Tõsine turvalisus: brauseri rünnakud – olge akende eest, mis seda ei ole!

Ohu luurefirma Group-IB teadlased kirjutasid just intrigeeriva kirja tõsielulugu tüütult lihtsast, kuid üllatavalt tõhusast andmepüügitrikist, mida tuntakse BitB, lühike brauser-brauseris.

Tõenäoliselt olete varem kuulnud mitut tüüpi X-in-the-Y rünnakutest, eriti MitM ja MitB, lühike manipulaator-keskel ja manipulaator brauseris.

MitM-i rünnaku korral positsioneerivad ründajad, kes soovivad teid petta, kuhugi võrgu "keskele", teie arvuti ja serveri vahele, kuhu proovite jõuda.

(Nad ei pruugi olla sõna otseses mõttes keskel, ei geograafiliselt või hüppeliselt, kuid MitM-i ründajad on kuskil mööda marsruut, mitte kummaski otsas.)

Idee seisneb selles, et selle asemel, et oma arvutisse või teises otsas asuvasse serverisse sisse murda, meelitavad nad teid hoopis nendega ühendust looma (või manipuleerivad tahtlikult teie võrguteed, mida te ei saa pärast pakettide väljumist hõlpsasti juhtida. teie enda ruuter) ja siis nad teesklevad teist otsa – pahatahtlikku puhverserverit, kui soovite.

Nad edastavad teie pakid ametlikku sihtkohta, neid nuhkides ja võib-olla teel askeldades, seejärel saavad ametlikud vastused, mida nad saavad teist korda nuhkida ja näppida ning need teile tagasi saata, nagu teie d ühendatud otsast lõpuni täpselt nii, nagu eeldasite.

Kui te ei kasuta nii liikluse konfidentsiaalsuse (ei tohi nuhkida!) kui ka terviklikkuse (ei tohi rikkuda!) kaitsmiseks täielikku krüptimist, näiteks HTTPS-i, ei märka te seda tõenäoliselt või isegi ei suuda seda tuvastada, et keegi teine ​​on teie digitaalseid kirju transpordi ajal auruga avanud ja seejärel need uuesti pitseerinud.

Ründab ühest otsast

A MitB rünnaku eesmärk on töötada sarnaselt, kuid vältida HTTPS-i põhjustatud probleemi, mis muudab MitM-i rünnaku palju raskemaks.

MitM-i ründajad ei saa kergesti sekkuda HTTPS-iga krüpteeritud liiklusesse: nad ei saa teie andmeid nuhkida, kuna neil pole mõlema otsa poolt nende kaitsmiseks kasutatavaid krüptovõtmeid; nad ei saa krüpteeritud andmeid muuta, sest mõlemas otsas toimuv krüptograafiline kontroll tõstaks siis häiret; ja nad ei saa teeselda, et on server, millega ühenduse loote, kuna neil puudub krüptograafiline saladus, mida server oma identiteedi tõendamiseks kasutab.

Seetõttu põhineb MitB rünnak tavaliselt pahavara hiilivatel alustel teie arvutisse.

See on üldiselt keerulisem kui lihtsalt mingil hetkel võrku sisenemine, kuid see annab ründajatele tohutu eelise, kui nad saavad seda hallata.

Seda seetõttu, et kui nad saavad end otse teie brauserisse sisestada, näevad nad teie võrguliiklust ja saavad seda muuta enne kui teie brauser selle krüpteerib saatmiseks, mis tühistab igasuguse väljamineva HTTPS-i kaitse, ja pärast seda, kui teie brauser selle dekrüpteerib tagasiteel, tühistades seega krüptimise, mida server oma vastuste kaitsmiseks rakendas.

Kuidas on lood BitB-ga?

Aga kuidas oleks a BitB rünnata?

Brauser brauseris on üsna suur suutäis ja sellega seotud trikitamine ei anna küberkurjategijatele ligilähedalegi nii palju jõudu kui MitM või MitB häkkimine, kuid kontseptsioon on otsaesist laksutavalt lihtne ja kui teil on liiga kiire, on see üllatav. sellesse on lihtne kukkuda.

BitB rünnaku idee on luua selline, mis näeb välja nagu hüpikaken, mille brauser ise turvaliselt genereeris, kuid tegelikult pole see midagi muud kui veebileht, mis renderdati olemasolevas brauseriaknas.

Võib arvata, et selline pettus on määratud läbikukkumisele, sest mis tahes sisu saidil X, mis teeskleb olevat saidilt Y, kuvatakse brauseris endas saidi X URL-ilt pärinevana.

Üks pilk aadressiribale teeb selgeks, et teile valetatakse ja et kõik, mida te vaatate, on tõenäoliselt andmepüügisait.

Vaenlane, siin on ekraanipilt example.com veebisait, tehtud Maci Firefoxis:

Kui ründajad meelitasid teid võltsitud saidile, võite sisu lähedalt kopeerides visuaalidest meeldida, kuid aadressiriba annab teada, et te ei viibi otsitaval saidil.

Seetõttu on brauseris-brauseris kelmuse puhul ründaja eesmärk luua tavaline veeb lehekülg mis näeb välja nagu veebis sait ja sisu mida ootate, koos aknakaunistuste ja aadressiribaga, simuleeritud võimalikult realistlikult.

Mõnes mõttes puudutab BitB rünnak rohkem kunsti kui teadust ning see puudutab rohkem veebidisaini ja ootuste haldamist kui võrgu häkkimist.

Näiteks kui loome kaks ekraanilt kraabitud pildifaili, mis näevad välja sellised…

…siis HTML sama lihtne, nagu allpool näete…

<html>
   <body>
      <div>
         <div><img src='./fake-top.png'></div>
         <p>
         <div><img src='./fake-bot.png'></div>
      </div>
   </body>
</html>

…loob olemasoleva brauseriakna sisse brauseriakna moodi väljanägemise, näiteks järgmiselt:

Selles väga lihtsas näites ei tee kolm vasakus ülanurgas olevat macOS-i nuppu (sulge, minimeeri, suurenda) midagi, kuna need pole operatsioonisüsteemi nupud, vaid lihtsalt nuppude pildidja aadressiriba, mis näeb välja nagu Firefoxi aken, ei saa klõpsata ega redigeerida, kuna see lihtsalt ekraanipilt.

Kuid kui lisame nüüd ülal näidatud HTML-i IFRAME-i, et imeda võltssisu saidilt, millel pole midagi pistmist. example.com, nagu nii…

<html>
   <body>
      <div>
         <div><img src='./fake-top.png' /></div>   
         <div><iframe src='https:/dodgy.test/phish.html' frameBorder=0 width=650 height=220></iframe></div>
         <div><img src='./fake-bot.png' /></div>
      </div>
   </body>
</html>

...peaksite tunnistama, et tulemuseks olev visuaalne sisu näeb välja täpselt nagu eraldiseisev brauseriaken, kuigi see on tegelikult a veebileht teises brauseriaknas.

Teksti sisu ja klõpsatav link, mida näete allpool, laaditi alla saidilt dodgy.test HTTPS-link ülalolevas HTML-failis, mis sisaldas seda HTML-koodi:

<html>
   <body style='font-family:sans-serif'>
      <div style='width:530px;margin:2em;padding:0em 1em 1em 1em;'>
         <h1>Example Domain</h1>

         <p>This window is a simulacrum of the real website,
         but it did not come from the URL shown above.
         It looks as though it might have, though, doesn't it?

         <p><a href='https://dodgy.test/phish.click'>Bogus information...</a>
      </div>
   </body>
</html>

Graafiline sisu, mis HTML-teksti täiendab ja ääristab, jätab mulje, nagu oleks HTML tõesti pärit example.com, tänu ülaosas oleva aadressiriba ekraanipildile:

Kunstlikkus on ilmne, kui vaatate võltsitud akent mõnes muus operatsioonisüsteemis, näiteks Linuxis, kuna saate Linuxi-laadse Firefoxi akna, mille sees on Mac-i sarnane aken.

Võlts "aknakatte" komponendid paistavad tõesti silma, nagu need tegelikult on:

Kas sa langeksid sellesse?

Kui olete kunagi teinud rakendustest ekraanipilte ja seejärel avanud need hiljem oma fotovaaturis, oleme nõus kihla vedama, et olete mingil hetkel petnud ennast rakenduse pilti käsitlema nii, nagu oleks see rakenduse pilti. rakendus ise.

Teeme kihla, et olete vähemalt ühel oma elus rakenduse-rakenduses pildil klõpsanud või seda puudutanud ja avastanud end mõtlemast, miks rakendus ei tööta. (OK, võib-olla te pole seda teinud, aga meil on seda kindlasti, kuni tõelise segaduseni.)

Muidugi, kui klõpsate fotobrauseris rakenduse ekraanipildil, on teil väga väike risk, sest klõpsud või puudutused lihtsalt ei tee seda, mida ootate – tõepoolest võite pilti redigeerida või kriipsutada. selle asemel.

Aga kui tegemist on a brauser-brauseris Selle asemel "kunstiteoste rünnak", valesti suunatud klikid või koputused simuleeritud aknas võivad olla ohtlikud, kuna olete endiselt aktiivses brauseriaknas, kus JavaScript on mängus ja kus lingid endiselt töötavad...

…teid pole lihtsalt brauseriaknas, mida arvasite, ega ka veebisaidil, mida arvasite.

Mis veelgi hullem, mis tahes aktiivses brauseriaknas töötav JavaScript (mis pärines teie külastatud algselt petisaidilt) võib simuleerida mõnda ehtsa brauseri hüpikakna eeldatavat käitumist, et lisada realistlikkust, näiteks selle lohistamine, suuruse muutmine ja rohkem.

Nagu me alguses ütlesime, kui ootate tõelist hüpikakent ja näete midagi sellist paistab nagu hüpikaken, millel on realistlikud brauseri nupud ja aadressiriba, mis vastab sellele, mida ootasite, ja teil on natuke kiire…

…saame täielikult aru, kuidas võite võltsitud akna tõeliseks tunnistada.

Sihitud Steam mängud

Grupis-IB teadustöö me eespool mainisime, et reaalses maailmas toimunud BinB rünnak, mille teadlased tulid, kasutas peibutisena Steam Gamesi.

Õige välimusega sait, ehkki selline, millest te pole varem kuulnudki, pakuks teile võimalust võita kohti näiteks eelseisval mänguturniiril…

…ja kui sait teatas, et avab eraldi brauseriakna, mis sisaldab Steami sisselogimislehte, kuvas see tõesti brauseris võltsitud akna.

Uurijad märkisid, et ründajad ei kasutanud kasutajanimede ja paroolide otsimiseks mitte ainult BitB trikke, vaid üritasid simuleerida ka Steam Guardi hüpikaknaid, mis küsisid ka kahefaktorilisi autentimiskoode.

Õnneks näitasid Group-IB esitatud ekraanipildid, et kurjategijad, kellele nad sel juhul sattusid, ei olnud oma kelmuse kunsti- ja disainiaspektide suhtes eriti ettevaatlikud, nii et tõenäoliselt märkas enamik kasutajaid võltsimist.

Kuid isegi hästi informeeritud kiirustav kasutaja või keegi, kes kasutab brauserit või operatsioonisüsteemi, mida nad ei tundnud, näiteks sõbra juures, ei pruugi ebatäpsusi märgata.

Samuti leiaksid nõudlikumad kurjategijad peaaegu kindlasti realistlikuma võltssisu, samamoodi nagu mitte kõik meilipetturid ei tee oma sõnumites õigekirjavigu, mis võib viia rohkemate inimesteni oma juurdepääsumandaatide loovutamiseni.

Mida teha?

Siin on kolm nõuannet.

• Browser-in-the-Browser aknad ei ole päris brauseriaknad. Kuigi need võivad tunduda nagu operatsioonisüsteemi tasemel aknad, mille nupud ja ikoonid näevad välja nagu päriselt, ei käitu need nagu operatsioonisüsteemi aknad. Nad käituvad nagu veebilehed, sest seda nad on. Kui sa oled kahtlustav, proovige lohistada kahtlane aken seda sisaldavast brauseriaknast väljapoole. Tõeline brauseriaken käitub iseseisvalt, nii et saate selle algsest brauseriaknast väljapoole ja kaugemale teisaldada. Võltsbrauseriaken "vangistatakse" tõelises aknas, milles seda näidatakse, isegi kui ründaja on kasutanud JavaScripti, et simuleerida võimalikult palju ehtsa välimusega käitumist. See annab kiiresti mõista, et see on osa veebilehest, mitte tõeline aken.
• Uurige kahtlasi aknaid hoolikalt. Veebilehe sees oleva operatsioonisüsteemi akna välimuse ja tunde realistlikku pilkamist on lihtne teha halvasti, kuid raske hästi teha. Võtke need paar sekundit, et otsida võltsimise ja ebakõla tundemärke.
• Kui kahtled, ära anna seda välja. Suhtuge kahtlustavalt saitide suhtes, millest te pole kunagi kuulnud ja mida teil pole põhjust usaldada, ning mis ootamatult soovivad, et logiksite sisse kolmanda osapoole saidi kaudu.

Ärge kunagi kiirustage, sest kui võtate aega, näete palju vähem seda, mida te näete mõtlema on seal selle asemel, mida tegelikult näha is seal.

Kolme sõnaga: Peatus. Mõtle. Ühendage.

---

Esiletõstetud pilt rakenduse akna fotost, mis sisaldab Magritte'i filmi "La Trahison des Images" fotot, mis on loodud Wikipedia.

---