转贴自：http://armorize-cht.blogspot.com/2008/08/registerweb.html 本来要睡午觉了，看到 The Register 八月十五号这篇，突然好奇起来： The Register(注1):Mystery web attack hijacks your clipboard(神秘Web攻击绑架 剪贴簿)(注2) 注1. http://www.theregister.co.uk/ 注2. http://www.theregister.co.uk/2008/08/15/webbased_clipboard_hijacking/ 要让我一脚已经踏到床上又起来，当然要有很好的原因。这篇引起我兴趣的原因有： 一、欧洲最大 IT 媒体之一的 The Register(注3) 报的 二、「神秘」这两个字--最近资安界已经很久没有「神秘」的攻击了... 三、「Web 攻击」--我对 Web 安全的议题特别有兴趣，而 The Register 也还蛮专业 的，没有写成「Web 病毒」。没错，Web 上的威胁大部分不是病毒，所以用攻击 （attack）来形容通常比较贴切，所以似乎记者还算专业。 注3. http://www.theregister.co.uk/ 好，爬起来看看写些什麽。小标题：「No, MACs are not immune（抱歉，MAC 并不免疫）」。 OK，文章基本上在讲，最近有一种 Web 上的攻击，绑架使用者的剪贴簿，不论你贴 上什麽东西，等到贴出来，都会变成一个恶意的连结。报导中： 一、列举了一堆受害者上网的留言（这里(注4) 这里(注5) 这里(注6) 这里(注7)） 注4. http://forums.techguy.org/malware-removal-hijackthis-logs/729773-weird-copy-paste-virus.html 注5. http://discussions.apple.com/thread.jspa?messageID=7768848 注6. http://www.thornsoft.com/phpBB2/viewtopic.php?t=3567 注7. http://forums.devnetwork.net/viewtopic.php?f=6&t=86448&p=477521 二、报导说这些受害的使用者有用 Windows 系统的也有用 MAC OS X 系统的，虽然以 上四篇都是用 Firefox，但是不排除其他浏览器也可能受攻击。 三、报导建议使用 Firefox 的 noscript 外挂(注8)。 注8. http://noscript.net/ OK，福尔韦恩小侦探出现了...根据上述证据，福尔韦恩的推论： 一、记者厉害，没写成病毒，而写成 Web 攻击。可能因为他引述的那四篇求救文，有 人是跑 MAC OS 2 而有人跑 Windows，所以他从中知道，大概不是病毒，而是一种对 浏览器的攻击。 二、报导说恶意的网址是 xp-vista-update.net（点下去自行负责，我刚才用 HackAlert (注9)扫过没有问题，但是现在没有问题不代表你点的时候没有问题，这种恶 意 网页随时在改内容）。做一下 whois，这个网域电话是南斯拉夫的、DNS 是恶名昭彰 的 estboxes.com、IP 为 83.229.251.28 是俄罗斯的 IP。福尔韦恩：有目的、组织 性攻击之可能提升！ 注9. http://hackalert.armorize.com/ 三、福尔韦恩依稀记得，IE 才是笨到会让 javascript存取剪贴簿的浏览器（CVE-2002 -1671(注10) ），而且 2002 年被报有问题，到 2006 年底出IE 7 才把问题修掉。 可是记者说受害者都是用 Firefox... 聪明的 Firefox 预设是不让 javascript 存取 剪贴簿的(注11)... 所以凶手...一定是最近 PDP (注12)与 RSnake (注13)都一直在讲 的--Adobe Flash！其实福尔韦恩也依稀记得，Flash 可以存取剪贴簿(注14)... 注10. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2002-1671 注11. http://kb.mozillazine.org/Granting_JavaScript_access_to_the_clipboard 注12. http://armorize-cht.blogspot.com/2008/08/black-hat-2008.html#PDP 注13. http://armorize-cht.blogspot.com/2008/08/black-hat-2008.html#RSNAKE 注14. http://livedocs.adobe.com/flash/8/main/wwhelp/wwhimpl/common/html/wwhelp. htm?context=LiveDocs_Parts&file=00002727.html 四、报导说受害者是在浏览 MSNBC.COM(注15.) 时被攻击绑架剪贴簿的。福尔韦恩： 很有可能是骇客组织向 MSNBC.COM 买了广告 banner，并在广告中利用 Flash 来达成 攻击。以 MSNBC.COM 的流量，影响人数应该不少。 注15. http://msnbc.com/ 是否真的是这样呢？ 再确定技术细节以前，我们先来看看，这种攻击的效果是什麽？如果只是单纯能写入剪贴 簿，这样的一个网页（或广告页）能造成什麽威胁？因为其时还有第五点： 五、即使这种攻击可以做到，还真的有人受害出来求救，表示技术面如何达到先不管， 但这种攻击确实有其威胁性。但是如果只是写入剪贴簿，那威胁性在哪？ Google 了一下，发现威胁自七月中开始，并蛮多人抱怨的： 七月12日，有人被攻击，无法解除状况，贴文出来(注16)，并用趋势扫瞄未发现病毒。 注16. http://forums.techguy.org/malware-removal-hijackthis-logs/729773-weird- copy-paste-virus.html 八月08日，有人贴文对美国大选发表意见，却遭攻击，直接把恶意连结贴出来(注17)。 该使用者「Old Owl333」在贴文的时候一定是先 CTRL-C 复制然後再 CTRL-V 贴出， 没想到剪贴簿遭绑架，贴出了恶意的连结： 注17. http://boards.msn.com/MSNBCboards/thread.aspx?threadid=708752&boardsparam=Page%3D983 图片：http://3.bp.blogspot.com/_hELDi5B8zOI/SKe4MngLNiI/AAAAAAAAA9o/l_Bc-- 0ZGU8/s1600/clipboard_hijack_1.png 八月07日，有人快疯了，剪贴簿一直被植入恶意连结(注18)。 注18. http://forums.devnetwork.net/viewtopic.php?f=6&t=86448&p=477521 恶意连结到底连到哪里？做什麽？ 八月10日，Kayrac (注19)做了分析： 注19. http://www.dslreports.com/profile/485678 图片： http://4.bp.blogspot.com/_hELDi5B8zOI/SKe7X953HOI/AAAAAAAAA9w/fNAEvvLYSxU/s1600/clipboard_hijack_2.png 恶意连结「http://xp-vista-update.net/?id=xx」根据後面参数「id= xx」之不同， 转址到不同的网站，但是大部分都是到某网站骗使用者下载一个伪扫毒软体「Internet Scanner 2009」或「AV 2009」。根据 八月10日，Kayrac(注20) 贴的文，把此程式放到 virustotal 测试(注21)，没有几家会侦测出它是伪的。 注20. http://www.dslreports.com/profile/485678 注21. http://www.virustotal.com/analisis/48bb1c19196fc5712c5f187457e443d0 其实如果 Google 「xp-vista-update」，可以发觉中奖而跑出来贴文的还真不少。但是 \这边就显示了 The Register(注22) 记者的功力：大部分受害者贴文，都用了「病毒 （virus）」一辞来形容此攻击，但是记者却正确的用了 「Web 攻击」来形容。 注22. http://www.theregister.co.uk/ 调查到此，福尔韦恩已经确定，此为有组织性，有目的性之 Web 攻击行为，其攻击手法 的确会造成威胁，并确实可以达到攻击者的目的。 好了，现在来调查技术上到底如何达成的。我先写一段可以写剪贴簿，但是只在 IE 中有 效的 javascript。为了此 javascript 显示出来好看，我用 syntaxhighligher (注23) 来显示。syntaxhighlighter(注24) 是很流行的一套 javascript，可以显示很漂亮的程 式码。以下是一段在 IE 执行时可以写入剪贴簿的 javascript： 注23. http://code.google.com/p/syntaxhighlighter/ 注24. http://code.google.com/p/syntaxhighlighter/ view plaincopy to clipboardprint? 01. <textarea name="prettyprint" class="javascript"> 02. <button onClick="IE_ClipBoard();">Copy to Clipboard</button> 03. <script> 04. function IE_ClipBoard() 05. { 06. if (window.clipboardData) { 07. window.clipboardData.setData("Text","Hello from Wayne!"); 08. } 09. } 10. </script> Link:[http://www.openwaves.net/armorize_blog/clipboardhijack/IE_clipboard.html] 执行起来如以下，如果您正在用 IE 可以按下按钮看看，然後再找地方 CTRL-V 贴上， 就会发现剪贴簿被改了。但是如果是 IE 7 以上，会发现 IE 会问你是否允许存取剪贴簿 。 [Copy to Clipboard按钮] http://www.openwaves.net/armorize_blog/clipboardhijack/IE_clipboard2.html 既然 IE 7 已经修正此安全性漏洞，firefox 上则预设不允许，除非你修改设定，不然连 问都不会问，反正就是不行... 那麽，唯一的凶手就是... flash 了。 其实上方用来显示漂亮程式码的 syntaxhighligher(注25)，早就透露了破案线索了。 仔细观察，程式码视窗上面有一个灰色的小字：「copy to clipboard」。试试看按下去 ， 你会发现程式码已经贴到您的剪贴簿了，但是 IE 没有问你是否允许，firefox 也直接 work... :) 注25. http://code.google.com/p/syntaxhighlighter/ 为何？都是 Adobe flash 的漏洞... 但是这种东西比漏洞严重，漏洞会被修改，这种算 是「功能」，短期内不太可能改。为何？因为一旦功能公开，就会有很多人使用，一旦 大家用了一个功能，要将此功能取消，就很不容易了。如果您 Google 「_clipboard.swf 」或「clipboard.swf」或「flash copier」就会发现有多少程式都用了这个伟大的功能了 。 这个手法主要是利用Flash ActionScript：System.setClipboard (注26)这个 含式来写入剪贴簿。 注26. http://livedocs.adobe.com/flash/8/main/wwhelp/wwhimpl/common/html/wwhelp. htm?context=LiveDocs_Parts&file=00002727.html 程式码分两部分，一部分是一小段 Flash ActionScript，编译成一个 flash SWF 档 （这里可以下载(注27)），另一部分则是一小段 javascript。 注27. http://www.openwaves.net/armorize_blog/dp.SyntaxHighlighter/Scripts. clipboard.swf Flash action script 的程式码如下（这里可以下载编译好的 SWF 档）(注28)： 注28. http://www.openwaves.net/armorize_blog/dp.SyntaxHighlighter/Scripts. clipboard.swf view plaincopy to clipboardprint? 01. if (clipboard.length) System.setClipboard(clipboard); Link:[http://www.openwaves.net/armorize_blog/clipboardhijack/IE_clipboard3.html] Javascript 程式码则如下： view plaincopy to clipboardprint? 01. var flashcopier = 'flashcopier'; 02. 03. if(!document.getElementById(flashcopier)) { 04. var divholder = document.createElement('div'); 05. divholder.id = flashcopier; 06. document.body.appendChild(divholder); 07. } 08. document.getElementById(flashcopier).innerHTML = ''; 09. var divinfo = '<embed src="http://www.openwaves.net/armorize_blog/dp.SyntaxHighlighter/'+ 10. 'Scripts/clipboard.swf" FlashVars="clipboard='+ 11. encodeURIComponent("Hello from Wayne!") + 12. '" width="0" height="0" 13. setInterval("ClipBoard_Attack();",500); 14. 15. } 16. 17. function ClipBoard_Attack() { 18. document.getElementById(flashcopier).innerHTML = ''; 19. var divinfo = '<embed src="http://www.openwaves.net/armorize_blog/dp.SyntaxHighlighter/'+ 20. 'Scripts/clipboard.swf" FlashVars="clipboard='+ 21. encodeURIComponent("Hello from Wayne!") + 22. '" width="0" height="0" type="application/x-shockwave-flash"></embed>'; 23. document.getElementById(flashcopier).innerHTML = divinfo; 24. } 25. </script> Link:[http://armorize-cht.blogspot.com/2008/08/registerweb.html] 跑起来就像下面这样，按下按钮就绑架你的剪贴簿： [Hijack my clipboard!按钮] http://www.openwaves.net/armorize_blog/clipboardhijack/IE_clipboard6.html 原来元凶就是 Adobe Flash 啊！您猜到了吗？ 於是福尔韦恩调查成功，回去写报告曰： 一、此次 The Register (注29)报导之「神秘 Web 攻击绑架剪贴簿(注30)」事件， 元凶再次为 Adobe Flash。 注29. http://www.theregister.co.uk/ 注30. http://www.theregister.co.uk/2008/08/15/webbased_clipboard_hijacking/ 二、此为 Flash 存在已久之功能，许多网站皆运用此功能，故短期内 Adobe 不容易取消此功能，威胁将持续一段时间。 三、了解此类攻击甚为重要，此类即今年与去年各大资安会议，Jeremiah、PDP(注31) 与 RSnake(注32) 三位研究员一直在提的 client-side 攻击。由於这些攻击大部分 利用第三方外挂之漏洞甚至「功能」，问题短时间不易改善。试想如果攻击 IE 漏洞 ，则攻击对 firefox 就无效；然针对各浏览器皆有普遍安装之第三方外挂，如 Adobe Flash、PDF 等攻击，则可以跨浏览器。本事件便是一例。 注32. http://armorize-cht.blogspot.com/2008/08/black-hat-2008.html#PDP 注33. http://armorize-cht.blogspot.com/2008/08/black-hat-2008.html#RSNAKE 四、此类为 Web 攻击，其中 Javascript 又可以经过各种方式加壳与变形(注34)， 防毒软体几乎没有可能侦测到。 注34. http://www.malwareguru.org/mediawiki/index.php/Collection_of_tools _for_javascript_encryption_%28javascript_packers%29 五、从两方面观察：A) 散播 Web 攻击之伺服器所属地区 以及 B) 诸多使用者 确实被攻击之案例，此为有组织性，有目的性之 Web 攻击行为，其攻击手法的 确会造成威胁，并确实可以达到攻击者的目的。 六、防御的方法：可以选择使用 firefox (注35)外挂 noscript (注36)与 FlashBlock。 注35. http://noscript.net/ 注36. http://flashblock.mozdev.org/ 看了上述事实陈列，您认为福尔韦恩这次的调查分析正确吗？ ;-) 转贴自：http://armorize-cht.blogspot.com/2008/08/registerweb.html --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 60.250.42.178