Video: CQTools: The New Ultimate Hacking Toolkit (September 2024)
För att skapa ett botnet måste du hitta ett sätt att ta kontroll över tusentals datorer och böja dem till din vilja. Det är ett tufft jobb, eller hur? Tja, nej. I en presentation på Black Hat i Las Vegas avslöjade Jeremiah Grossman, grundare och CTO för WhiteHat Security, och Matt Johansen, chef för WhiteHat's Threat Research Center, ett extremt enkelt sätt vem som helst kan kontrollera tusentals eller till och med miljoner webbläsare.
Grossman ledde med entusiasm och sa: "Vi har arbetat med detta i sex månader och vi är angelägna om att presentera. Detta kommer att gå snabbt och vi ska ha kul. Vi kommer att knäcka webbläsare och använda dem för att knäcka webbplatser ".
Kraften på webben
Grossman fortsatte att notera: "Webben har nästan fullständig kontroll över din webbläsare så länge du är ansluten. Allt vi gör i vår demo, vi hackar inte någonting. Vi använder webben så som det var tänkt att användas." Johansen tillade: "Mina ursäkt, vi har ingen lösning."
Presentationen granskade ett stort antal sätt en webbplats kan subvertera din webbläsare helt enkelt med hjälp av en rad eller två av Javascript, eller till och med en enkel (men tweaked) HTML-begäran. "Vi kontrollerar webbläsaren utan nolldagars attacker, " sade Grossman, "och vi har fullständig kontroll."
Illustrerade med en bild som visar den enkla koden som är inblandad sa han: "Vi kan tvinga din webbläsare att hacka en annan webbplats, ladda ner olagliga filer från torrenter, göra pinsamma sökningar, posta stötande meddelanden, till och med rösta på Ed Snowden som årets person på året."
Million Browser Botnet
Allt detta var bara introduktionen till den forskning som presenterades. Johansen och Grossman tänkte på ett mycket enkelt serviceangrepp och testade det på sin egen server. De demonstrerade till och med det i realtid under Black Hat. Denna speciella attack gjorde ingenting annat än att överbelasta servern med anslutningsförfrågningar, men den använda tekniken kunde göra mer, mycket mer. Och allt de behövde göra var att spendera några dollar för att placera en annons som innehåller attacken.
"Vissa annonsnätverk tillåter godtyckligt Javascript i annonsen, " sade Grossman, "och andra gör det inte." Laget hade inga problem med att ställa in sin attack Javascript. "Granskarna av annonsnätverket var inte bra på att läsa eller ens bry sig om Javascript, " sade Johansen. "Det verkliga problemet var att skapa en annonsbild som såg ganska ut och såg ut som en annons."
Till att börja med bromsades laget av behovet av att få godkännande från annonsnätverket varje gång de ändrade Javascript-koden. De löste det genom att flytta koden till sin egen värd och helt enkelt ringa den från annonsens kod. Detta steg lämnade annonsnätverket helt omöjligt att se vad koden kan göra; de verkade inte bry sig.
Så fort de aktiverade attackkoden började den köras i webbläsare överallt. Varje gång någon surfar till en sida som innehåller annonsen började den ansluta till offerservern. Servern tål inte belastningen; det misslyckades.
Alla webbläsare sätter en gräns för antalet samtidiga anslutningar. Johansen och Grossman hittade ett sätt att höja Firefox gränsen från sex till hundratals. Det visade sig att deras enkla attack var helt effektiv även utan denna power-up, så de använde den inte.
Vilket problem ska åtgärdas?
"Den här attacken är inte ihållande", säger Grossman. "Det finns inget spår av det. Det gör sin annonsvisning och försvinner. Koden är inte galen fantastisk, den använder bara webben på samma sätt som den ska fungera. Så vars problem är det att fixa?"
Samma teknik skulle kunna användas för att köra distribuerade beräkningar via Javascript, till exempel för att brute-force crack lösenord och hashes. "Vi kommer att prova den hashkrackningen för nästa svarta hatt", sa Grossman. "Hur mycket kan du knäcka för varje 50 cent av betalda sidvisningar?"
Presentationen lämnade deltagarna med den oroande tanken att attacken som beskrivs använder webben exakt som den är tänkt att användas, och vi vet inte riktigt vemans ansvar en fix skulle vara. Grossman har tidigare sagt att vi måste bryta webben för att fixa det. Kan han ha rätt? Kan vi till och med överleva en omstart av hela Internet?
Se till att följa SecurityWatch för mer nyheter från Black Hat 2013.
