image

Gratis tool stopt drive-by download aanvallen

dinsdag 23 februari 2010, 12:28 door Redactie, 11 reacties

Om internetgebruikers tegen drive-by download aanvallen te beschermen, komen onderzoekers binnenkort met een gratis tool. Drive-by download aanvallen maken misbruik van ongepatchte lekken in bijvoorbeeld Adobe Reader, Adobe Flash of Internet Explorer en infecteren gebruikers zonder dat ze dit weten. Het is inmiddels één van de voornaamste redenen waardoor internetgebruikers besmet raken. De BLADE (Block All Drive-By Download Exploits) tool moet hier verandering in gaan brengen. De software is ontwikkeld door onderzoekers van SRI International en de Georgia Tech Universiteit.

In het vierde kwartaal van vorig jaar werden 5,5 miljoen pagina's ontdekt die bezoekers via drive-by downloads probeerde te infecteren. Sinds de onderzoekers in januari met het testen van BLADE begonnen, heeft de tool 5.150 kwaadaardige programma gestopt die via 1.205 kwaadaardige links werden aangeboden. Met name Adobe Reader is een geliefd doelwit van cybercriminelen, maar ook voor Sun's Java platform zijn veel exploits in omloop. De overige exploits waren voor kwetsbaarheden in Adobe Flash en Internet Explorer.

Laboratorium
Hoe bruikbaar de tool is, hangt af of die niet met andere software conflicteert, zegt beveiligingsonderzoeker Robert 'RSnake' Hansen. "Dit werkt misschien prima in een laboratorium, maar het is iets anders als je het op de computers van mensen uitprobeert", aldus Hansen. Volgens hem is het goed mogelijk dat BLADE de functionaliteit van legitieme applicaties kapot maakt. Ook Eric Howes van Sunbelt Software waarschuwt voor het gevaar van false positives, bijvoorbeeld als een applicatie in de achtergrond een beveiligingsupdate wil downloaden.

Daarnaast biedt BLADE geen bescherming tegen social engineering aanvallen, waarbij de gebruiker verleid wordt tot het installeren van malware, en dreigingen die zich in het geheugen verstoppen. De tool is zo ontworpen dat het malware pas blokkeert als het naar de harde schijf van de gebruiker schrijft. De meeste malware vertoont dit gedrag, maar er zijn ook dreigingen die alleen vanuit het geheugen werken. Toch is de tool zeker niet zinloos, besluit Hansen. "Dit soort tools zijn fantastisch, het is weer een extra beschermingslaag, maar het is zeker geen wondermiddel." Wanneer de software precies verschijnt is nog niet bekend.

Reacties (11)
23-02-2010, 12:39 door Anoniem
Jammer dat ze Chrome niet hebben opgenomen, was wel benieuwd. Ook al wordt er soms ook rechtstreeks op plugins getarget. :)
23-02-2010, 16:44 door Anoniem
Door Anoniem: Jammer dat ze Chrome niet hebben opgenomen, was wel benieuwd. Ook al wordt er soms ook rechtstreeks op plugins getarget. :)
Dat kan toch niet? Je moet toch Internet Explorer zwart maken? Dan moet je de anderen niet noemen, ook al zijn ze zo lek als een mandje. Typisch security.nl.
23-02-2010, 17:17 door Rene V
Door Anoniem:
Door Anoniem: Jammer dat ze Chrome niet hebben opgenomen, was wel benieuwd. Ook al wordt er soms ook rechtstreeks op plugins getarget. :)
Dat kan toch niet? Je moet toch Internet Explorer zwart maken? Dan moet je de anderen niet noemen, ook al zijn ze zo lek als een mandje. Typisch security.nl.

Ach gut.. word je geliefde IE weer door het slijk gehaald? Wat zielig! Nou ga maar flink uithuilen hoor *aai over bolletje*
23-02-2010, 20:05 door Anoniem
Toch is de tool zeker niet zinloos, besluit Hansen. "Dit soort tools zijn fantastisch, het is weer een extra beschermingslaag, maar het is zeker geen wondermiddel."

He alles wat wij aan het wapenarsenaal toe kunnen voegen om de kans op infectie tegen te gaan omarmen wij hartelijk.
Alhoewel ik het vandaag de dag steeds meer lijkt alsof een systeem meer een toolbox om maleware te bestrijden is geworden dan dat wij er de standaard KA op draaien.

Neem even mijn eigen systeem als voorbeeld
OS win7 met Office, image viewer-editor, compressie programma, pdf viewer, email en browser(s)
En als security Avira Premium, MS Security Essentials, Malwarebytes' Anti-Malware, McAfee Site Advisor, A-Squared Anti-Malware (manual scanner) en browse ik het internet eigenlijk voornamelijk virtueel.
Is wel van de zotte en een beetje te vergelijken dat we allemaal paramilitair moeten worden om alleen even boodschappen te doen. Maar ja ...
24-02-2010, 09:41 door Anoniem
Door René V:
Door Anoniem:
Door Anoniem: Jammer dat ze Chrome niet hebben opgenomen, was wel benieuwd. Ook al wordt er soms ook rechtstreeks op plugins getarget. :)
Dat kan toch niet? Je moet toch Internet Explorer zwart maken? Dan moet je de anderen niet noemen, ook al zijn ze zo lek als een mandje. Typisch security.nl.

Ach gut.. word je geliefde IE weer door het slijk gehaald? Wat zielig! Nou ga maar flink uithuilen hoor *aai over bolletje*


Als je security.nl zelf mag geloven is alles lek en dat is ook zo. Met internet explorer komen de updates tenmimnste
automatisch mee met de windows updates. Geen kinderachtig sentiment en gedoe over, in feite, welke browser
het best bij je ict-imago past ; gewoon puur pragmatisme ............
24-02-2010, 09:51 door stretch
Door René V:
Door Anoniem:
Door Anoniem: Jammer dat ze Chrome niet hebben opgenomen, was wel benieuwd. Ook al wordt er soms ook rechtstreeks op plugins getarget. :)
Dat kan toch niet? Je moet toch Internet Explorer zwart maken? Dan moet je de anderen niet noemen, ook al zijn ze zo lek als een mandje. Typisch security.nl.

Ach gut.. word je geliefde IE weer door het slijk gehaald? Wat zielig! Nou ga maar flink uithuilen hoor *aai over bolletje*


Als je security.nl zelf mag geloven is alles lek en dat is ook zo. ( en, bij elke browser weet niemand wat de nog onontdekte lekken zijn ). Met internet explorer komen de updates tenmimnste automatisch mee met de windows updates. Geen kinderachtig sentiment en gedoe over, in feite, welke browser het best bij je ict-imago past ; gewoon puur pragmatisme ............
24-02-2010, 10:29 door s.stok
Klopt, en als je dan de update van IE hebt geïnstalleerd kan weer rebooten.
Bij elke andere browser kan hoef ik alleen maar de browser opnieuw te starten, maar bij IE moet en zal er een reboot plaats vinden :D
24-02-2010, 10:41 door stretch
Door s.stok: Klopt, en als je dan de update van IE hebt geïnstalleerd kan weer rebooten.
Bij elke andere browser kan hoef ik alleen maar de browser opnieuw te starten, maar bij IE moet en zal er een reboot plaats vinden :D


Klopt, en rebooten kan nooit kwaad bij windows! ':-6 (lol)
24-02-2010, 15:56 door spatieman
ik zou liever een addon zien die flashcookies terplekke de nek om doet draaien.,.
24-02-2010, 19:06 door Anoniem
Door s.stok: Klopt, en als je dan de update van IE hebt geïnstalleerd kan weer rebooten.
Bij elke andere browser kan hoef ik alleen maar de browser opnieuw te starten, maar bij IE moet en zal er een reboot plaats vinden :D

Ennuh, rebooten moet je toch ..........
24-02-2010, 23:09 door Rene V
Door Anoniem:
Als je security.nl zelf mag geloven is alles lek en dat is ook zo. Met internet explorer komen de updates tenmimnste
automatisch mee met de windows updates. Geen kinderachtig sentiment en gedoe over, in feite, welke browser
het best bij je ict-imago past ; gewoon puur pragmatisme ............

Klopt ja.. automatisch.... 1 x per maand :P Tenzij het lek zo erg is dat er voor een out-of-band update gekozen wordt.
Firefox update ook automatisch.. wanneer de update beschikbaar is, en dat is in de meeste gevallen ergens tussen de 1 en 3 dagen. Tenzij een PoC niet aangeleverd wordt zoals hier => http://www.security.nl/artikel/32509/1/Mozilla_kan_ernstig_Firefox-lek_niet_patchen.html <= te lezen is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.