Бинарная посадка


Бинарная посадка - это общий термин для атаки, при которой злоумышленник помещает двоичный файл, содержащий вредоносный код, в локальную или удаленную файловую систему, чтобы уязвимое приложение могло загрузить и выполнить его.



Существует несколько способов, которыми может произойти эта атака:

  • Небезопасные разрешения на доступ к локальному каталогу позволяют локальному злоумышленнику разместить вредоносный двоичный файл в надежном месте. (Типичным примером является установщик приложений, неправильно настроивший разрешения для каталогов, используемых для хранения файлов приложений.)
  • Одно приложение может быть использовано для размещения вредоносного двоичного файла в надежном расположении другого приложения. (Примером может служить уязвимость смешанной угрозы Internet Explorer - Safari).
  • Приложение ищет двоичный файл в ненадежных местах, возможно, в удаленных файловых системах. (Типичным примером является приложение Windows, загружающее библиотеку динамических ссылок из текущего рабочего каталога после того, как последний был установлен в общую сетевую папку.)
Примеры

Атака на основе небезопасных разрешений доступа

  1. Установщик приложений Windows создает корневой каталог (C:\Application) и устанавливает в нем приложение, но не может ограничить доступ на запись в каталог для непривилегированных пользователей.
  2. Предположим, что приложение (C:\Application\App.exe) загружает WININET.DLL библиотеку, вызвав LoadLibrary("WININET.DLL"). Ожидается, что эта библиотека будет найдена в папке Windows System32.
  3. Локальный пользователь A создает вредоносный WININET.DLL в C:\Application
  4. Локальный пользователь B запускает приложение, которое загружает и выполняет вредоносный WININET.DLL вместо настоящей библиотеки.
Текущая атака на основе рабочего каталога

  1. Предположим, приложение Windows загружает DWMAPI.DLL библиотеку, LoadLibrary("DWMAPI.DLL"). Ожидается, что эта библиотека будет найдена в папке Windows System32, но существует только в Windows Vista и Windows 7.
  2. Предположим, что приложение связано с расширением файла .bp.
  3. Злоумышленник создает общую сетевую папку и размещает файлы honeypot.bp и DWMAPI.DLL в этой папке (возможно, пометив последнюю как скрытую).
  4. Злоумышленник приглашает пользователя Windows XP посетить общую папку с помощью проводника Windows.
  5. Когда пользователь дважды щелкает на honeypot.bp, Проводник Windows пользователя устанавливает текущий рабочий каталог в удаленный общий ресурс и запускает приложение для открытия файла.
  6. Приложение пытается загрузить DWMAPI.DLL, но не сумев найти его в системных каталогах Windows, он загружает и выполняет его из общего сетевого ресурса злоумышленника.
Автор этого материала - я - Пахолков Юрий. Я оказываю услуги по написанию программ на языках Java, C++, C# (а также консультирую по ним) и созданию сайтов. Работаю с сайтами на CMS OpenCart, WordPress, ModX и самописными. Кроме этого, работаю напрямую с JavaScript, PHP, CSS, HTML - то есть могу доработать ваш сайт или помочь с веб-программированием. Пишите сюда.



тегизаметки, информационная безопасность




Отправляя сообщение я подтверждаю, что ознакомлен и согласен с политикой конфиденциальности данного сайта.



3 лучших способа сохранить мотивацию в шахматах
Страничная организация памяти
Бизнес и PHP