Geekly Articles each Day

दुर्भावनापूर्ण जावा एप्लेट के साथ आगंतुकों के कंप्यूटर को संक्रमित करने वाली साइटों का पता लगाने वाला

जैसा कि हमने पहले ही VolgaCTF2012 में कहा , अब 2/3 से अधिक मामलों में, खतरनाक साइटें ब्राउज़र में दुर्भावनापूर्ण जावा एप्लेट लोड करके उपयोगकर्ताओं के कंप्यूटरों को संक्रमित करती हैं। ऐसा संक्रमण तब हो सकता है जब ब्राउज़र नियमित रूप से अपडेट किया जाता है, कुछ मामलों में - भले ही ओएस Microsoft से न हो। यदि कंप्यूटर में जावा वर्चुअल मशीन नहीं है, तो संक्रमित साइट "संस्करण" को सावधानी से स्थापित करने का सुझाव देती है, और फिर उपयोगकर्ता के कंप्यूटर पर फिर से हमला करती है। संक्रमण की इस पद्धति का उपयोग करने वाली साइटों का पता लगाने के लिए, यैंडेक्स ने जावा अनुप्रयोगों के लिए दुर्भावनापूर्ण कोड का एक विशेष व्यवहार विश्लेषक लॉन्च किया । यह आपको उस दुर्भावनापूर्ण कोड का पता लगाने की अनुमति देता है जो अब तक के सबसे लोकप्रिय JRE भेद्यता का उपयोग करता है। नतीजतन, फरवरी की शुरुआत से, चार हजार से अधिक संक्रमित साइटों का पता चला था, जिनमें से संक्रमण से पहले कुल उपस्थिति प्रति दिन 1.5 मिलियन उपयोगकर्ताओं तक पहुंच गई थी।

आज दुर्भावनापूर्ण कोड को फैलाने के सबसे प्रासंगिक तरीकों में से एक है जावा शोषण, जो किसी भी शोषण पैक में पाए जाते हैं। ऐसी लोकप्रियता कई कारकों के कारण है:



जावा में बड़ी संख्या में तार्किक कमजोरियों के कारण जावा कारनामों ने साइबर अपराधियों के बीच व्यापक लोकप्रियता हासिल की है। ऐसी भेद्यताएं उपयोगकर्ता को अदृश्य रूप से निष्पादित करने के लिए मनमाने ढंग से कोड की अनुमति देती हैं, क्योंकि उनका उपयोग आमतौर पर ब्राउज़र प्रक्रियाओं या जावा वर्चुअल मशीन के क्रैश के साथ नहीं होता है। 2010 के बाद से, साइबर अपराधियों ने भेद्यता को संक्रमित करने के लिए CVE-2010–0806, CVE-2010–4452, CVE-2011–3544, CVE-2012-0500, और CVE-2012-4681 का उपयोग किया है और 2013 की शुरुआत से ही वे नए CVE भेद्यता का सक्रिय रूप से फायदा उठाने लगे थे। -2,013-0,433।


CVE-2013-0433 पर विचार करें। इस भेद्यता का सार यह है कि कमजोर विधि com.sun.jmx.mbeanserver.MBeanInstantiator.findClass का उपयोग करते हुए , आप किसी भी पैकेज से कक्षा के नाम से एक वर्ग का संदर्भ प्राप्त कर सकते हैं। हालाँकि, MBeanInstantiator वर्ग का निर्माता निजी है और उसे सीधे कॉल नहीं किया जा सकता है। MBeanInstantiator वर्ग की वस्तु का आवश्यक संदर्भ com.sun.jmx.mbeanserver.JmxMBeanServer वर्ग के एक उदाहरण में निहित है और इसे getMBeanInteriator विधि का उपयोग करके प्राप्त किया जा सकता है JmxMBeanServer वर्ग में एक सार्वजनिक निर्माता है। इस प्रकार, अपने विशेषाधिकारों को बढ़ाने के लिए, यह करना पर्याप्त है:
javax.management.MBeanServer ms = com.sun.jmx.mbeanserver.JmxMBeanServer.newMBeanServer("any", null, null, true); com.sun.jmx.mbeanserver.MBeanInstantiator mi = ((com.sun.jmx.mbeanserver.JmxMBeanServer)ms).getMBeanInstantiator(); Class clazz = mi.findClass("some.restricted.class.here", (ClassLoader)null);


उपयोगकर्ता के कंप्यूटर को संक्रमित करने के लिए, हमलावर संक्रमित वेब पेज पर दुर्भावनापूर्ण कोड रखते हैं, उदाहरण के लिए:



पृष्ठ पर जाने के बाद पुनर्निर्देश की एक श्रृंखला है:


Yandex.Photos पर देखें

परिणामस्वरूप, उपयोगकर्ता को शोषण पृष्ठ पर भेज दिया जाता है:


Yandex.Photos पर देखें

यदि जावा का एक कमजोर संस्करण है, तो दुर्भावनापूर्ण ऐपलेट 887.jar सिस्टम में इसके विशेषाधिकारों को बढ़ाता है, दुर्भावनापूर्ण प्रोग्राम को डाउनलोड और चलाता है। VT सेवा के अनुसार, 12 फरवरी, 2013 को, 40 में से 5 एंटीवायरस माने गए मैलवेयर का पता लगाते हैं और इसका उपयोग करने वाले मैलवेयर 40 में से किसी भी एंटीवायरस का पता नहीं लगाते हैं। हमलावर लगभग हमेशा जावा एप्लेट के अंदर दुर्भावनापूर्ण कोड को बाधित या एन्क्रिप्ट करते हैं, जो उन्हें हस्ताक्षर का पता लगाने के तरीकों को बायपास करने की अनुमति देता है। तो, विघटन के बाद माना गया नमूना का रूप है:


Yandex.Photos पर देखें

इस एप्लेट में पाए जाने वाले सभी स्ट्रिंग स्थिरांक मोटे हैं, चर और वर्गों के नाम यादृच्छिक में बदल जाते हैं। एप्लेट वर्णित भेद्यता CVE-2013-0433 का शोषण करता है:


Yandex.Photos पर देखें

संक्रमण से बचने के लिए, हम अनुशंसा करते हैं:
Yandex सिक्योर सर्च टीम

Source: https://habr.com/ru/post/In170921/

More articles:


All Articles