Meny
Är gratis
checka in
den huvudsakliga  /  Navigatörer / Attack DNS Spoofing DNS Spoofing är. Vi skriver plugin till Microsoft DNS-server för att skydda mot IDN-spoofing vad är DNS-spoofing

Attack DNS Spoofing DNS Spoofing är. Vi skriver plugin till Microsoft DNS-server för att skydda mot IDN-spoofing vad är DNS-spoofing

Taktiken att utfärda dig för någon för att få tillgång till konfidentiella data eller bankkonton används framgångsrikt inte bara av brottslingar i den verkliga världen, utan också deras kollegor på verkstaden i det virtuella utrymmet. Denna praxis kallas titeln - en kollektiv kategori, som innehåller begreppen i IP-adressinställningen (skicka meddelanden till datorer med hjälp av den pålitliga källans IP-adress), e-postspoofing (Fake rubriken för bokstäver för att maskera den sanna avsändaren) och DNS-spoofing (Ändra DNS-serverns inställningar för att vidarebefordra ett domännamn till Attackers IP-adress).

Hur fungerar spoofing?

Squealing är teknisk mottagning utfärdar dig själv för en annan person att lura nätverket eller specifik användare För att orsaka förtroende för tillförlitligheten av källan till information. Till exempel kan hackare via e-postspoofing vilseleda en användare angående autentisering av avsändaren och få tillgång till konfidentiella data. Eller de kan försöka tillämpa IP och DNS-förfrågningar, för att lura användarens nätverk och omdirigera det till bedrägliga platser, maskering under det verkliga, vilket innebär att användarens dator kommer att smittas.

Hur man känner igen spoofing?

Mest helt enkelt känner igen e-post-spoofing på grund av det faktum att det omedelbara målet är användaren själv. Alla meddelandemail Mail där användaren behöver personlig information, det kan vara ett försök att förstöra, särskilt om referenser begärs. Kom ihåg att ingen tillförlitlig privat eller statlig organisation begär personuppgifter på detta sätt. Var uppmärksam på avsändarens adress för att säkerställa dess legitimitet. Men användaren nästan aldrig känner igen att han har blivit ett offer för IP eller DNS-spoofing, även om vanan att betala nära uppmärksamhet åt detaljerna och förändringarna i det vanliga beteendet hos webbplatsen kan vara oerhört hjälpsamma. Om webbplatsen eller hans beteende orsakar det minsta tvivel, är det bättre att överge den schemalagda operationen för att spara data och finansiella medel.

Hur eliminerar du spoofing?

Spoofing är att dölja den sanna källan, så det är inte så lätt att "eliminera". Du kan bara skydda dig genom att följa sunt förnuft och observera de grundläggande reglerna för säkert arbete på nätverket, till exempel utan några omständigheter utan att berätta personuppgifterna på EL. E-post, även om avsändarens rykte är utan tvekan.

Hur man varnar spoofing
  • Svara inte på meddelanden där du uppmanas att skicka dina personliga eller referenser.
  • Kontrollera försiktigt adressen till avsändaren
  • Var uppmärksam på den främsta i beteende eller skillnader i detaljerna på de webbplatser som är vanliga
Säkra dig själv från en slampa

Å ena sidan kan definitionsskyddet vara i slutsats i de grundläggande principerna för säkert arbete på Internet. Men du kan göra mycket mer för din egen säkerhet. Först och främst kan du förmedla skyddet av din dator och de data som är lagrade i den med en kraftfull antiviral lösning, till exempel, en av de utvecklade AVAST, som säkert skyddar mot bedrägliga webbplatser och blockvirus som försöker tränga in i ditt nätverk.

DNS-substitution (DNS-spoofing)

DNS-system ( DOMÄNNAMNSSYSTEM.) Omvandlar domän namn (Till exempel www.test.com) i sin IP-adress (till exempel 192.168.0.1) och vice versa. Denna attack använder tekniken för att skicka falska svar på DNS-offren. Attacken är baserad på två huvudmetoder.

DNS ID (DNS ID Spoofing)

DNS-protokollpakethuvudet innehåller ett identifieringsfält för att matcha frågan och svaren. Målet med DNS-ID-ändringarna är att skicka ditt svar till DNS-förfrågan innan den här DNS-servern svarar. För att utföra detta måste du förutsäga frågeidentifieraren. Lokalt implementeras det genom att helt enkelt lyssna på nätverkstrafik. Men distans utföra denna uppgift mycket svårare. Det finns olika metoder:

    kontrollera alla tillgängliga identifieringsfältvärden. Det är inte särskilt praktiskt, eftersom det totala antalet möjliga värden är 65535 (fältstorlek 16 bitar);

    skickar flera hundra DNS-förfrågningar i rätt ordning. Självklart är denna metod inte särskilt tillförlitlig;

    att hitta en servergenererande förutspådda identifierare (till exempel ökar med 1). Denna typ av sårbarhet är inneboende i vissa versioner av bindning och windows-system 9x.

I alla fall måste du svara på en riktig DNS-server. Detta kan uppnås, till exempel genom att utföra en attacktyp "misslyckande med att behålla" mot servern.

För en lyckad attack måste en angripare styra DNS-servern (N.ATTEAQUANT.COM), auktoritativ för Attaquant.com-zonen. Mål DNS-servern (ns.cible.com) genererar förmodligen förutspådda identifikationsnummer (ökar med 1 varje gång).

Attack kräver utförandet av fyra steg:

Som ett resultat kommer cacheminnet av mål DNS-servern att innehålla den överensstämmelse som krävs av angriparen och följande kunder som frågar adressen www.spooofed.com kommer att rapporteras av Attacker-maskinens adress. Den kan publiceras en kopia av den här webbplatsen, med vilken angriparen kan stjäla konfidentiell information.

Byt DNS cacheförgiftning

DNS-servern använder cache för att lagra resultaten från tidigare frågor under en tid. Detta görs för att undvika permanenta inspelningsreussioner till auktoriserade servrar av relevanta domäner. Den andra versionen av attacken som riktas till DNS-substitutionen ändras cache dns. Server. Här är ett exempel:

Vi använder samma data som i föregående exempel. Här är de viktigaste punkterna i det här alternativet att attackera:

    skicka en DNS-förfrågan till upplösningsnamnet på www.attaquant.com DNS-server på Cible.com-domänen;

    mål DNS Server Shotvet Begär Tillståndsgodkännande efter www.attaquant.com DNS-server av angriparen;

IDN Spoofing är generering av domännamn "liknande" till den valda, vanligtvis används för att tvinga användaren att följa länken till affärsresursen. Därefter, överväga ett mer specifikt attackalternativ.

Föreställ dig att det angripna företaget äger domänorganisationen.org, och inom detta företag använder en intern resurs av portal.organisation.org. Syftet med angriparen är att betala användaruppgifterna, och för detta skickar den en länk via ett e-postmeddelande eller används i bolaget Messenger.

Efter att ha fått ett sådant meddelande med hög sannolikhet kan du inte märka att länken leder någonstans fel. Efter länken på länken kommer att begäras av inloggningsadressen, och offret, tänker att det är i hushållsresursen, introducerar data till dess konto. Attackerens chanser är särskilt hög om han redan tränger igenom omkretsen, vilket äventyrar systemet för någon anställd, och kämpar nu med systemadministratörens privilegier.

Det absoluta "dåre skyddet" kommer inte att komma hit, men du kan försöka avlyssna denna attack på tillståndssteget i namnet via DNS-förfrågan.

För att skydda måste vi konsekvent memorera namnen i de avlyssna DNS-förfrågningarna. Företaget använder sina interna resurser, då kommer vi snabbt att hitta tillräckligt med förfrågan till Portal.Organization.org. Så snart vi mötte namnet "liknande" till det tidigare uppstått kan vi ersätta DNS-svaret genom att returnera ett fel istället för en IP-adress för angriparen.
Vad kan vara definitionalgoritmerna för "liknande"?

  • UTS39 Confuleras detektering (http://www.unicode.org/reports/tr39/#confusable_detection) Unicode är inte bara värdefulla pälsbordssymboler, men också en massa standarder och rekommendationer. I UTS39 definieras algoritmen för normalisering av Unicode-raden, i vilka linjer som skiljer sig med omoglyphs (till exempel ryska "A" och latin "A") kommer att ges till samma form.
  • Ord kännetecknas av permutationer av interna bokstäver. Ganska lätt förvirrad organisation.org och orgainzation.org
  • Ersätter domänen på den första nivån. Den första nivån av namnet gör vanligtvis ingen mening och medarbetaren av det företag som ser "organisation" kan ignorera skillnaden i v.org eller.net, även om undantag är möjliga här.
Mest troligt kommer företagsservern inte att binda, vilket är standarden snarare för webbhotell eller leverantörer, men Microsoft DNS-server på grund av allestädes närvarande användning av Active Directory. Och jag hittade inte det första problemet som jag stött på när jag skrev ett filter till Microsoft DNS-server - jag hittade inte filtrering av DNS-frågorna. Detta problem kan lösas på olika sätt, jag valde en injektion av DLL och IAT-krok på arbetsplatsen med uttag.

För att förstå tekniken kommer det att finnas en kunskap om PE-format, du kan till exempel läsa mer. Den körbara filen består av rubriker, sektioner tabeller och sektioner själva. Sektionerna själva är ett datablock som bootloader måste visas i minnet på den relativa adressen (relativ virtuell adress - RVA), och alla resurser, kod, andra data finns i insidan. Också inuti rubriken finns länkar (RVA) på ett antal tabellapplikationer som krävs för arbetet, tvåpunkts import- och exportbord kommer att vara viktigt i den här artikeln. Importtabellen innehåller en lista med funktioner som är nödvändiga för programmet, men finns i andra filer. Exportbordet är "Reverse" -bordet som innehåller en lista över funktioner som exporteras från den här filen, eller, när det gäller exports vidarebefordran, är filnamnet och namnet på funktionen specificerat för att lösa beroendet.

DLL-injektionen kommer att göras utan all boning createremotehread. Jag bestämde mig för att använda PE export-vidarebefordran - det här är en långkänd antagning, när man ska starta i önskad process, i katalogen med en EXE-fil, skapas en DLL med namnet som är lika med någon DLL från EXE-filimportbordet ( Det viktigaste är att inte använda HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlset \\ Control \\ Session Manager \\ Qetsdlls). I den skapade DLL kopieras exportbordet från mål DLL, men istället för en pekare till koden för den funktion som exporteras måste du spela in RVA på den framåtsträngen av typen "Endpoint! Sendto". Microsoft DNS-servern är implementerad som ett HKEY_LOCAL_MACHINE \\ SYSTEM \\ Aktuellt, som ligger i% Systemroot% \\ System32 \\ dns.exe

Den slutliga injektionsalgoritmen i dNS-server. Kommer vara:

  • Skapa en katalog% SystemRoot% \\ System32 \\ DNSFLT (du kan någon annan, hitta en katalog i System32 valfritt).
  • Kopiera% Systemroot% \\ System32 \\ dnsapi.dll Det finns en DLL som dns.exe importerar något, du kan välja vilken annan "icke-kända".
  • Vi byter namn på den kopierade dll i Endpoint.dll - det här namnet kommer att användas i framåtsträngen.
  • Vi tar vår injicerade DLL och lägger till rätt exportbord i den, kopiera vår DLL i% SystemRoot% \\ System32 \\ DNSFLT
  • I registret i nyckel HKEY_LOCAL_MACHINE \\ SYSTEM \\ CURRENTCONTROLSET \\ SERVICES \\ DNS Ändra i ImagePath Ny adress till batteriet% SystemRoot% \\ System32 \\ DNSFLT \\ DNS.EXE
  • Skapa Simlink från% Systemroot% \\ System32 \\ DNSFLT \\ DNS.EXE i% SystemRoot% \\ System32 \\ DNS.EXE
Varför då sista steget? Faktum är att Windows har en inbyggd brandvägg, och som standard i windows Server Rätten att lyssna på 53-porten är endast på applikation% Systemroot% \\ System32 \\ dns.exe. När du försöker köra den från en annan katalog av rättigheter för att komma åt nätverket kommer det att finnas nej. Varför kopierade jag det alls? För att minimera påverkan på hela systemet och inte röra den ursprungliga dnsapi.dll. Det visar sig att om du kan skapa en symlink på programmet kan du få det nätverksrättigheter. Som standard finns det bara administratörsrätt att skapa symlink, men det är tillräckligt att ta reda på det genom att ge användaren rätt att skapa symlink, ger du honom möjlighet att kringgå den inbyggda brandväggen.

När du har startat inuti processen från Dllmain kan du skapa en ström och ställ in avlyssningen. I mycket enkelt fall Vår DNS-tjänst kommer att berätta för kunden en IP-adress för namnet genom att skicka ett UDP-paket med 53 port via Sendto Fuching från WS2_32.dll. Standarden förutsätter förmågan att använda 53 TCP-portar, om svaret är för stort, och det är uppenbart att avlyssningen av Sendto i det här fallet kommer att vara värdelös. Men för att hantera ärendet med TCP, men mer mödosam, men på samma sätt. Medan jag kommer att berätta det enklaste fallet med UDP. Så vi vet att koden från DNS.EXE importerar från WS2_32.dll-funktionen Sendto och kommer att använda den för att svara på en DNS-begäran. För avlyssning av funktioner finns det också ganska mycket på olika sätt, Klassisk denna splassning, när de första sändningsinstruktionerna ersätts med JMP till sin funktion och efter dess slutförd. Sendto-instruktionerna sparades tidigare och sedan utförs SENDTO-funktionen. Splicing fungerar även om Sendto-samtalet kommer att användas GetProcAddress, och inte importbordet, men om importbordet används, är det istället för att splitera det lättare att använda en IAT-krok. För att göra detta, hitta importbordet med import i den laddade bilden av DNS.EXE. Tabellen har en något förvirrande struktur och för objekten måste gå till beskrivningen av PE-formatet.

Det viktigaste är att systemet i färd med att ladda bilden kommer att spela in indexet till början av Sendto-funktionen i importtabellen. Det innebär att du bara behöver byta adress för den ursprungliga Sendto-adressen för att avlyssna meddelandet till det ursprungliga Sendto till importbordet.

Så vi sätter upp avlyssningen och började ta emot data. Prototypfunktionen Sendto ser ut så här:

Int sendo (_in_ socket s, _in_ const char * buf, _in_ int len, _in_ int flaggor, _in_ const struktur sockaddr * till, _in_ int tolen);
Om S är ett 53 portuttag, kommer BUF-indikatorn att ligga ner i DNS-svaret med storleken på LEN. Formatet i sig beskrivs i RFC1035, jag kommer kortfattat att beskriva vad du behöver göra för att komma till uppgifterna om intresse.

Kommunikationsstandarden i standarden beskrivs som följer:

I titeln från önskad information: Meddelandeyp, Felkod och antal element i sektioner. Huvudet själv ser ut så här:

Struktur DNS_Header (UINT16_T ID; // Identifikationsnummer Uint8_T RD: 1; // recursion önskad Uint8_T TC: 1; // Avkortad meddelande Uint8_T AA: 1; // auktorit svar uint8_t opcode: 4; // Syfte med meddelande uint8_t QR: 1; // fråga / svar flagga uint8_t rcode: 4; // Response Code uint8_t CD: 1; // Kontroll avaktiverad uint8_tannons: 1; // Autentiserad data Uint8_T Z: 1; // dess Z! Reserverat Uint8_t Ra: 1 ; // recursion tillgänglig uint16_t q_count; // Antal av frågeposter uint16_t ans_count; // Antal svarposter uint16_t auth_count; // Antal auktoritetsposter uint16_t add_count; // Antal resursuppgifter);
Frågavdelningen måste demontera för att kunna svara. Sektionen i sig består av ett sådant antal block som anges i titeln (Q_count). Varje block består av ett namn, typ och klassklass. Namnet kodas som en linjesekvens, varav som börjar med en byte med en lång sträng. I slutet är det en rad med nolllängd. Till exempel kommer namnet homedomain2008.ru att se ut så här:

Svarsdelen ser ut: Blocket består av ett namn, typ, klass, TTL och ytterligare data. IP-adressen kommer att innehålla extrafunktioner. data. En annan svårighet uppstår med analysen av namnet. Tydligen, för att minska storleken på meddelandet, istället för etikettlängden, kan du hitta en länk till ett annat dataområde. Den kodas så: Om den 2 lediga biten av längd är lika med 11, ska nästa byte, liksom de yngre bitarna tolkas som ett skifte i byte i förhållande till början av meddelandet. Ytterligare analys av namnet måste utföras genom att gå på denna förskjutning.

Så, vi avlyssnade önskade API, demonterade DNS-svaret, nu måste du fatta ett beslut: Hoppa över det här svaret eller returnera felet. För varje namn som ännu inte är närvarande i databasen är det nödvändigt att kolla in svaret om det är "misstänkt" eller inte.
Vi kommer att överväga sådana namn "misstänkta" för vilka resultatet av skelettfunktionen från Unicode Technical Standard TR39 sammanfaller med resultatet från något av namnen från basen, eller de namn som skiljer sig från de interna bokstäverna som finns i dofterna. För att genomföra kontroller lagrar vi 2 tabeller. Den första kommer att bestå av skelettresultat för alla namn från databasen, i det andra bordet skriv de strängar som erhölls från basraderna genom att ta bort den första och sista symbolen från varje etikett än den första nivån och sedan sortera de återstående tecknen av varje tagg. Nu, om ett nytt namn är en del av en av två tabeller, anser vi det misstänksamt.

Betydelsen av skelettfunktionen vid bestämning av likheten hos två linjer, för detta normaliseras symbolerna för varje rad. Till exempel omvandlas XLœ till Xloe, och därigenom jämföra resultatet av funktionen kan du bestämma likheten med Unicode rader.

Med ett exempel på att implementera ovanstående ovan kan du läsa GitHub.
Självklart kan det angivna beslutet i praktiken inte ge det normala skyddet, förutom att små tekniska problem med avlyssningen är ett stort problem med detekteringen av "liknande" namn. Det skulle vara trevligt att hantera:

  • Kombinationer av permutationer och umoglyfer.
  • Lägga till \\ Byt tecknen som inte beaktas skelett.
  • UTS TR39 avgaser inte skelett, du kan fortfarande begränsa blandningen av teckenuppsättningar i en etikett.
  • Japansk fulländad punkt och annan etikettseparator.
  • Liksom vackra saker som

DNS-infektion eller DNS-spoofing är en typ av cyberak, där system sårbarheter används i DNS-servern för att omdirigera trafik från legitima servrar till falska.

Hur fungerar DNS-infektion eller DNS-spoofing

Koden för infektion i DNS-cachen finns ofta i de webbadresser som skickas i skräppostmeddelanden. I dessa meddelanden försöker angripare skrämma användare och därigenom tvinga dem att gå igenom den bifogade länken, vilket i sin tur kommer att infektera sin dator. Banderoller och bilder som i e-postOch på tvivelaktiga platser kan också omdirigera användare till den här koden. Efter infektion kommer datorer att omdirigera användare till falska webbplatser som imiterar ursprungliga webbsidor, vilket således exponerar dem för sådana risker som infektion spionprogram, keylogera eller maskar.

Risker

DNS-infektion orsakar olika risker, med början med stöld av data. Webbplatser för banker och populära nätbutiker ersätts enkelt, vilket innebär att ett lösenord, ett kreditkort eller personuppgifter kan äventyras. Och om Security Leverantörs webbplatser ersätts kan användarens dator utsättas för ytterligare risker, såsom infektion med virus eller trojakprogram, eftersom säkerhetssystemen inte kommer att få legitima uppdateringar. Slutligen är DNS-cacheinfektionen mycket svårt, eftersom rengöringen av den infekterade servern inte sparar datorn från problemet, och rengöring av datorer som är anslutna till den kompromiserade servern leder till deras återinfektion. Om det behövs kan användarna lösa problemet, rensa deras DNS-cache.

För att förhindra DNS-infektion bör användarna inte passera genom okända länkar och kontrollera regelbundet sin dator för skadliga program. Gör alltid det med det program som är installerat på din dator, inte onlineversionen, som också kan bytas ut.

Squealing är en ganska intressant metod för attacker, som många yrkesverksamma inom IB är förhandlade. Och förgäves, mycket förgäves. Från den här artikeln kommer du att förstå hur bedräglig denna multiform värld kan vara. Tror inte på dina ögon!

Varning

All information tillhandahålls enbart för informationsändamål. Varken redaktörerna eller författaren ansvarar för eventuell skada som orsakas av materialet i denna artikel.

Intro.

Ofta, från kollegor på verkstaden måste jag höra att spoofing som en attackvektor inte ens bör överväga. Men du vågar försäkra dig: om slingmetoderna är noggrant genomtänkta kan du använda dem för mycket och mycket. Och skalan och resultaten av sådana attacker är ibland katastrofala. När allt kommer omkring, lura dina ögon en gång, kommer jag att lura dig och på. Det viktigaste argumentet till förmån för det faktum att Spoof-attacker representerar en verklig fara - inte en enda person, inklusive yrkesverksamma, är inte försäkrade. Det bör noteras här att spoofing själv inte ger något: att utföra en riktigt hackerattack, är det nödvändigt att använda efter exploatering (efter exploatering). I de flesta fall är målet om efter exploatering att vara i standardupptagning av förvaltningen, vilket ökar privilegierna, massfördelningen av skadliga program och, som ett resultat, stöld av personuppgifter och elektroniska digitala nycklar av banksystem med ytterligare penningtvätt. I den här artikeln vill jag för det första berätta om vilka metoder alls det finns metoder för att spruta, och för det andra berätta i detalj om några moderna tillvägagångssätt. Naturligtvis tillhandahålls all information till dig bara med målet att bidra till att skydda mot denna typ av attacker.

Tidigare och äkta spa

Ursprungligen användes termen "spoofing" som en term nätverkssäkerhetvilket innebär en framgångsrik förfalskning av vissa data för att få obehörig åtkomst till en nätverksresurs. Med tiden började denna term användas inom andra områden av informationssäkerhet, även om de flesta av de så kallade gamla skolspecialisterna och idag fortsätter att använda ordet "spoofing" för att klargöra typen av nätverksattacker.

Första IDN-kloner

En attack som använder IDN-Omografier först beskrivs 2001 Evgeny Gablovich och Alex Gonmeter från det israeliska teknikinstitutet. Det första berömda fallet med en framgångsrik attack som använder den här metodenpresenterades för offentliggörande 2005 på Shmoocon Hacker Conference. Hackers lyckades registrera PayPal.com-domänen (xn--pypal-4ve.com i Punycode), där den första bokstaven A är cyrillic. Tack vare publikationen på Slashdot.org drogs allmänhetens uppmärksamhet på problemet, varefter både webbläsare och administratörer av många domäner högsta nivån Utvecklade och implementerade motåtgärder.

Så, när nätverket bara föddes, var de flesta av programmättarnas och utvecklarens ansträngningar främst att optimera algoritmer för drift av nätverksprotokoll. Säkerhet var inte så kritisk som idag, och hon, så ofta, det händer, betalade mycket liten uppmärksamhet. Som ett resultat får vi banala och grundläggande fel i nätverksprotokollsom fortsätter att existera idag, trots olika typer av fläckar (för ingen återbetalning, driver inte protokollets logiska fel). Här behöver vi totala förändringar som nätverket i den befintliga vyn helt enkelt inte kommer att överleva. Till exempel, i artikeln "attacker på DNS: igår, idag, imorgon" (] [ #5 2012) Jag pratade om de katastrofala konsekvenserna av grundläggande sårbarheter i DNS-system - med hjälp av UDP-protokollet (vilket, till skillnad från TCP / IP, är osäker, eftersom det inte har en inbyggd mekanism för att förhindra en spoofing) och lokal cache.

Vektorer

Beroende på syfte och uppgifter kan spoofingvektorerna delas in i lokala (lokala) och nätverks (net) riktningar. Det är dem att vi kommer att överväga i den här artikeln. Som ett angreppsobjekt i en lokal vektor anses OS i sig oftast, installerat på offrets dator, liksom en viss typ av ansökan, som ofta kräver ytterligare analys, beroende på situationen. Objektattacker med en nätverksvektor, tvärtom, är mer frommen. De viktigaste är komponenter informationssystemrepresenterad av både lokala och globala nätverk. Tänk på de huvudsakliga typerna av spa.

  1. Spoofing TCP / IP & UDP - Anfall på transportnivån. På grund av de grundläggande felen av transporten av TCP och UDP-protokoll är följande typer av attacker möjliga:
    • IP-spoofing - Tanken består i substitutionen av IP-adressen genom att ändra källfältvärdet i IP-paketkroppen. Den används för att ersätta Attackerens adress, till exempel för att åberopa ett svarpaket till önskad adress.
    • ARP Spoofing - En attackteknik i Ethernet-nätverk, vilket möjliggör att avlyssna trafik mellan värdar. Baserat på användningen av ARP-protokollet
    • DNS Cache-förgiftning - Server DNS-Kesha-förgiftning;
    • NetBios / NBNS-spoofing - Baserat på funktionerna i de lokala maskinerna i Microsoft Networks.
  2. Referrer Spoofing - Substitution Refere.
  3. Förgiftning av fildelningsnätverk - Phishing i fildelningsnätverk.
  4. Uppringnings-ID-spoofing - Substitution av ett ringer telefonnummer i VoIP-nätverk
  5. E-postadress Spoofing - Substitution mejladresser Avsändare.
  6. GPS-spoofing - subtittitution av paket från en satellit för att förvirra GPS-enheten.
  7. Röstpost Spoofing är en substitution av röstbrevlådans nummer för att phishing offer lösenord.
  8. SMS-spoofing-SPLAFING-metod baserat på undermenyn av SMS-avsändarens nummer.

Den senaste utvecklingen i sprutningen

De vanligaste teknikerna är redan ganska gamla och slagna. Globalt nätverk Bokstavligen tenderar information om eventuella variationer av deras operation och skydd mot dem. Idag kommer vi att titta på några nyaste metoder för att spruta, vars användning bara får fart, från och med lokala vektorer och slutar med nätverk. Så, allt är i ordning.

Flamer och skandalösa spoofingcertifikat Microsoft

Microsoft Security Advisory (2718704) - Obehöriga digitala certifikat kan tillåta spoofing. En ganska intressant sak hittades i kopiorna av den sensationella Spy Bot Flamer: Enligt resultaten av den omvända tekniken av komponenterna i denna skadliga, detekterades en sektion av koden som var ansvarig för att genomföra en sfingizingattangentyp. Imiterar tillhandahållande av ursprungliga certifikat stora företag, Bot utförde en mitm-attack, vars syfte var avlyssningen av personuppgifter för användare företagsnätverk Med efterföljande sändning till utvecklarens server. Denna spoofing incident fick säkerhetsrådgivning # 2718704 med hög faror.

Squealing i OS.

1. Förlängning Spoofing - fil expansion spoofing

Teknik som såg ljuset på grund av utvecklingen av den kinesiska forskaren på fältet informationssäkerhet Zhitao Zhou. Kärnan i denna teknik är att använda funktionen 0x202e (RLO) i filnamnet, vilket gör att du kan ändra ordningen för tecken när filnamnet visas i windows utforskaren (Explorer.exe). Jag kommer att ge ett exempel på att använda denna enkla teknik:

Supermusik uppladdad av 3 pm.scr

File 3 pm.scr representerar ingenting annat än en körbar fil som implementerar vissa funktioner (Trojan-programmet. - ca. Redaktör). Om i början av filnamnet "3 pm.src" sätter in 0x202e-kontrollsymbolen (se bild 1), visas proceduren för tecken på baksidan och filnamnet i Windows Explorer redan annorlunda:

Supermusik uppladdad av rcs.mp3

För att ändra filikonen, använd någon resursredigerare (Restorator, Resurshacker). Denna teknik är utformad för en slarvig användare som kan ta den här filen för låten och öppna dubbelklickaDärigenom kör det skadliga programmet. Tyvärr kommer denna teknik inte att fungera i program - analoger av ledaren som stöder Unicode. Följande är C # -koden, som utför en ändring i filens namn genom att lägga till 0x202e-kontrollsymbolen till början:

Public Sub U_202E (fil som sträng, förlängning som sträng) dim d som heltal \u003d fil.length - 4 dim u som char \u003d chrw (823) dim t som char () \u003d förlängning.tocaraRray () array.reverse (t) dim Dest som sträng \u003d fil.substring (0, d) & u & new sträng (t) & file.substring (d) system.io.file.move (file, dest) end sub

2. Filnamn Spoofing - Filnamn Kloning

Denna teknik representerades av den japanska forskaren Yosuke Hasegawa på Security-Momiji-konferensen. Den är baserad på användningen av nolltecken (nollbreddstecken), som inte påverkar displayen på filnamnet (se fig 2). Nedan finns alla tecken från den här kategorin:

U + 200B (nollbreddsutrymme) - U + 200C (nollbredd icke-snickare) - U + 200d (nollbredd snickare) - U + Feff (nollbredd no-break space) - U + 202A (vänster-till-höger Inbäddning)

Dessutom är det möjligt att använda UTF-kodning för att förfalska namnen på befintliga filer. Denna teknik tillämpar ofta modern malwar. På min uppfattning kom prover av skadliga människor över sådana attacker. Till exempel, Malware Trojandropper: Win32 / Vundo.l (används för phishing sites vk.com, vkontakte.ru, * odnoklassniki.ru) innebär denna teknik.


Filen% SystemRoot% \\ System32 \\ Drivers \\ etc \\ Hosts har kopierats till "klon" -filen med UTF-symbol "O" (0x043e), varefter originalet värdfilen tillskrivet attribut dold fil. Och dess innehåll skrivits över med tillsatsen av följande poster:

92.38.66.111 Odnoklassniki.ru 92.38.66.111 vk.com 92.38.66.111 vkontakte.ru


Stena Webbläsare

1. Status Bar / Link Spooof

Principen om denna attack ligger i den dynamiska substitutionen av adressen till hypertextlänken ( ). Till exempel anställer offret musen över länken, varefter adressen i statusfältet visar adressen till vilken länk leder. Efter att ha klickat på länken ersätter Sly JavaScript-koden adressen till övergången i dynamiken. Min välbekanta forskare, känd för Nick Iamjuza, studerade och utvecklade en POC för driften av denna teknik i praktiken, men dess utveckling var inte universell och handlade endast på specifika webbläsare. Efter att ha utfört en liknande studie fick jag mer framgångsrika resultat, lyckades uppnå mångsidighet av driften av denna sfärsteknik för alla webbläsarmotorer. Prof-of-koncept publiceras på resursen 1337day.com. Tekniskt genomförande ser ut så här:

Metod this.href \u003d ":
Metod Plats.Replace (""):
Methon plats.assign (""):
Metod Window.Location.assign (""):
Metod Window.Location.replace (""):
Metod window.location.href \u003d "":

HTML-koden ges är den dynamiska substitutionen av den angivna adressen ( www.google.com) till webbplatsadressen] [() av \u200b\u200bolika typer av metoder baserade på JavaScript-händelsen OnClick \u003d "".

2. URL Bar Spoofing - Substitution Länkar i adressfältet i webbläsaren

Vid första anblicken verkar det omöjligt, men tro mig - det här är bara en uppgift för utvecklingen av smältningen. Tänk på CVE-2011-1452 sårbarheten, vilket är adresssträngen i fel Google Chrome till version 11.0.0.696.57:

Klicka här.

  • ett nytt fönster öppnas (spoofing.php) med uppdrag till variabeln "A";
  • efter 4500 mikrosekunder (4,5 sekunder) (Window.SettimeOut-funktionen) returneras en avkastning på övergångshistoria, för vilken funktionen A.History.Back () som tilldelats variabeln "A" är ansvarig.
  • efter 5000 mikrosekunder är variabeln "A" inställd på en ny plats till spoofing.php, som ligger i samma katalog.

Detta inträffar för att skriva över adresssträngen till den nya webbadressen i samband med första sidan "förälder".

Nästa sårbarhet CVE-2010-4045 (Opera<= 10.62):

Prof av koncept - Opera High Location Bar Spoofing


När du klickar på knappen, som representeras av bilden (), startas sidan (plats.Reload ()) automatiskt, medan det är möjligt att skriva över adressfältet i samband med den aktuella fliken.

Några betalning / bankwebbplats ingår här.
  1. starta POC. klicka på knappen för att köra POC.



Efter att ha tryckt på "demo" -knappen, samtidigt är variabeln och MyWindow-objektet tilldelat värdet på den funktion som öppnar Apple.com-webbplatsen med dimensioner på 200 × 100, vilket motsvarar Safari-webbläsarutvidgningsområdet för mobila enheter. Följande MyWindow implementerar ytterligare HTML-kod (JavaScript / VB / etc) med funktionen Document.write (). CombRIrisonment-steget är att bifoga Safari-webbläsaren fokusera på MyWindow-objektet.

Det finns inget komplicerat i adressen Slut i adressfältet i webbläsaren, det enda du behöver korrekt använda smältningen där det krävs ;-).

3. Källkod Spoofing - Substitution av innehållet på sidan och källkoden

Driften implementeras tack vare UTF-8-chefen som redan är känd för oss, 0x202e (RLO). Metoden upptäcktes av Virginia Tech Student John Kurlak. För att demonstrera tekniken använde den funktionen JavaScript History.replacestate (), som låter dig ändra sidadressen i adressfältet i dynamiken. Prof-of-concept (source.html):

Källa

Kan du se min källa från Chrome?

Innehållet i källfilen .html [% 20% 2e] Du kan, men inte så enkelt ...

Kärnan i denna metod är att ersätta innehållet på källsidan på sidan med hjälp av tricket med RLO-kontrollsymbolen i slutet av filen (se bild 4). När du försöker visa källkoden för Source.html-sidan, får vi innehållet i den andra källan.html% 20% 2e-filen. Ett ganska intressant och exotiskt mönster av ett spa, med en mycket konstig vinst, som du kanske verkar vid första anblicken. Vad är det mest intressanta - det här skriptet låter dig "dölja" källkoden på sidan, maskera den inte bara i adresskontexten, men också i samband med värdnamnet.


4. IDN Clones - Teknik baserad på den yttre likheten hos displayen av domännamn

Det finns ingen innovation här, tekniken praktiserades från början av DNS-systemet, men det var användningen av IDN (internationella domännamn - internationaliserade domännamn) gjorde det möjligt att genomföra skapandet av nästan oskiljbara "kloner" av domän namn. Tekniskt genomförande av Phishing Attack ser ut så här:

  1. Ett domännamn är registrerat, det mest liknar att skriva med den angripna domänen. Typiskt, likheten med bokstäver med siffror i vissa teckensnitt (bokstav L och Figur 1, bokstaven O och siffran 0), likheten med kombinationerna av bokstäver (RN och M, Cl och D).
  2. Ansiktet på den ursprungliga platsen, som placeras på den skapade "klonen".
  3. Referenser till en phishing-domän (spam-post, spam i sociala nätverk, genom populära tjänster av typ Twitter, använder iFrame'ov, Dorweev).
  4. Det visar sig en vinst :).

Den huvudsakliga skillnaden mellan denna attack baserat på likheten av domännamn, jämfört med andra typer av phishing med hjälp av falska webbsidor - det kräver inte störningar av nätverksprotokoll: från en teknisk syn på ubåtsdomänen är legitim.

Skyddsmetoder från IDN-attacker började genomföras sedan mitten av 2005, när domännamnsinspelare antogs genom överenskommelse som begränsar möjligheten att registrera någon IDN-domän. Således begränsar den internationella domänen.org antalet tillåtna tecken med en eller annan del av den förlängda latisen. Men tack vare några skrupelfria registratorer och smältning, även idag finns det alla möjligheter att registrera en phishing-domän.

Den mest radikala varianten av skydd mot det omotiva hotet skulle vara ett fullständigt vägran av IDN-avkodning vid visning. Då skulle ubåtens namn alltid börja med "xn" och slutade med en oläslig sekvens av tecken, vilket skulle ha skarpt ut ur det ursprungliga. Tyvärr förnekar det här alternativet nästan alla fördelar med IDN.

Det viktigaste skyddet mot IDN-sprutning på klientsidan är en webbläsarstjärna. När du svänger markören till länken i statusfältet visar den punycode-ekvivalenta IDN-domänen, som omedelbart föreslår en eventuell phishing. Men det här är inte en panacea, du kan se allt om du applicerar en blandning ;-). Se mitt universella utnyttjande för alla webbläsarmotorer.

Slutsats

Spoofing var alltid efterfrågan, eftersom det är grunden och garanti för att hålla framgångsrika attacker i många riktningar. Hoppas du gjorde de rätta slutsatserna. Var försiktig på internet.