這篇文章是HTML5三部曲的第三篇,也是最後一篇。你可以參考前面兩篇–HTML5 好的一面3-1面 HTML5所帶來不好的一面3-2。
歡迎來到趨勢科技HTML5迷你系列的最後一篇,以及所要探討的安全問題。今天,要談些什麼呢?對我來說,在HTML5的新功能中,以長期來看最可怕的安全擔憂是BITB(瀏覽器殭屍網路/傀儡網路 Botnet – Botnets in The Browser)。
有了HTML5,現在攻擊者可以建立一個在任何作業系統、任何地點、任何設備上都能運作的殭屍網路/傀儡網路 Botnet。而且因為大都是在記憶體內執行,幾乎不會用到硬碟,所以傳統以檔案為基礎的防毒軟體很難偵測到。JavaScript程式碼也很容易模糊化,所以網路入侵偵測系統(Network IDS)的特徵碼也很難去偵測它。最後,因為它使用的是HTTP,所以也可以輕易的通過大多數的防火牆。
下面是從我們新推出的HTML5攻擊報告中,節錄出關於基於瀏覽器的殭屍網路/傀儡網路 Botnet攻擊的部份:
以下是基於瀏覽器的殭屍網路攻擊的各個階段
感染:只要能讓使用者執行JavaScript就可以感染他的電腦。有非常多的方法可以做到這一點,包括XSS攻擊、點擊電子郵件或即時訊息內的連結、Black SEO黑帽搜尋引擎優化、社交工程攻擊、被入侵的網站,還有許多其他的方法。
持久性:一個基於瀏覽器的殭屍網路/傀儡網路 Botnet殭屍網路,本質上無法像傳統的殭屍網路那樣持久。只要受害者關閉瀏覽器,惡意程式碼就會停止執行。攻擊者會需要記住這一點,所以送給瀏覽器殭屍網路的任務設計也必須考慮到這些殭屍網路節點的過渡性質。要能夠很容易的進行再次感染是很重要的,所以使用像是被XSS攻擊所入侵的網站這樣的持續型攻擊媒介是最有可能的。其他的方法是結合點擊劫持(Clickjacking)和標籤綁架(Tabnabbing)。點擊劫持一開始用來讓受駭者去點選另外的網頁,雖然跟原本的網頁長得一模一樣。當受駭者瀏覽網頁時會看到他預期的內容,但在背景有惡意標籤頁在執行著。當攻擊者使用標籤綁架時,甚至可以想辦法延長惡意標籤頁的壽命,例如偽裝成常用的頁面,像是Google或 YouTube。更簡單的延長持久性的方法是將惡意網頁偽裝成一個互動遊戲。最好是那種被設計成讓遊戲玩家保持全天都開啟著,偶爾回來完成一些新任務的遊戲。
攻擊後果:這類攻擊可能會造成以下的可能性:
- DDoS攻擊:攻擊者可以利用跨網域請求(Cross Origin Requests)去發送數以千計的GET請求到目標網站來造成阻絕服務。
- 發送發送垃圾郵件(SPAM):在網站的聯絡頁面上使用設定不當的網頁表格,一個殭屍網路機器人就可以被用來製造垃圾郵件
- 開採比特幣:比特幣是地下網路犯罪份子會使用的新貨幣。目前有好幾個以瀏覽器為基礎的比特幣採礦機。
網路釣魚(Phishing)利用標籤綁架的方法,攻擊者可以讓惡意標籤頁在每次失去焦點時改變內容。因此,每當受害者返回該標籤頁時,都會出現不同的服務登入畫面,讓攻擊者可以竊取身分認證資料。
- 內部網路偵測:使用本報告中所描述的技術,攻擊者可以對受害者的內部網路做弱點掃描或是端口掃描。
- 成為代理網路:透過跟未來的使用者介面工具一樣的作法,一個被入侵系統的網路可以讓攻擊者做為攻擊或網路連線的中繼站,讓他們更加難以追查。
- 擴散:殭屍網路/傀儡網路 Botnet可以設計成含有蠕蟲病毒元件,利用XSS攻擊或資料隱碼(SQL Injection)在有弱點的網站間散播。
這代表攻擊者有了新的攻擊武器,而且在不久的將來我們也一定會看到這些攻擊數量的增加,尤其是被用來做目標攻擊。雖然傳統針對惡意軟體的防禦措施並不適合用來攔截這種新的媒介,但是有兩個免費工具可以提供很好的保護:
- NoScript:NoScript瀏覽器擴充套件在資安界已經很有名了。這個出色的工具可以限制JavaScript和其他外掛在非受信任的網站上執行。
- BrowserGuard:趨勢科技的BrowserGuard工具包括許多功能(包括先進的啟發式技術)可以阻止基於網頁的攻擊。
趨勢科技的報告 – 「HTML5概述:了解HTML5的攻擊方式」已經可以在這下載了。
@原文出處:HTML5 – The Ugly作者:Robert (資深威脅研究員)
◎ 歡迎加入趨勢科技社群網站
留言功能已關閉