Человек в браузере - Man-in-the-browser

Человек в браузере (MITB, MitB, MIB, МиБ), форма Интернета угроза относится к человек посередине (MITM), это прокси троянский конь[1] который заражает веб-браузер воспользовавшись уязвимостями в безопасность браузера модифицировать веб-страница, изменять содержимое транзакции или вставлять дополнительные транзакции, причем скрытым образом, невидимым как для пользователя, так и для веб-приложения хоста. MitB атака будут успешными независимо от того, будут ли механизмы безопасности, такие как SSL /PKI и / или два- или же трехфакторная аутентификация решения уже есть. Атаке MitB можно противостоять, используя из группы проверка транзакции, хотя SMS проверка может быть проиграна человек в мобильном (MitMo) вредоносное ПО инфекция на мобильный телефон. Трояны могут быть обнаружены и удалены антивирусным ПО[2]; этот подход показал 23% успеха против Зевс в 2009[3] и все еще низкие ставки в отчете за 2011 год.[4] В отчете за 2011 год сделан вывод о необходимости дополнительных мер помимо антивирусного программного обеспечения.[4]

Связанная, более простая атака - это мальчик-в-браузере (BitB, BITB).

Большинство опрошенных профессионалов в области финансовых услуг считают MitB наибольшей угрозой для онлайн банкинг.[нужна цитата ]

Описание

Угрозу MitB продемонстрировал Аугусто Паес де Баррос в своей презентации 2005 года о тенденциях в бэкдорах «Будущее бэкдоров - худший из миров».[5] Название «человек в браузере» было придумано Филиппом Гюрингом 27 января 2007 года.[6]

Троянец MitB работает, используя стандартные средства, предоставляемые для расширения возможностей браузера, такие как Объекты помощника браузера (функция ограничена Internet Explorer ), расширения браузера и пользовательские скрипты (например в JavaScript ).[6] Антивирусное программное обеспечение может обнаружить некоторые из этих методов.[2]

Вкратце пример обмена между пользователем и хостом, например, Интернет-банкинг перевод средств, клиент всегда будет видеть на экранах подтверждения точную информацию о платеже, введенную в браузере. Однако банк получит транзакцию с существенно измененными инструкциями, то есть с другим номером целевого счета и, возможно, суммой. Использование надежных инструментов аутентификации просто создает повышенный уровень ложной уверенности как со стороны клиента, так и со стороны банка в безопасности транзакции. Аутентификация, по определению, связана с проверкой удостоверений личности. Это не следует путать с проверкой транзакции.

Примеры

Примеры угроз MitB на разных операционные системы и веб-браузеры:

Примеры Man-in-the-Browser
ИмяПодробностиОперационная системаБраузер
Агент.DBJP[7]WindowsIE, Firefox
Бугат[8]WindowsIE, Firefox
Карберпцели Facebook пользователи выкупают электронные деньги ваучеры[9]WindowsIE, Firefox
ChromeInject*[10]Грязная обезьяна имитатор[11]WindowsFire Fox
Clampi[12]WindowsIE
Гози[1]WindowsIE, Firefox
Нуклус[2][11]WindowsIE
OddJob[13]сохраняет банковскую сессию открытойWindowsIE, Firefox
Silentbanker[14]WindowsIE, Firefox
Силон[15]WindowsIE
Шпион[16]наследник Зевса, широко распространенный, низкая обнаруживаемостьWindowsIE, Firefox
Солнечное пятно[17]широко распространенный, низкий уровень обнаруженияWindowsIE, Firefox
Татанга[18]WindowsIE, Firefox, Хром, Опера, Сафари, Maxthon, Netscape, Konqueror
Tiny Banker троян[19]Самый маленький банковский троян, обнаруженный в дикой природе, размером 20 КБWindowsIE, Firefox
Торпиг **[15]WindowsIE, Firefox
URLZone****[1]WindowsIE, Firefox, Opera
BOT Вейланд-Ютани[20]преступное ПО комплект похож на Зевса, не получил широкого распространения[20][21]Mac OS XFire Fox
Ялудле[15]WindowsIE
Зевс ***[12]широко распространенный, низкий уровень обнаруженияWindowsIE, Firefox
КлючWindows: IEWindows: IE & Fire Fox или же Fire FoxWindows: ДругойMac OS X: любой
* ChromeInject a.k.a. ChromeInject.A, ChromeInject.B, Banker.IVX, Inject.NBT, Bancos-BEX, Drop.Small.abw[10]
** Торпиг a.k.a. Sinowal, Ансерин[1]
*** Zeus a.k.a. ZeuS, Zbot,[22] Wsnpoem,[23][24] NTOS,[3] PRG,[3] Кнебер,[25] Gorhax[25]
**** URLZone a.k.a. Bebloh! IK, Runner.82176, Monder, ANBR, Sipay.IU, Runner.fq, PWS.y! Cy, Zbot.gen20, Runner.J, BredoPk-B, Runner.EQ

Защита

Антивирус

Известные трояны могут быть обнаружены, заблокированы и удалены антивирусным программным обеспечением.[2] В исследовании 2009 года эффективность антивируса против Zeus составила 23%,[3] и снова в отдельном тесте в 2011 году были отмечены низкие показатели успеха.[4] В отчете за 2011 год сделан вывод о необходимости дополнительных мер помимо антивируса.[4]

Защищенное программное обеспечение

  • Программное обеспечение безопасности браузера: атаки MitB могут быть заблокированы программным обеспечением безопасности в браузере, таким как Cymatic.io, Доверенное лицо Раппорт для Майкрософт Виндоус и Mac OS X, который блокирует API-интерфейсы от расширений браузера и контролирует обмен данными.[11][12][15]
  • Альтернативное программное обеспечение: снижение или устранение риска заражения вредоносным ПО с помощью портативные приложения или используя альтернативы Майкрософт Виндоус подобно Mac OS X, Linux, или мобильных ОС Android, iOS, Chrome OS, Windows Mobile, Symbian и т. д. и / или браузеры Хром или же Опера.[26] Дополнительную защиту можно обеспечить, запустив альтернативную ОС, например Linux, с неустановленной ОС. live CD, или же Живой USB.[27]
  • Безопасный веб-браузер: несколько поставщиков теперь могут предоставить решение для двухфакторной безопасности, в котором безопасный веб-браузер является частью решения.[нужна цитата ]. В этом случае атаки MitB можно избежать, поскольку пользователь запускает защищенный браузер со своего устройства двухфакторной защиты, а не запускает «зараженный» браузер со своего компьютера.

Внеполосная проверка транзакции

Теоретически эффективный метод борьбы с любой атакой MitB - это из группы (OOB) процесс проверки транзакции. Это побеждает трояна MitB, проверяя детали транзакции, полученные хостом (банком), пользователю (клиенту) по каналу, отличному от браузера; например, автоматический телефонный звонок, SMS, или специальный мобильное приложение с графической криптограммой.[28] Верификация транзакций OOB идеально подходит для массового использования, поскольку использует устройства, уже находящиеся в общественном достоянии (например стационарный, мобильный телефон и т. д.) и не требует дополнительных аппаратных устройств, но обеспечивает трехфакторную аутентификацию (с использованием голосовой биометрия ), подписание транзакции (до уровня предотвращения отказа) и проверка транзакции. Обратной стороной является то, что проверка транзакции OOB увеличивает уровень разочарования конечного пользователя из-за большего количества и более медленных шагов.

Человек-в-мобильном

Мобильный телефон мобильный троян шпионское ПО человек в мобильном (MitMo)[29] может обойти проверку транзакции OOB SMS.[30]

  • ZitMo (Zeus-In-The-Mobile) сам по себе не является трояном MitB (хотя он выполняет аналогичную функцию прокси для входящих SMS), но является мобильным. вредоносное ПО предлагается для установки на мобильный телефон с зараженного Zeus компьютера. Перехватывая все входящие SMS-сообщения, он побеждает двухфакторную аутентификацию OOB на основе SMS-банкинга на Windows Mobile, Android, Symbian, и Ежевика.[30] ZitMo может быть обнаружен антивирусом, запущенным на мобильном устройстве.
  • SpitMo (SpyEye-In-The-Mobile, SPITMO) похож на ZitMo.[31]

Обнаружение веб-мошенничества

В банке может быть реализовано обнаружение веб-мошенничества для автоматической проверки аномального поведения при транзакциях.[32]

Связанные атаки

Прокси-трояны

Кейлоггеры самые примитивные формы прокси-трояны, затем следуют регистраторы сеансов браузера, которые собирают больше данных, и, наконец, MitB являются наиболее сложным типом.[1]

Человек посередине

SSL / PKI и т. Д. Могут обеспечивать защиту в человек посередине атаковать, но не предлагает защиты от атаки злоумышленника.

Мальчик в браузере

Связанная атака, которую авторы вредоносных программ могут организовать проще и быстрее, называется мальчик-в-браузере (BitB или же BITB). Вредоносное ПО используется для изменения сетевой маршрутизации клиентского компьютера для выполнения классической атаки типа «человек посередине». После изменения маршрутизации вредоносная программа может полностью удалить себя, что затруднит обнаружение.[33]

Кликджекинг

Clickjacking обманом заставляет пользователя веб-браузера щелкнуть что-то отличное от того, что пользователь воспринимает, с помощью вредоносного кода на веб-странице.

DDoS-атаки через Wi-Fi и связанные с ними эксплойты

Некоторые телефоны и планшеты, которые используются в настоящее время, имеют известную уязвимость к DDoS через Wi-Fi, и это было задокументировано на некоторых телефонах Android. Уязвимость заключается в том, что если злоумышленник обнаруживает, что кто-то использует совместное использование, можно напрямую настроить таргетинг на телефон или планшет, используя конфликт пакетов, аналогичный тому, который обнаруживается в сетях LAN, требуя угадать пароль общего доступа к устройству с помощью радужной таблицы и клонировать SSID. , тем самым вызывая перезагрузку после того, как в ОЗУ накопилось достаточно данных, вызывая переполнение буфера. В течение этого узкого окна вредоносное программное обеспечение может быть использовано для установки руткита или другого вредоносного ПО через диагностический канал OTA до того, как антивирус сможет загрузиться аналогично тому, как работает неопубликованная загрузка через USB. Похоже, что в настоящее время нет никакой защиты, кроме отказа от совместного использования или изменения пароля после короткого случайного интервала, например WPA2-TKIP, который поддерживают не все устройства. WPA3-OTP может быть решением, если используется достаточно большая память на обоих концах, например 400 ГБ.

Смотрите также

Рекомендации

  1. ^ а б c d е Бар-Йосеф, Ноа (30 декабря 2010 г.). «Эволюция прокси-троянцев». Получено 2012-02-03.
  2. ^ а б c d F-Secure (11 февраля 2007 г.). "Описание угрозы: Trojan-Spy: W32 / Nuklus.A". Получено 2012-02-03.
  3. ^ а б c d Trusteer (14 сентября 2009 г.). «Измерение эффективности антивируса против Зевса в реальных условиях» (PDF). Архивировано из оригинал (PDF) 6 ноября 2011 г.. Получено 2012-02-05.
  4. ^ а б c d Quarri Technologies, Inc (2011 г.). «Веб-браузеры: ваше слабое звено в достижении соответствия PCI» (PDF). Получено 2012-02-05.
  5. ^ Паес де Баррос, Августо (15 сентября 2005 г.). "O futuro dos backdoors - o pior dos mundos" (PDF) (на португальском). Сан-Паулу, Бразилия: Национальный конгресс систем аудита, информационная безопасность и управление - CNASI. Архивировано из оригинал (PDF) 6 июля 2011 г.. Получено 2009-06-12.
  6. ^ а б Гюринг, Филипп (27 января 2007 г.). "Концепции против атак" злоумышленник в браузере " (PDF). Получено 2008-07-30.
  7. ^ Данн, Джон Э (2010-07-03). «Авторы троянских программ атакуют британские банки с помощью ботнетов». Получено 2012-02-08.
  8. ^ Данн, Джон Э (2010-10-12). «Zeus - не единственная угроза для банковских троянцев, - предупреждают пользователи». Получено 2012-02-03.
  9. ^ Кертис, Софи (18 января 2012 г.). "Пользователи Facebook стали жертвами атаки Carberp" человек в браузере ". Получено 2012-02-03.
  10. ^ а б Марушак Клаудиу Флорин (28 ноября 2008 г.). "Средство удаления Trojan.PWS.ChromeInject.B". Получено 2012-02-05.
  11. ^ а б c Наттакант Утакрит, Школа компьютерных наук и безопасности, Университет Эдит Коуэн (25 февраля 2011 г.). «Обзор браузерных расширений, фишинговых методов« злоумышленник в браузере », нацеленных на клиентов банков». Получено 2012-02-03.CS1 maint: несколько имен: список авторов (связь)
  12. ^ а б c Symantec Марк Фосси (08.12.2010). «Банковские троянцы в стиле ZeuS считаются величайшей угрозой для онлайн-банкинга: обзор». Архивировано из оригинал на 2011-08-08. Получено 2012-02-03.
  13. ^ Тед Самсон (22 февраля 2011 г.). «Вредоносное ПО Crafty OddJob оставляет банковские счета в Интернете открытыми для грабежа». Получено 2012-02-06.
  14. ^ Symantec Марк Фосси (23 января 2008 г.). «Банковское дело с уверенностью». Получено 2008-07-30.
  15. ^ а б c d Доверенное лицо. "Trusteer Rapport". Получено 2012-02-03.
  16. ^ Генеральный директор Trusteer Микки Будаей (31 марта 2011 г.). «Атаки« злоумышленник в браузере »нацелены на предприятие». Архивировано из оригинал на 2011-12-08. Получено 2012-02-03.
  17. ^ www.net-security.org (2011-05-11). «Взрывоопасное финансовое вредоносное ПО нацелено на Windows». Получено 2012-02-06.
  18. ^ Йожеф Гегени; Хосе Мигель Эспарса (25 февраля 2011 г.). «Tatanga: новый банковский троян с функциями MitB». Получено 2012-02-03.
  19. ^ "Крошечный банковский троян Tinba - большая проблема". msnbc.com. Получено 2016-02-28.
  20. ^ а б Борейн, Уэйн (2011-05-24). «Вирус Mac OS X, которого не было». Получено 2012-02-08.
  21. ^ Фишер, Деннис (2011-05-02). «Появление пакета Crimeware для Mac OS X». Архивировано из оригинал 5 сентября 2011 г.. Получено 2012-02-03.
  22. ^ F-secure. "Описание угрозыTrojan-Spy: W32 / Zbot". Получено 2012-02-05.
  23. ^ Хён Чой; Шон Кирнан (24 июля 2008 г.). "Технические подробности Trojan.Wsnpoem". Symantec. Получено 2012-02-05.
  24. ^ Microsoft (30 апреля 2010 г.). «Запись в энциклопедии: Win32 / Zbot - Подробнее о вредоносных программах - Центр защиты от вредоносных программ Microsoft». Symantec. Получено 2012-02-05.
  25. ^ а б Ричард С. Уэстморленд (2010-10-20). «Антиисточник - ZeuS». Архивировано из оригинал на 2012-01-20. Получено 2012-02-05.
  26. ^ Горовиц, Майкл (2012-02-06). «Интернет-банкинг: что упустила BBC и рекомендации по безопасности». Получено 2012-02-08.
  27. ^ Парди, Кевин (2009-10-14). «Используйте Linux Live CD / USB для онлайн-банкинга». Получено 2012-02-04.
  28. ^ Finextra Research (13 ноября 2008 г.). «Commerzbank внедрит технологию аутентификации Cronto на базе мобильных телефонов». Получено 2012-02-08.
  29. ^ Чицковски, Эрика (2010-10-05). "'Атаки Man In the Mobile подчеркивают слабые стороны внеполосной аутентификации ». Получено 2012-02-09.
  30. ^ а б Шварц, Мэтью Дж. (13.07.2011). "Банковский троян Zeus атакует телефоны Android". Получено 2012-02-04.
  31. ^ Балан, Махеш (14 октября 2009 г.). «Пользователи интернет-банкинга и мобильного банкинга, берегитесь - ЗИТМО и СПИТМО уже здесь !!». Получено 2012-02-05.
  32. ^ Сартен, Джули (2012-02-07). «Как защитить онлайн-транзакции с помощью многофакторной аутентификации». Получено 2012-02-08.
  33. ^ Imperva (14 февраля 2010 г.). "Мальчик-консультант по угрозам в браузере". Получено 2015-03-12.

внешняя ссылка