Video: Black Hat USA 2013 - Million Browser Botnet (Oktober 2024)
For å lage et botnet må du finne en måte å ta kontroll over tusenvis av datamaskiner og bøye dem etter din vilje. Det er en tøff jobb, ikke sant? Vel nei. I en presentasjon på Black Hat i Las Vegas, avslørte Jeremiah Grossman, grunnlegger og CTO for WhiteHat Security, og Matt Johansen, leder for WhiteHat's Threat Research Center, en usedvanlig enkel måte hvem som helst kan kontrollere tusenvis eller til og med millioner av nettlesere.
Grossman ledet med entusiasme og sa "Vi har jobbet med dette i seks måneder, og vi er ivrige etter å presentere. Dette vil gå fort, og vi skal ha det gøy. Vi vil sprekke nettlesere og bruke dem til å sprekke nettsteder."
Nettets kraft
Grossman fortsatte med å merke: "Internett har nær fullstendig kontroll over nettleseren din så lenge du er tilkoblet. Alt vi gjør i vår demonstrasjon, har vi ikke hacking noe. Vi bruker nettet slik det var ment å bli brukt." Johansen la til: "Unnskyldninger, vi har ikke en løsning."
Presentasjonen gjennomgikk et stort antall måter et nettsted kan undergrave nettleseren din ganske enkelt ved å bruke en linje eller to av Javascript, eller til og med en enkel (men finjustert) HTML-forespørsel. "Vi kontrollerer nettleseren uten nulldagers angrep, " sa Grossman, "og vi har full kontroll."
Illustrerende med et lysbilde som viser den enkle koden som er involvert, sa han: "Vi kan tvinge nettleseren din til å hacke et annet nettsted, laste ned ulovlige filer fra torrenter, gjøre pinlige søk, legge ut krenkende meldinger, til og med stemme på Ed Snowden som Tidens person av året."
Million Browser Botnet
Alt dette var bare introduksjon til forskningen som ble presentert. Johansen og Grossman tenkte et veldig enkelt benektelsesangrep og testet det på sin egen server. De demonstrerte det til og med i sanntid under Black Hat. Dette spesielle angrepet gjorde ikke annet enn å overbelaste serveren med tilkoblingsforespørsler, men teknikken som ble brukt kunne gjøre mer, mye mer. Og alt de måtte gjøre var å bruke noen kroner for å plassere en annonse som inneholder angrepet.
"Noen annonsenettverk tillater vilkårlig Javascript i annonsen, " sa Grossman, "og noen gjør det ikke." Laget hadde ingen problemer med å sette opp sitt angrep Javascript. "Annonsenettverksanmelderne var ikke flinke til å lese eller til og med bry seg om Javascript, " sa Johansen. "Det virkelige problemet var å lage et annonsebilde som så pen ut og så ut som en annonse."
Først ble teamet redusert av behovet for å få godkjenning på nytt fra annonsenettverket hver gang de endret Javascript-koden. De løste det ved å flytte koden til sin egen vert og ganske enkelt ringe den fra annonsens kode. Dette trinnet gjorde at annonsenettverket helt ikke kunne se hva koden kan gjøre. de så ikke ut til å bry seg.
Så snart de aktiverte angrepskoden, begynte den å eksekveres i nettlesere overalt. Hver gang noen surfe til en side som inneholder annonsen, begynte den å koble seg til offerserveren. Serveren tålte ikke belastningen; det mislyktes.
Alle nettlesere setter en begrensning på antall samtidige tilkoblinger. Johansen og Grossman fant en måte å heve Firefox-grensen fra seks til hundrevis. Det viste seg at deres enkle angrep var helt effektivt selv uten denne oppstarten, så de brukte ikke det.
Hvem er problemet å fikse?
"Dette angrepet er ikke vedvarende, " sa Grossman. "Det er ingen spor av det. Det viser annonsevisningen og forsvinner. Koden er ikke helt fantastisk, den bruker bare nettet slik den skal fungere. Så hvem har problemet å løse?"
Den samme teknikken kan brukes til å kjøre distribuerte beregninger via Javascript, for eksempel for å brute-force sprekkpassord og hasjer. "Vi vil prøve den hasjkrakkingen til neste svart hatt", sa Grossman. "Hvor mye kan du knekke for hver 50 cent av betalte sidevisninger?"
Presentasjonen lot deltakerne med den foruroligende tanken at angrepet beskrevet bruker nettet nøyaktig slik det er ment å brukes, og vi vet ikke helt hvem ansvaret en løsning ville være. Grossman har sagt tidligere at vi må bryte nettet for å fikse det. Kan han ha rett? Kunne vi til og med overleve en omstart av hele Internett?
Følg SecurityWatch for å få flere nyheter fra Black Hat 2013.
