Re: [新聞] Firefox遭“獨家”惡意軟件攻擊

看板Browsers (瀏覽器)作者blman (我愛亦潔我愛亦潔)時間17年前 (2008/12/10 12:11)推噓7(7推 0噓 4→)

留言11則, 8人參與討論串4/4 (看更多)

Firefox 上的安全主題我有研究一陣子，上來野人獻曝 :) 現在確定惡意的附加元件(malicious components)可以做到: 1. 繞過安裝提示，直接安裝惡意元件到 firefox 上。 2. 在附加元件列表上，隱藏自身而不顯示出來從 Trojan.PWS.ChromeInject.A 身上，它只實作了第 1點。如果它實作了第 2點，那麼使用者很難在介面操作上找到這個惡意附加元件。再來，偽裝成其它附加元件的作法也是有分級的: (低) 冒名其它的附加元件。 (高) 附屬於其它的附加元件。較低的作法只是"冒名"而無實作其功能，而高級作法則有。例如 Trojan.PWS.ChromeInject.A 是假冒 Greasemonkey，但假冒的行為若是沒有實作出 Greasemonkey 的功能，則很容易被使用者發現而移除。但事實証明(我也實作過)，假冒別的附加元件，除了惡意的程式外，也是可以實作出原本附加元件的功能，這樣在騙使用者安裝時，不容易被使用者發現。因為沒有 Trojan.PWS.ChromeInject.A 樣本，所以我不清楚它的層級是屬於哪個。不過，我與 ybite 板友有一點不同的想法，若有錯請指正 :) 這個惡意元件應該不是以 .exe 來散佈，它是以附加元件的方式，就像大家平常裝附加元件那般。加上 firefox 有繞過安裝提示的漏洞，這使得可能在瀏覽一個網頁時，就被莫名的"安裝"。最後，暫時可以放心的是，這個惡意元件會伴隨著惡意的 DLL 程式散佈，這就比較容易被防毒軟體抓出來。但若是單純利用 javascript 來做，這就很難防了。雖然有很多人認為 javascript 能做的事情有限，但我在今年台灣駭客年會實作出來的手法都只是用 javascript 做的，不用 DLL 的方式是想要避開防毒軟體的偵測。目前我實作出來的惡意 firefox 附加元件的功能有: 1. 釣魚網頁 2. 內部網路入侵 3. 追蹤瀏覽紀錄 4. 竊取 cookies (我用竊取 Gmail 為範例) 5. 自動化 CSRF 攻擊 (有可能做到自動銀行轉帳) 6. 讀取使用者電腦的檔案 (密碼檔/照片檔...) 7. 竊取使用者輸入的任何帳號/密碼/信用卡卡號 8. 遠端控制 (可令使用者自己下載木馬，瀏覽惡意網站) 當然，事實証明，市面上沒有一套防毒軟體抓得出來我的展示樣本。以上只是想要告知 firefox 使用者， "Firefox 不一定安全" 最後，其實是可以寫個元件，專門來檢查目前安裝的元件是否安全，但是我沒有時間，有興趣往這方面研究的人可以試試看。 :) -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.109.22.10