Emner

Et kig i hackerens værktøjskasse

Ny hackerpakke til salg på nettet giver indsigt i hackerens værktøjer, når netsurfere udsættes for drive-by angreb.

Af Torben R. Simonsen Tirsdag, 8. januar 2008 - 9:51

Før jul blev flere danske sites angrebet af malware, der blev introduceret via bannerannoncer, men langt fra alle angreb mod brugernes computere er afhængige af bannerreklamer på hjemmesider. Det oplyser sikkerhedsfirmaet CSIS, der netop har opdaget nye hackerpakker, der sælges over nettet under navnet FirePack.

FirePack anvendes til såkalte drive-by angreb, hvor brugerens computer inficeres uden at have hverken lod eller del i inficeringen.

CSIS har skilt pakken ad, og ifølge it-sikkerhedseksperten Peter Kruse fra CSIS er angrebsmetoden for hackerpakken, at en usikker hjemmeside hackes, og frem for at deface hjemmeside lægges en stump shellkode ind, der automatisk kalder en ny hjemmeside, hvor de nødvendige hackerværktøjer kan kaldes fra.

»Når først hackeren har fået brugeren over på sin egen hjemmeside, har han fuld kontrol over brugerens maskine uden brugerens viden, og kan fjernstyre den efter behov,« siger han.

Seks kendte sårbarheder

FirePack anvender ifølge Peter Kruse seks kendte sårbarheder i blandt andet Windows Mediaplayer, Apples Quicktime, Winzip og VML.

»Hvis maskinen, som besøger den fjendtlige webside er sårbar overfor blot ét af disse exploits, vil der blive kørt ondsindet kode på systemet automatisk og uden brugerinteraktion. Det er derfor drive-by pakker er blevet så populære hos de it-kriminelle,« siger Peter Kruse.

Han understreger, at den anvendte metode ikke er knyttet til bannerinjektion eller bannerreklamer i øvrigt, men kan komme fra hjemmesider, som man normalt har tillid til, men hvor et sikkerhedshul har givet hackere adgang til at lægge sin skadelige kode ind på siden. Det er samme fremgangsmåde, som ofte bruges af hackergrupper til at ændre eksempelvis et kendt firmas hjemmeside - et såkaldt defacement.

Liste over de sårbarheder som FirePack kigger efter i forbindelse med et angreb:

? MDAC (CVE-2006-0003) ? Windows Media Player plug-in til Firefox og Opera (CVE-2006-0005) ? WebViewFolderIcon ActiveX ? (CVE-2006-3730) ? VML (CVE-2006-4868) ? Winzip FileView ActiveX (CVE-2006-6884) ? QuickTime RSTP (CVE-2007-0015)