Sociálne siete

SecIT.sk na Facebooku SecIT.sk na Google+ SecIT.sk na Twitteri

Podporte nás


V prípade, že Vám obsah nášho portálu niekedy nejakým spôsobom pomohol, či bol pre Vás prínosom prosím podporte jeho chod ľubovoľnou čiastkou. Ďakujeme!

Štítky

Vyhľadávanie

You are here

Domov
Upozornenie: Obsah je licenčne chránený a bez písomných súhlasov autora článku a vlastníka webovej stránky nesmie byť v žiadnej forme ďalej kopírovaný a šírený v pôvodnom, či v akokoľvek upravenom stave.

Tisíce českých domén šíří malware

V současné době vedeme v naší databázi něco málo přes 4300 infikovaných českých domén, které aktuálně (+/- 14 dnů) distribuují malware. Stránky obsahují škodlivý kód, v podobě iframe, scriptů nebo jejich kombinací s využitím JS funkcí jako document.write či unescape. Interpretovaný kód bývá nezřídka další skript nebo návazné skripty, které volají externí URL. Tyto URL jsou v kampaních útočníků využívány jako nástroje pro šíření exploitu a programů utužující jejich pozici na koncovém PC uživatele.
Testy proběhly na webech uložených v našich databázích. Skripty používaly definované signatury rozpoznávající obecné řetězce, ze kterých pak byly extrahovány konkrétní kusy škodlivého kódu. Infikované weby dále navštěvujeme pomocí nativních senzorů ve virtuálním prostředí.

K samotné infekci:

Dle mého názoru podstatná část webů je infikovaná po krádeži hesla, ale není vyloučené, že určité weby budou napadené přímo přes některou ze slabin serveru nebo provozovaných aplikací. Např. na www.mp3kestazenizdarma.cz (také www.mp3-zdarma-stazeni.cz) jsou infikované všechny domény třetího a vyššího řádu. V tomto případě byl pravděpodobně ukraden účet směřující přímo ke komponentám použitého CMS nebo byla zneužita chyba na serveru.

Zavirovanou webovou stránkou to všechno začíná i končí. V případě přístupu návštěvníka na takovouto stránku dojde při jeho nedostatečném zabezpečení, v horším případě při použití zastaralého programového vybavení, k nahrání sady programů, které obsahují mimo jiné i funkce jako „odposlech hesel na FTP“ nebo hledání hesel uložených na disku. Tyto hesla pak poslouží k infikování HTML, PHP souborů uložených na těchto serverech. Pokud jsou FTP adresáře veřejně přístupné pomocí HTTP, pak na ně útočníci nahrávají další pomocné skripty. V horším případě umožní práci pod privilegovaným účtem (o eskalaci práv na super uživatele radši nemluvě), v lepším případě "pouze" využijí server ke spamovaní, maskování dalších aktivit (proxy) nebo jako hostitele malware.

Upozornění: Otevření následujících odkazů je zcela bezpečné, nebezpečné ale může být navštívení vložené URL, proto URL nenavštěvujte, pokud nevíte, co děláte.

Seznam českých domén:

http://www.honeynet.cz/domains/cz.txt

Seznam škodlivých URL:

http://www.honeynet.cz/domains/malicious.txt

Jak asi sami uznáte, seznam obsahuje nejrůznější weby se širokým polem působnosti. V globálním pohledu je to ideální vzorek. Představte si, k jakým nejrůznějším cílovým skupinám mají útočníci v současné době přistup. To jak se to může využít, už nechám jenom na vaší fantazii.

Jak předejít možnosti zavlečení infekce na své weby nebo odcizení hesla? Pokusím se popsat pár rad, které vám při důsledném dodržování můžou výrazně snížit možnost zavlečení viru i na vaše PC, serveru atd.

Uživatelé:

- Aktualizovat OS, aktualizovat aplikace, aktualizovat AV (v případě Windows nemá cenu počítač, bez nainstalovaného AV, ani zapínat), aktualizovat aktualizace.

- Nenavštěvovat podezřelé a neznáme stránky. Pokud vám ale nezbývá nic jiného, nechoďte na ně bez patřičného stupně ochrany používaného OS nebo aplikace. Využít můžete např. funkce NoScript u FF nebo třeba důsledným používáním nástrojů jako Sandboxie.

- Neinstalovat bezhlavě všechno, co chcete vyzkoušet popřípadě co vám poslal známý. Pro tyto případy je možné využívat virtuální testovací PC nebo aplikaci řádně prozkoumat před samotným spuštěním. Známou praxí některých uživatelů PC je klikání na dialog „instalovat/ano“ všeho co na ně vyskočí.

- Nepoužívat FTP servery. Jestliže provider neposkytuje jiné možnosti přístupu na vaše weby, neukládejte hesla do pomocných aplikací, dokud jim plně nedůvěřujete (to znamená, že aplikace používá dostatečnou míru zabezpečení nebo kryptování hesel a aktuální verze neobsahuje žádné možnosti jejich prolomení) nebo používejte programy jako KeePass, které vám hesla ochrání. Ale důležité je správné zacházení s takovýmto nástrojem, mít všechna hesla na jednom místě je riziko samo o sobě.

- Používat jiné protokoly přenosu dat např. SSH, HTTPS, SFTP, FTP-SSL, VPN a jiné bezpečnější protokoly, u kterých je nemožné přímo odposlechnout komunikaci.

Možnosti ISP:

- Poskytovat uživatelům i jiné možnosti přenosu než FTP

- Větší kontrola vstupů zasílaných přes FTP např. kontrolou typu souboru, nebo samotného kódu.

- Větší informovanost a osvěta zákazníků.

Nyní je na vás jak si s daným problémem poradíte v praxi.

Závěrem bych vás chtěl požádat, aby v případě, že znáte vlastníka nebo správce některé z domén výše uvedených, kontaktujte ho prosím a požádejte o odstranění škodlivého kódu. Sámy se o to pokoušíme, ale webů je opravdu mnoho a kontinuálně takovouto aktivitu nemůžeme provozovat, alespoň ne bez vetší automatizace.


Podporte nás


Páčil sa Vám tento článok? Ak áno, prosím podporte nás ľubovoľnou čiastkou. Ďakujeme!


ITC manažer Security-portal.cz Soom.cz
Hoax.cz Crypto-world.info