Videó: USENIX Security ’17 - Understanding the Mirai Botnet (November 2024)
Botnet létrehozásához meg kell találnia a módját, hogy átvegye az irányítást több ezer számítógép felett, és hajtsa végre őket az akarata szerint. Ez nehéz munka, igaz? Hát nem. Jeremiah Grossman, a WhiteHat Security alapítója és műszaki igazgatója, valamint Matt Johansen, a WhiteHat fenyegetéskutató központjának igazgatója, a Las Vegas-i Black Hat-ban mutatott be egy rendkívül egyszerű módszert, amellyel bárki ellenőrizheti több ezer vagy akár millió böngészőt.
Grossman lelkesedéssel indította el, mondván: "Már hat hónapig dolgozunk ezen, és nagyon szeretnénk bemutatni. Ez gyorsan megy, és szórakoztató lesz. Megragadjuk a böngészőket, és felhasználjuk őket webhelyek feltörésére..”
Az internet hatalma
Grossman folytatta: "Az Internet csaknem teljes mértékben ellenőrzi az Ön böngészőjét, mindaddig, amíg Ön csatlakozik. Mindent, amit a bemutatónk során csinálunk, nem csapkodunk semmit. Az internetet úgy használjuk, ahogy szánták. használva lenni." Johansen hozzátette: "Elnézést kérek, nincs megoldásunk."
A bemutató nagy számban vizsgálta meg, hogy egy webhely hogyan hajthatja végre böngészőjét egyszerűen egy vagy két soros Javascript használatával, vagy akár egy egyszerű (de csíptetett) HTML kéréssel. "Nulla napos támadások nélkül irányítjuk a böngészőt" - mondta Grossman - és teljes ellenőrzésünk van."
A diával, amelyen bemutatta az érintett egyszerű kódot, azt mondta: "Kényszeríthetjük böngészőjét egy másik weboldal feltörésére, illegális fájlok letöltésére a torrentekről, zavaró kereséseket végezni, sértő üzeneteket közzétenni, sőt Ed Snowdennek is szavazhatunk, mint az idő személyének."
Millió böngésző botnet
Mindez csupán bevezetés a bemutatott kutatásba. Johansen és Grossman egy nagyon egyszerű szolgáltatásmegtagadási támadást dolgoztak ki és tesztelték saját szerverükön. Még valós időben is bemutatták a Black Hat alatt. Ez a támadás nem más, mint a szerver túlterhelése csatlakozási kérelmekkel, de az alkalmazott technika többet, még többet tehetett volna. Csak annyit kellett tennie, hogy néhány dollárt költöttek egy támadást tartalmazó hirdetés elhelyezésére.
"Egyes hirdetési hálózatok lehetővé teszik a tetszőleges Javascript használatát a hirdetésben - mondta Grossman -, és mások nem." A csapatnak nem volt gondja a Javascript támadásának felállításával. "A hirdetési hálózat áttekintői nem voltak képesek elolvasni a Javascriptet, sőt nem is törődtek vele." - mondta Johansen. "Az igazi probléma az volt, hogy olyan hirdetési képet készített, amely szépnek és hirdetésnek tűnt."
Eleinte a csapatot lelassította annak szükségessége, hogy újból jóváhagyást kapjanak a hirdetési hálózatról, minden alkalommal, amikor megváltoztatják a Javascript kódot. Megoldták ezt azzal, hogy a kódot áthelyezték a saját gazdagépükre, és egyszerűen felhívták a hirdetés kódjából. Ez a lépés azt eredményezte, hogy a hirdetési hálózat teljesen láthassa, mit tehet a kód; Úgy tűnt, nem törődnek velük.
Amint lehetővé tették a támadási kódot, az egész böngészőben végrehajtott. Minden alkalommal, amikor bárki felkereste a hirdetést tartalmazó oldalt, elkezdett kapcsolatot létesíteni az áldozat szerverével. A szerver nem tudta ellenállni a terhelésnek; elbukott.
Minden böngésző korlátozza az egyidejű kapcsolatok számát. Johansen és Grossman találtak módot arra, hogy a Firefox hathatát százról százra emeljék. Kiderült, hogy egyszerű támadásaik még a bekapcsolás nélkül is teljesen hatékonyak voltak, tehát nem használták.
Kinek a problémáját orvosolni?
"Ez a támadás nem tartós." - mondta Grossman. "Nincs nyoma. Elkészíti a hirdetést, és eltűnik. A kód nem őrülten fantasztikus, csak az internetet használja úgy, ahogyan kellene működnie. Tehát kinek a javítása?"
Ugyanezt a technikát lehetne felhasználni az elosztott számítások Javascript-en keresztüli futtatásához, például a repedés jelszavak és a hash-ok brute-force alkalmazásával. "Megpróbáljuk ezt a hash-feltörést a következő Black Hat számára" - mondta Grossman. "Mennyit lehet becsapni minden fizetett oldalmegtekintés 50 centért?"
Az előadás a résztvevőket nyugtalanító gondolattal hagyta el, hogy a leírt támadás pontosan úgy használja az internetet, ahogyan azt szándékozta használni, és nem igazán tudjuk, kinek a felelőssége a javítás. Grossman mondta a múltban, hogy meg kell szakítanunk az internetet annak javítása érdekében. Lehet, hogy igaza van? Megélhetjük-e még a teljes internet újraindítását?
Feltétlenül kövesse a SecurityWatch-t, ha további híreket szeretne kapni a Black Hat 2013-ról.
