На нашем сайте мы используем cookie для сбора информации технического характера и обрабатываем IP-адрес вашего местоположения. Продолжая использовать этот сайт, вы даете согласие на использование файлов cookies. Здесь вы можете узнать, как мы пользуемся файлами cookies.
Я согласен
логотип upread.ru

Бинарная посадка



Бинарная посадка - это общий термин для атаки, при которой злоумышленник помещает двоичный файл, содержащий вредоносный код, в локальную или удаленную файловую систему, чтобы уязвимое приложение могло загрузить и выполнить его.



Существует несколько способов, которыми может произойти эта атака:

  • Небезопасные разрешения на доступ к локальному каталогу позволяют локальному злоумышленнику разместить вредоносный двоичный файл в надежном месте. (Типичным примером является установщик приложений, неправильно настроивший разрешения для каталогов, используемых для хранения файлов приложений.)
  • Одно приложение может быть использовано для размещения вредоносного двоичного файла в надежном расположении другого приложения. (Примером может служить уязвимость смешанной угрозы Internet Explorer - Safari).
  • Приложение ищет двоичный файл в ненадежных местах, возможно, в удаленных файловых системах. (Типичным примером является приложение Windows, загружающее библиотеку динамических ссылок из текущего рабочего каталога после того, как последний был установлен в общую сетевую папку.)
Примеры

Атака на основе небезопасных разрешений доступа

  1. Установщик приложений Windows создает корневой каталог (C:\Application) и устанавливает в нем приложение, но не может ограничить доступ на запись в каталог для непривилегированных пользователей.
  2. Предположим, что приложение (C:\Application\App.exe) загружает WININET.DLL библиотеку, вызвав LoadLibrary("WININET.DLL"). Ожидается, что эта библиотека будет найдена в папке Windows System32.
  3. Локальный пользователь A создает вредоносный WININET.DLL в C:\Application
  4. Локальный пользователь B запускает приложение, которое загружает и выполняет вредоносный WININET.DLL вместо настоящей библиотеки.
Текущая атака на основе рабочего каталога

  1. Предположим, приложение Windows загружает DWMAPI.DLL библиотеку, LoadLibrary("DWMAPI.DLL"). Ожидается, что эта библиотека будет найдена в папке Windows System32, но существует только в Windows Vista и Windows 7.
  2. Предположим, что приложение связано с расширением файла .bp.
  3. Злоумышленник создает общую сетевую папку и размещает файлы honeypot.bp и DWMAPI.DLL в этой папке (возможно, пометив последнюю как скрытую).
  4. Злоумышленник приглашает пользователя Windows XP посетить общую папку с помощью проводника Windows.
  5. Когда пользователь дважды щелкает на honeypot.bp, Проводник Windows пользователя устанавливает текущий рабочий каталог в удаленный общий ресурс и запускает приложение для открытия файла.
  6. Приложение пытается загрузить DWMAPI.DLL, но не сумев найти его в системных каталогах Windows, он загружает и выполняет его из общего сетевого ресурса злоумышленника.




Автор этого материала - я - Пахолков Юрий. Я оказываю услуги по написанию программ на языках Java, C++, C# (а также консультирую по ним) и созданию сайтов. Работаю с сайтами на CMS OpenCart, WordPress, ModX и самописными. Кроме этого, работаю напрямую с JavaScript, PHP, CSS, HTML - то есть могу доработать ваш сайт или помочь с веб-программированием. Пишите сюда.



тегизаметки, информационная безопасность

Читайте также:




PDO и MySQLi: битва API баз данных PHP
Есть ли флеш в браузере?


© upread.ru 2013-2022
При перепечатке активная ссылка на сайт обязательна.
Задать вопрос
письмо
Здравствуйте! Вы можете задать мне любой вопрос. Если не получается отправить сообщение через эту форму, то пишите на почу up777up@yandex.ru
Отправляя сообщение я подтверждаю, что ознакомлен и согласен с политикой конфиденциальности данного сайта.