lehetővé tehetik a spoofing lehetőséget. Egy meglehetősen érdekes dolog volt a szenzációs kém bot Flammer másolataiban: A rosszindulatú komponensek fordított mérnökeinek eredményei szerint a kódex egy szakaszát észlelték a sphinging támadási típus elvégzéséért. Az eredeti tanúsítványok rendelkezésre bocsátása után nagyvállalatok, Bot egy MITM támadást végzett, amelynek célja a felhasználók személyes adatainak lehallgatása volt vállalati hálózat A DEVERMER SERVER KÖVETKEZTETÉSE. Ez a spoofing incidens kapott biztonsági tanácsadást # 2718704 magas veszélyességi rangú.

Az operációs rendszerben.

1. Hosszabbítás Spoofing - File Expansion Spoofing

Technika, aki a fényt a kínai kutató fejlesztése miatt látta információ biztonság Zhitao Zhou. A technika lényege a 0x202E (RLO) vezérlő karakter használata a fájlnévben, amely lehetővé teszi a karakterek sorrendjének megváltoztatását, ha a fájlnév megjelenik windows Intéző (explorer.exe). Egy példát adok az egyszerű technika használatára:

Szuper zene 3 pm.scr

A 3 pm.scr fájl nem csak olyan végrehajtható fájlt képvisel, amely bizonyos funkciókat (trójai programot tartalmaz. - kb. Ha a "3 pm.src" fájlnév elején helyezze be a 0x202E vezérlőszimbólumot (lásd az 1. ábrát), akkor a karakterek és a fájlnév megváltoztatása a Windows Intézőben már másképp jelenik meg:

A RCS.MP3 által feltöltött szuper zene

A fájl ikonjának megváltoztatásához használjon bármely erőforrásszerkesztőt (helyreállító, erőforrás hacker). Ezt a technikát egy gondatlan felhasználónak tervezték, aki ezt a fájlt a dalra és nyitva tarthatja dupla kattintásEzáltal futtatja a rosszindulatú programot. Sajnos ez a technika nem fog működni a programokban - az Unicode támogató karmester analógjai. Az alábbiakban a C # kód, amely a fájl nevében változik a 0x202E vezérlő szimbólum hozzáadásával a kezdethez:

Nyilvános U_202E (fájl, karakterlánc, kiterjesztés, karakterlánc) dim d, integer \u003d file.lengnth - 4 dim u char \u003d CHAR \u003d CHRW (823) DIM T CHAR () \u003d extension.toCarArray () tömb DEST AS STRING \u003d FILE.SUBSTRING (0, D) & U & NEW STRING (T) & FILE.SUBSTRING (D) system.io.file.move (Fájl, Dest) End Sub

2. Fájlnév spoofing - fájlnév klónozás

Ezt a technikát a Yosuke Hasegawa japán kutatója képviseli a Biztonsági-Momiji konferencián. A nulla karakterek (nulla szélességű karakterek) használatán alapul, amelyek nem befolyásolják a fájlnév megjelenítését (lásd a 2. ábrát). Az alábbiakban az összes karakter a kategóriából:

U + 200B (nulla szélességű tér) - U + 200c (nulla szélességű nem csatlakozó) - U + 200D (nulla szélességű csatlakozó) - U + FEFF (nulla szélességű szünet) - U + 202A (balról jobbra) Beágyazás

Ezenkívül az UTF kódolása lehetővé válik a meglévő fájlok nevének meghamisításához. Ez a technika gyakran alkalmazza a modern Malwart-t. Véleményem területén a rosszindulatú emberek mintái az ilyen támadásokon találkoztak. Például a Malware Trojandropper: Win32 / Vundo.l (használt adathalászok Vk.com, Vkontakte.ru, * odnoklassniki.ru) magában foglalja ezt a technikát.


A% Systemroot% \\ System32 \\ Drivers \\ System32 \\ Drivers \\ ETC \\ Hosts fájlt átmásolták a "klón" fájlra UTF-szimbólummal "O" (0x043E), amely után az eredeti hosts fájl tulajdonított attribútum rejtett fájl. És annak tartalmát felülírták a következő rekordok hozzáadásával:

92.38.66.111 odnoklassniki.ru 92.38.66.111 vk.com 92.38.66.111 Vkontakte.ru


Stena webböngészők

1. Állapotsor / Link Spooof

A támadás elve a hipertext-kapcsolat címének dinamikus helyettesítése ( ). Például az áldozat felveszi az egeret a link felett, majd az állapotsor címe megjeleníti a címet, amelyhez ez a link vezet. A linkre kattintva a Sly JavaScript kód helyettesíti a dinamika átmenet címét. Az ismerős kutatója Nick Iamjuza-ről ismert, tanulmányozta és fejlesztette a POC-t a gyakorlatban a gyakorlatban, de fejlődése nem volt univerzális és csak bizonyos böngészőkön cselekedett. Hasonló tanulmányozás után sikeresebb eredményeket kaptam, sikerült elérni a SPHERE technika működésének sokoldalúságát minden böngészőmotor számára. A 1337Day.com erőforrásban bemutatják a koncepciót. A technikai megvalósítás így néz ki:

Módszer ez.href \u003d ":
Módszer helye.replace (""):
Methon location.assign (""):
Módszer window.location.assign (""):
Módszer window.location.replace (""):
Módszer window.location.href \u003d "":

A megadott HTML kód a megadott cím dinamikus helyettesítése ( www.google.com) a webhelycímre] [() a JavaScript eseményen alapuló módszerek alapján \u003d "".

2. URL-sáv-spoofing - helyettesítési linkek a böngésző címsorában

Első pillantásra lehetetlennek tűnik, de higgy nekem - ez csak egy feladat az olvasztás fejlődéséhez. Tekintsük a CVE-2011-1452 biztonsági rést, amely a címsor a rossz Google Chrome-ban a 11.0.0.696.57-es verzióra:

Kattints ide.

  • egy új ablak megnyílik (spoofing.php) hozzárendeléssel az "A" változóhoz;
  • miután 4500 mikroszekundum (4,5 másodperc) (window.setTimeout funkció), a visszatérés a történetét átmenetek vissza, amelyre a funkció a.history.back () rendelt változó „A” felelős;
  • 5000 mikroszekundum után az "A" változó új helyre van állítva a Spoofing.php-hez, amely ugyanabban a könyvtárban található.

Ez előfordul, hogy felülírja a címsorot az új URL-re az első oldal "szülő" keretében.

Következő sérülékenység CVE-2010-4045 (Opera<= 10.62):

Prof of Concept - Opera High Location Bar Sefing


Ha rákattint a gombra, amelyet a kép () ábrázol, az oldal (helye.Reload ()) automatikusan újraindul, miközben az aktuális fül keretében felülírhatja a címsávot.

Néhány fizetési / banki weboldal itt szerepel.
  1. indítsa el a POC-t. a POC futtatásához kattintson a gombra.



A "DEMO" gomb egyidejű megnyomása után a változó és a MyWindow objektum hozzárendeli az Apple.com webhelyét megnyitó funkció értékét, amely 200 × 100 méretű méretekkel rendelkezik, amely megfelel a Safari böngésző kiterjesztési területének mobileszközökhöz. A következő MyWindow további HTML (JavaScript / vb / etc) kódot valósít meg a Document.Write () funkció segítségével. A kompromissziós lépés a Safari böngésző összpontosítása a MyWindow objektumra.

A böngésző címsorában semmi sem bonyolult a böngésző címsorában, az egyetlen dolog - meg kell helyesen alkalmazni az olvasztást, ahol szükséges ;-).

3. Forráskód spoofing - Az oldal tartalmának helyettesítése és a forráskód

A működést az USA, 0x202E (RLO) szimbólummal már ismert UTF-8 menedzsernek köszönheti. A módszert a Virginia Tech Student John Kurlak felfedezte. A technika bemutatásához a JavaScript előzménye.Replacestate () funkciót használja, amely lehetővé teszi az oldal címét a Dynamics címsorában. Profi-koncepció (Source.html):

Forrás

Megtekintheti a forrásomat a krómból?

A forrásfájl source.html tartalma [% 20% 2e], de nem olyan könnyen ...

Ennek a módszernek a lényege, hogy az oldal forrásoldalának tartalmát helyettesítse az RLO vezérlő szimbólummal a fájl végén (lásd a 4. ábrát). Ha megpróbálja megtekinteni a forrás.html oldal forráskódját, megkapjuk a második forrás tartalmát.html% 20% 2E fájl. A gyógyfürdő meglehetősen érdekes és egzotikus mintája, nagyon furcsa nyereséggel, amint az első pillantásra tűnhet. Mi a legérdekesebb - ez a szkript lehetővé teszi, hogy "elrejtse" az oldal forráskódját, maszkolja nem csak a címkontextusban, hanem a gazdanév keretében is.


4. IDN klónok - technika a domainnevek megjelenítésének külső hasonlóságán alapulva

Itt nincs innováció, a technikát a DNS-rendszer kezdetétől gyakorolták, de az IDN (nemzetközi domainnevek - internacionalizált domainnevek) alkalmazása lehetővé tette a domain szinte megkülönböztethetetlen "klónok" létrehozását nevek. Az adathalász támadás technikai megvalósítása így néz ki:

  1. A tartománynév regisztrált, a leginkább hasonló a támadott domainnal való íráshoz. Jellemzően a betűk hasonlósága néhány betűtípusban (L betű és 1. ábra, az O betű és a 0 szám), a betűk kombinációinak hasonlósága (RN és M, CL és D).
  2. Az eredeti helyszín, amely a létrehozott "klón".
  3. Hivatkozások egy adathalász domainre (spam mail, spam a szociális hálózatokban, a típustípus népszerű szolgáltatásai révén, használhat iframe'ov, dorweev).
  4. Kiderül egy nyereséget :).

A domainnevek hasonlóságán alapuló fő különbség a domainnevek hasonlóságán alapulva, a hamis weboldalakkal szembeni más típusú adathalászokhoz képest - nem igényel interferenciát a hálózati protokollok működésével: technikai szempontból a tengeralattjáró domainje törvényes.

Az IDN-támadásoktól származó védelmi módszereket a 2005 közepe óta kezdték végrehajtani, amikor a domain névfelvevőit megállapodással fogadták el, amely korlátozza az IDN-tartomány regisztrálásának lehetőségét. Így a nemzetközi domain.org korlátozza a megengedett karakterek számát a kiterjesztett Latic egy vagy egy másik részhalmazával. De néhány gátlástalan regisztrátoroknak és olvasztásnak köszönhetően még ma is minden lehetőség van az adathalász domain regisztrálására.

Az omotív fenyegetés elleni védelem leginkább radikális változata az IDN dekódolás teljes elutasítása lenne megjelenítéskor. Ezután a tengeralattjáró neve mindig "XN" -al kezdődik, és egy olvashatatlan karaktersorozattal végződik, ami élesen megkülönböztette volna az eredetitől. Sajnos ez az opció szinte az IDN minden előnyét elutasítja.

Az ügyféloldalon lévő IDN-kindulózás fő védelme böngészőállapot. Ha a kurzort az állapotsorban lévő linkre helyezi, megjeleníti a Punycode Equalis IDN tartományt, amely azonnal javasol egy lehetséges adathalászatot. De ez nem pazacea, mindent láthat, ha keveréket alkalmazol ;-). Nézze meg az univerzális kihasználást minden böngészőmotorhoz.

Következtetés

A spoofing mindig igényes volt, mert ez az alap és garancia a sikeres támadások sok irányban történő megtartására. Remélem, a megfelelő következtetéseket követte. Legyen óvatos az interneten.