Video: Black Hat 2013 - Million Browser Botnet (September 2024)
Um ein Botnetz zu erstellen, müssen Sie einen Weg finden, die Kontrolle über Tausende von Computern zu übernehmen und sie nach Ihrem Willen zu biegen. Das ist ein harter Job, oder? Nun, nein. In einer Präsentation auf der Black Hat in Las Vegas haben Jeremiah Grossman, Gründer und CTO von WhiteHat Security, und Matt Johansen, Manager des WhiteHat Threat Research Center, eine außergewöhnlich einfache Möglichkeit aufgezeigt, mit der jeder Tausende oder sogar Millionen von Browsern steuern kann.
Grossman zeigte sich begeistert und sagte: "Wir arbeiten seit sechs Monaten daran und sind sehr gespannt auf die Präsentation. Dies wird schnell gehen und wir werden Spaß haben. Wir werden Browser knacken und sie zum Knacken von Websites verwenden."
Die Kraft des Webs
Grossman fuhr fort: "Das Web hat nahezu die vollständige Kontrolle über Ihren Browser, solange Sie verbunden sind. Alles, was wir in unserer Demo tun, hacken wir nichts. Wir verwenden das Web so, wie es beabsichtigt war verwendet werden." Johansen fügte hinzu: "Ich entschuldige mich, wir haben keine Lösung."
Die Präsentation untersuchte eine Vielzahl von Möglichkeiten, wie eine Website Ihren Browser einfach mit ein oder zwei Zeilen Javascript oder sogar einer einfachen (aber optimierten) HTML-Anfrage unterwandern kann. "Wir steuern den Browser ohne Zero-Day-Angriffe", sagte Grossman, "und wir haben die vollständige Kontrolle."
Auf einer Folie mit dem einfachen Code sagte er: "Wir können Ihren Browser dazu zwingen, eine andere Website zu hacken, illegale Dateien von Torrents herunterzuladen, peinliche Suchen durchzuführen, beleidigende Nachrichten zu posten und sogar für Ed Snowden als Person des Jahres zu stimmen."
Million Browser Botnet
All dies war nur eine Einführung in die präsentierte Forschung. Johansen und Grossman entwickelten einen sehr einfachen Denial-of-Service-Angriff und testeten ihn auf ihrem eigenen Server. Sie haben es sogar in Echtzeit während Black Hat demonstriert. Dieser spezielle Angriff überlastete den Server lediglich mit Verbindungsanfragen, aber die verwendete Technik konnte noch viel mehr. Und alles, was sie tun mussten, war ein paar Dollar auszugeben, um eine Anzeige zu schalten, die den Angriff enthielt.
"Einige Werbenetzwerke erlauben willkürliches Javascript in der Anzeige", sagte Grossman, "und andere nicht." Das Team hatte keine Probleme, sein Angriffs-Javascript einzurichten. "Die Überprüfer des Werbenetzwerks waren nicht in der Lage, Javascript zu lesen oder sich auch nur darum zu kümmern", sagte Johansen. "Das eigentliche Problem bestand darin, ein Anzeigenbild zu erstellen, das hübsch aussah und wie eine Anzeige aussah."
Zunächst wurde das Team durch die Notwendigkeit gebremst, bei jeder Änderung des Javascript-Codes eine erneute Genehmigung vom Werbenetzwerk zu erhalten. Sie haben das gelöst, indem sie den Code auf ihren eigenen Host verschoben und ihn einfach vom Code der Anzeige aus aufgerufen haben. Durch diesen Schritt konnte das Werbenetzwerk nicht sehen, was der Code möglicherweise bewirkt. sie schienen sich nicht darum zu kümmern.
Sobald sie den Angriffscode aktiviert hatten, wurde er auf allen Browsern ausgeführt. Jedes Mal, wenn eine Seite mit der Anzeige aufgerufen wurde, wurde eine Verbindung zum Opferserver hergestellt. Der Server konnte der Last nicht standhalten. es ging schief.
Alle Browser begrenzen die Anzahl der gleichzeitigen Verbindungen. Johansen und Grossman haben einen Weg gefunden, das Firefox-Limit von sechs auf Hunderte zu erhöhen. Es stellte sich heraus, dass ihre einfache Attacke auch ohne dieses Power-Up völlig effektiv war und sie es nicht benutzten.
Wessen Problem ist zu beheben?
"Dieser Angriff ist nicht dauerhaft", sagte Grossman. "Es gibt keine Spur davon. Es zeigt Werbung an und verschwindet. Der Code ist nicht verrückt fantastisch, es nutzt das Web nur so, wie es funktionieren soll. Also, wessen Problem ist es zu beheben?"
Dieselbe Technik könnte verwendet werden, um verteilte Berechnungen über Javascript auszuführen, beispielsweise um Brute-Force-Cracks für Kennwörter und Hashes durchzuführen. "Wir werden das Haschknacken für den nächsten Black Hat versuchen", sagte Grossman. "Wie viel kann man für jeweils 50 Cent bezahlter Seitenaufrufe knacken?"
Die Präsentation ließ die Teilnehmer mit dem beunruhigenden Gedanken zurück, dass der beschriebene Angriff das Web genau so nutzt, wie er verwendet werden soll, und wir wissen nicht wirklich, wessen Verantwortung eine Lösung wäre. Grossman hat in der Vergangenheit gesagt, dass wir das Web brechen müssen, um es zu reparieren. Konnte er recht haben? Könnten wir sogar einen Neustart des gesamten Internets überleben?
Folgen Sie SecurityWatch, um weitere Neuigkeiten von Black Hat 2013 zu erhalten.
