[軟體] The Register:神秘Web攻擊綁架剪貼簿!

看板AntiVirus (防毒)作者deephoe (舞劍塵)時間17年前 (2008/08/18 18:04)推噓3(3推 0噓 0→)

留言3則, 3人參與討論串1/1

轉貼自：http://armorize-cht.blogspot.com/2008/08/registerweb.html 本來要睡午覺了，看到 The Register 八月十五號這篇，突然好奇起來： The Register(注1):Mystery web attack hijacks your clipboard(神秘Web攻擊綁架剪貼簿)(注2) 注1. http://www.theregister.co.uk/ 注2. http://www.theregister.co.uk/2008/08/15/webbased_clipboard_hijacking/ 要讓我一腳已經踏到床上又起來，當然要有很好的原因。這篇引起我興趣的原因有：一、歐洲最大 IT 媒體之一的 The Register(注3) 報的二、「神秘」這兩個字--最近資安界已經很久沒有「神秘」的攻擊了... 三、「Web 攻擊」--我對 Web 安全的議題特別有興趣，而 The Register 也還蠻專業的，沒有寫成「Web 病毒」。沒錯，Web 上的威脅大部分不是病毒，所以用攻擊（attack）來形容通常比較貼切，所以似乎記者還算專業。注3. http://www.theregister.co.uk/ 好，爬起來看看寫些什麼。小標題：「No, MACs are not immune（抱歉，MAC 並不免疫）」。 OK，文章基本上在講，最近有一種 Web 上的攻擊，綁架使用者的剪貼簿，不論你貼上什麼東西，等到貼出來，都會變成一個惡意的連結。報導中：一、列舉了一堆受害者上網的留言（這裡(注4) 這裡(注5) 這裡(注6) 這裡(注7)）注4. http://forums.techguy.org/malware-removal-hijackthis-logs/729773-weird-copy-paste-virus.html 注5. http://discussions.apple.com/thread.jspa?messageID=7768848 注6. http://www.thornsoft.com/phpBB2/viewtopic.php?t=3567 注7. http://forums.devnetwork.net/viewtopic.php?f=6&t=86448&p=477521 二、報導說這些受害的使用者有用 Windows 系統的也有用 MAC OS X 系統的，雖然以上四篇都是用 Firefox，但是不排除其他瀏覽器也可能受攻擊。三、報導建議使用 Firefox 的 noscript 外掛(注8)。注8. http://noscript.net/ OK，福爾韋恩小偵探出現了...根據上述證據，福爾韋恩的推論：一、記者厲害，沒寫成病毒，而寫成 Web 攻擊。可能因為他引述的那四篇求救文，有人是跑 MAC OS 2 而有人跑 Windows，所以他從中知道，大概不是病毒，而是一種對瀏覽器的攻擊。二、報導說惡意的網址是 xp-vista-update.net（點下去自行負責，我剛才用 HackAlert (注9)掃過沒有問題，但是現在沒有問題不代表你點的時候沒有問題，這種惡意網頁隨時在改內容）。做一下 whois，這個網域電話是南斯拉夫的、DNS 是惡名昭彰的 estboxes.com、IP 為 83.229.251.28 是俄羅斯的 IP。福爾韋恩：有目的、組織性攻擊之可能提升！注9. http://hackalert.armorize.com/ 三、福爾韋恩依稀記得，IE 才是笨到會讓 javascript存取剪貼簿的瀏覽器（CVE-2002 -1671(注10) ），而且 2002 年被報有問題，到 2006 年底出IE 7 才把問題修掉。可是記者說受害者都是用 Firefox... 聰明的 Firefox 預設是不讓 javascript 存取剪貼簿的(注11)... 所以兇手...一定是最近 PDP (注12)與 RSnake (注13)都一直在講的--Adobe Flash！其實福爾韋恩也依稀記得，Flash 可以存取剪貼簿(注14)... 注10. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2002-1671 注11. http://kb.mozillazine.org/Granting_JavaScript_access_to_the_clipboard 注12. http://armorize-cht.blogspot.com/2008/08/black-hat-2008.html#PDP 注13. http://armorize-cht.blogspot.com/2008/08/black-hat-2008.html#RSNAKE 注14. http://livedocs.adobe.com/flash/8/main/wwhelp/wwhimpl/common/html/wwhelp. htm?context=LiveDocs_Parts&file=00002727.html 四、報導說受害者是在瀏覽 MSNBC.COM(注15.) 時被攻擊綁架剪貼簿的。福爾韋恩：很有可能是駭客組織向 MSNBC.COM 買了廣告 banner，並在廣告中利用 Flash 來達成攻擊。以 MSNBC.COM 的流量，影響人數應該不少。注15. http://msnbc.com/ 是否真的是這樣呢？再確定技術細節以前，我們先來看看，這種攻擊的效果是什麼？如果只是單純能寫入剪貼簿，這樣的一個網頁（或廣告頁）能造成什麼威脅？因為其時還有第五點：五、即使這種攻擊可以做到，還真的有人受害出來求救，表示技術面如何達到先不管，但這種攻擊確實有其威脅性。但是如果只是寫入剪貼簿，那威脅性在哪？ Google 了一下，發現威脅自七月中開始，並蠻多人抱怨的：七月12日，有人被攻擊，無法解除狀況，貼文出來(注16)，並用趨勢掃瞄未發現病毒。注16. http://forums.techguy.org/malware-removal-hijackthis-logs/729773-weird- copy-paste-virus.html 八月08日，有人貼文對美國大選發表意見，卻遭攻擊，直接把惡意連結貼出來(注17)。該使用者「Old Owl333」在貼文的時候一定是先 CTRL-C 複製然後再 CTRL-V 貼出，沒想到剪貼簿遭綁架，貼出了惡意的連結：注17. http://boards.msn.com/MSNBCboards/thread.aspx?threadid=708752&boardsparam=Page%3D983 圖片：http://3.bp.blogspot.com/_hELDi5B8zOI/SKe4MngLNiI/AAAAAAAAA9o/l_Bc-- 0ZGU8/s1600/clipboard_hijack_1.png 八月07日，有人快瘋了，剪貼簿一直被植入惡意連結(注18)。注18. http://forums.devnetwork.net/viewtopic.php?f=6&t=86448&p=477521 惡意連結到底連到哪裡？做什麼？八月10日，Kayrac (注19)做了分析：注19. http://www.dslreports.com/profile/485678 圖片： http://4.bp.blogspot.com/_hELDi5B8zOI/SKe7X953HOI/AAAAAAAAA9w/fNAEvvLYSxU/s1600/clipboard_hijack_2.png

惡意連結「http://xp-vista-update.net/?id=xx」根據後面參數「id= xx」之不同，轉址到不同的網站，但是大部分都是到某網站騙使用者下載一個偽掃毒軟體「Internet Scanner 2009」或「AV 2009」。根據八月10日，Kayrac(注20) 貼的文，把此程式放到 virustotal 測試(注21)，沒有幾家會偵測出它是偽的。注20. http://www.dslreports.com/profile/485678 注21. http://www.virustotal.com/analisis/48bb1c19196fc5712c5f187457e443d0 其實如果 Google 「xp-vista-update」，可以發覺中獎而跑出來貼文的還真不少。但是 \這邊就顯示了 The Register(注22) 記者的功力：大部分受害者貼文，都用了「病毒（virus）」一辭來形容此攻擊，但是記者卻正確的用了「Web 攻擊」來形容。注22. http://www.theregister.co.uk/ 調查到此，福爾韋恩已經確定，此為有組織性，有目的性之 Web 攻擊行為，其攻擊手法的確會造成威脅，並確實可以達到攻擊者的目的。好了，現在來調查技術上到底如何達成的。我先寫一段可以寫剪貼簿，但是只在 IE 中有效的 javascript。為了此 javascript 顯示出來好看，我用 syntaxhighligher (注23) 來顯示。syntaxhighlighter(注24) 是很流行的一套 javascript，可以顯示很漂亮的程式碼。以下是一段在 IE 執行時可以寫入剪貼簿的 javascript：注23. http://code.google.com/p/syntaxhighlighter/ 注24. http://code.google.com/p/syntaxhighlighter/ view plaincopy to clipboardprint? 01. <textarea name="prettyprint" class="javascript"> 02. <button onClick="IE_ClipBoard();">Copy to Clipboard</button> 03. <script> 04. function IE_ClipBoard() 05. { 06. if (window.clipboardData) { 07. window.clipboardData.setData("Text","Hello from Wayne!"); 08. } 09. } 10. </script> Link:[http://www.openwaves.net/armorize_blog/clipboardhijack/IE_clipboard.html] 執行起來如以下，如果您正在用 IE 可以按下按鈕看看，然後再找地方 CTRL-V 貼上，就會發現剪貼簿被改了。但是如果是 IE 7 以上，會發現 IE 會問你是否允許存取剪貼簿。 [Copy to Clipboard按鈕] http://www.openwaves.net/armorize_blog/clipboardhijack/IE_clipboard2.html 既然 IE 7 已經修正此安全性漏洞，firefox 上則預設不允許，除非你修改設定，不然連問都不會問，反正就是不行... 那麼，唯一的兇手就是... flash 了。其實上方用來顯示漂亮程式碼的 syntaxhighligher(注25)，早就透露了破案線索了。仔細觀察，程式碼視窗上面有一個灰色的小字：「copy to clipboard」。試試看按下去，你會發現程式碼已經貼到您的剪貼簿了，但是 IE 沒有問你是否允許，firefox 也直接 work... :) 注25. http://code.google.com/p/syntaxhighlighter/ 為何？都是 Adobe flash 的漏洞... 但是這種東西比漏洞嚴重，漏洞會被修改，這種算是「功能」，短期內不太可能改。為何？因為一旦功能公開，就會有很多人使用，一旦大家用了一個功能，要將此功能取消，就很不容易了。如果您 Google 「_clipboard.swf 」或「clipboard.swf」或「flash copier」就會發現有多少程式都用了這個偉大的功能了。這個手法主要是利用Flash ActionScript：System.setClipboard (注26)這個含式來寫入剪貼簿。注26. http://livedocs.adobe.com/flash/8/main/wwhelp/wwhimpl/common/html/wwhelp. htm?context=LiveDocs_Parts&file=00002727.html 程式碼分兩部分，一部分是一小段 Flash ActionScript，編譯成一個 flash SWF 檔（這裡可以下載(注27)），另一部分則是一小段 javascript。注27. http://www.openwaves.net/armorize_blog/dp.SyntaxHighlighter/Scripts. clipboard.swf Flash action script 的程式碼如下（這裡可以下載編譯好的 SWF 檔）(注28)：注28. http://www.openwaves.net/armorize_blog/dp.SyntaxHighlighter/Scripts. clipboard.swf view plaincopy to clipboardprint? 01. if (clipboard.length) System.setClipboard(clipboard); Link:[http://www.openwaves.net/armorize_blog/clipboardhijack/IE_clipboard3.html] Javascript 程式碼則如下： view plaincopy to clipboardprint? 01. var flashcopier = 'flashcopier'; 02. 03. if(!document.getElementById(flashcopier)) { 04. var divholder = document.createElement('div'); 05. divholder.id = flashcopier; 06. document.body.appendChild(divholder); 07. } 08. document.getElementById(flashcopier).innerHTML = ''; 09. var divinfo = '<embed src="http://www.openwaves.net/armorize_blog/dp.SyntaxHighlighter/'+ 10. 'Scripts/clipboard.swf" FlashVars="clipboard='+ 11. encodeURIComponent("Hello from Wayne!") + 12. '" width="0" height="0" 13. setInterval("ClipBoard_Attack();",500); 14. 15. } 16. 17. function ClipBoard_Attack() { 18. document.getElementById(flashcopier).innerHTML = ''; 19. var divinfo = '<embed src="http://www.openwaves.net/armorize_blog/dp.SyntaxHighlighter/'+ 20. 'Scripts/clipboard.swf" FlashVars="clipboard='+ 21. encodeURIComponent("Hello from Wayne!") + 22. '" width="0" height="0" type="application/x-shockwave-flash"></embed>'; 23. document.getElementById(flashcopier).innerHTML = divinfo; 24. } 25. </script> Link:[http://armorize-cht.blogspot.com/2008/08/registerweb.html] 跑起來就像下面這樣，按下按鈕就綁架你的剪貼簿： [Hijack my clipboard!按鈕] http://www.openwaves.net/armorize_blog/clipboardhijack/IE_clipboard6.html 原來元兇就是 Adobe Flash 啊！您猜到了嗎？於是福爾韋恩調查成功，回去寫報告曰：一、此次 The Register (注29)報導之「神秘 Web 攻擊綁架剪貼簿(注30)」事件，元兇再次為 Adobe Flash。注29. http://www.theregister.co.uk/ 注30. http://www.theregister.co.uk/2008/08/15/webbased_clipboard_hijacking/ 二、此為 Flash 存在已久之功能，許多網站皆運用此功能，故短期內 Adobe 不容易取消此功能，威脅將持續一段時間。三、了解此類攻擊甚為重要，此類即今年與去年各大資安會議，Jeremiah、PDP(注31) 與 RSnake(注32) 三位研究員一直在提的 client-side 攻擊。由於這些攻擊大部分利用第三方外掛之漏洞甚至「功能」，問題短時間不易改善。試想如果攻擊 IE 漏洞，則攻擊對 firefox 就無效；然針對各瀏覽器皆有普遍安裝之第三方外掛，如 Adobe Flash、PDF 等攻擊，則可以跨瀏覽器。本事件便是一例。注32. http://armorize-cht.blogspot.com/2008/08/black-hat-2008.html#PDP 注33. http://armorize-cht.blogspot.com/2008/08/black-hat-2008.html#RSNAKE 四、此類為 Web 攻擊，其中 Javascript 又可以經過各種方式加殼與變形(注34)，防毒軟體幾乎沒有可能偵測到。注34. http://www.malwareguru.org/mediawiki/index.php/Collection_of_tools _for_javascript_encryption_%28javascript_packers%29 五、從兩方面觀察：A) 散播 Web 攻擊之伺服器所屬地區以及 B) 諸多使用者確實被攻擊之案例，此為有組織性，有目的性之 Web 攻擊行為，其攻擊手法的確會造成威脅，並確實可以達到攻擊者的目的。六、防禦的方法：可以選擇使用 firefox (注35)外掛 noscript (注36)與 FlashBlock。注35. http://noscript.net/ 注36. http://flashblock.mozdev.org/ 看了上述事實陳列，您認為福爾韋恩這次的調查分析正確嗎？ ;-) 轉貼自：http://armorize-cht.blogspot.com/2008/08/registerweb.html -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 60.250.42.178