S3 Ep100: เบราว์เซอร์ในเบราว์เซอร์ – วิธีสังเกตการโจมตี [เสียง + ข้อความ]

คลิกแล้วลากบนคลื่นเสียงด้านล่างเพื่อข้ามไปยังจุดใดก็ได้ นอกจากนี้คุณยังสามารถ ฟังโดยตรง บนซาวด์คลาวด์

ดั๊ก.  Deadbolt - กลับมาแล้ว!

แพทช์มากมาย!

และเขตเวลา… ใช่ เขตเวลา

ทั้งหมดนั้นและอีกมากมายใน Naked Security Podcast

[โมเด็มดนตรี]

ยินดีต้อนรับสู่พอดคาสต์ทุกคน

ฉันดั๊ก อามอธ

กับฉันเช่นเคยคือ Paul Ducklin

พอล ตอนที่ 100 มีความสุขมากสำหรับคุณเพื่อนของฉัน!

---

เป็ด.  ว้าว ดั๊ก!

รู้ไหม เมื่อฉันเริ่มโครงสร้างไดเร็กทอรีสำหรับ Series 3 ฉันกล้าใช้ -001 สำหรับตอนแรก

---

ดั๊ก.  ฉันไม่ได้. [หัวเราะ]

---

เป็ด.  ไม่ -1 or -01.

---

ดั๊ก.  ฉลาด…

---

เป็ด.  ฉันมีศรัทธามาก!

และเมื่อฉันบันทึกไฟล์ของวันนี้ ฉันจะดีใจกับมัน

---

ดั๊ก.  ใช่ และฉันจะกลัวมันเพราะมันจะโผล่ขึ้นมาด้านบน

ครับ...ผมจะต้องจัดการมันในภายหลัง...

---

เป็ด.  [หัวเราะ] เปลี่ยนชื่ออย่างอื่นก็ได้

---

ดั๊ก.  ฉันรู้ว่าฉันรู้ว่า.

[พึมพำ] ไม่ได้ตั้งตารอสิ่งนั้น… ไปวันพุธของฉัน

มาเริ่มการแสดงด้วย Tech History กันดีกว่า

สัปดาห์นี้ วันที่ 12 กันยายน 1959 Luna xnumxยังเป็นที่รู้จัก จรวดจักรวาลโซเวียตที่สองกลายเป็นยานอวกาศลำแรกที่ไปถึงพื้นผิวดวงจันทร์ และเป็นวัตถุที่มนุษย์สร้างขึ้นชิ้นแรกที่สัมผัสกับเทห์ฟากฟ้าอีกดวง

เด็ดมาก

---

เป็ด.  ชื่อยาวนั้นคืออะไร?

“จรวดจักรวาลโซเวียตที่สอง”?

---

ดั๊ก.  ใช่.

---

เป็ด.  ลูน่าทู จะดีกว่ามาก

---

ดั๊ก.  ใช่ดีกว่ามาก!

---

เป็ด.  เห็นได้ชัดว่า อย่างที่คุณสามารถจินตนาการได้ เนื่องจากเป็นยุคการแข่งขันในอวกาศ จึงมีข้อกังวลอยู่บ้างว่า “เราจะรู้ได้อย่างไรว่าพวกเขาทำสำเร็จแล้วจริงๆ พวกเขาสามารถพูดได้ว่าพวกเขาลงจอดบนดวงจันทร์แล้วและบางทีพวกเขากำลังสร้างมันขึ้นมา”

เห็นได้ชัดว่าพวกเขาคิดค้นโปรโตคอลที่จะอนุญาตให้สังเกตได้อย่างอิสระ

พวกเขาทำนายเวลาที่มันจะมาถึงดวงจันทร์ ชนดวงจันทร์ และพวกเขาได้ส่งเวลาที่แน่นอนที่พวกเขาคาดไว้ให้กับนักดาราศาสตร์ในสหราชอาณาจักร

และเขาสังเกตอย่างอิสระเพื่อดูว่าสิ่งที่พวกเขากล่าวว่า * จะเกิดขึ้น * ในขณะนั้น * จะเกิดขึ้นหรือไม่

ดังนั้นพวกเขาถึงกับคิดว่า “คุณจะตรวจสอบสิ่งนี้ได้อย่างไร”

---

ดั๊ก.  ในเรื่องของความซับซ้อน เรามีแพตช์จาก Microsoft และ Apple

มีอะไรเด่นในรอบล่าสุดนี้บ้าง?

---

เป็ด.  เราทำอย่างแน่นอน – เป็นวันอังคารในสัปดาห์นี้ ซึ่งเป็นวันอังคารที่สองของเดือน

มีช่องโหว่สองจุดใน Patch Tuesday ที่ผมสังเกตเห็นได้ชัดเจน

สิ่งหนึ่งที่โดดเด่นเพราะเห็นได้ชัดว่าอยู่ในป่า - กล่าวอีกนัยหนึ่งคือเป็นซีโร่เดย์

และแม้ว่าจะไม่ใช่การเรียกใช้โค้ดจากระยะไกล แต่ก็น่ากังวลเล็กน้อยเพราะเป็นช่องโหว่ของไฟล์บันทึก [COUGHS APOLOGETICALLY] Doug!

มันไม่เท่า แย่เหมือน Log4Jที่ซึ่งคุณไม่เพียงแต่ทำให้คนตัดไม้ทำงานผิดปกติเท่านั้น คุณยังทำให้คนตัดไม้ทำงานด้วย เรียกใช้รหัสโดยพลการ สำหรับคุณ

แต่ดูเหมือนว่าหากคุณส่งข้อมูลที่มีรูปแบบไม่ถูกต้องลงในไดรเวอร์ CLFS ของ Windows Common Log File System คุณสามารถหลอกให้ระบบส่งเสริมให้คุณใช้สิทธิ์ของระบบได้

แย่เสมอถ้าคุณเข้ามาในฐานะผู้ใช้ทั่วไป และคุณสามารถเปลี่ยนตัวเองเป็นผู้ดูแลระบบ...

---

ดั๊ก.  [หัวเราะ] ใช่!

---

เป็ด.  คือ CVE-2022-37969.

และอีกอย่างที่ผมเห็นว่าน่าสนใจ...

…โชคดีที่ไม่ได้อยู่ในป่า แต่นี่คือสิ่งที่คุณจำเป็นต้องแก้ไข เพราะฉันพนันได้เลยว่าคุณคือคนที่อาชญากรไซเบอร์จะมุ่งเน้นไปที่วิศวกรรมย้อนกลับ:

“ช่องโหว่การเรียกใช้โค้ดจากระยะไกลของ Windows TCP/IP”, CVE-2022-34718.

ถ้าคุณจำได้ รหัสแดงและ SQL สแลมเมอร์และเวิร์มจอมซนเหล่านั้นในอดีต ที่ซึ่งพวกเขาเพิ่งมาถึงในแพ็กเก็ตเครือข่าย และเข้ามาขวางทางระบบ….

นี่เป็นระดับที่ต่ำกว่านั้นด้วยซ้ำ

เห็นได้ชัดว่าข้อบกพร่องในการจัดการแพ็กเก็ต IPv6 บางตัว

ดังนั้นทุกสิ่งที่ IPv6 กำลังฟังอยู่ ซึ่งแทบจะเป็นคอมพิวเตอร์ Windows แทบทุกเครื่องก็อาจมีความเสี่ยงจากสิ่งนี้

อย่างที่ฉันบอกไป อันนั้นไม่ได้อยู่ในป่า ดังนั้นพวกมิจฉาชีพยังหามันไม่เจอ แต่ฉันไม่สงสัยเลยว่าพวกเขาจะเอาแผ่นปะแก้และพยายามหาว่าพวกเขาสามารถย้อนทางวิศวกรรมการเอารัดเอาเปรียบจากมันได้หรือไม่ เพื่อไล่จับคนที่ยังไม่ได้แพทช์

เพราะถ้ามีอะไรว่า “โว้ว! ถ้ามีคนเขียนเวิร์มที่ใช้สิ่งนี้ล่ะ”…นั่นคือสิ่งที่ฉันจะกังวล

---

ดั๊ก.  ตกลง

แล้วถึงแอปเปิ้ล...

---

เป็ด.  เราได้เขียนเรื่องราวเกี่ยวกับแพตช์ Apple สองเรื่องเมื่อเร็วๆ นี้ ซึ่งจู่ๆ ก็มีแพตช์สำหรับ iPhone และ iPad และ Mac ที่ต่อต้าน สองซีโร่เดย์ที่อยู่ในป่า.

หนึ่งคือบั๊กของเบราว์เซอร์ หรือบั๊กที่เกี่ยวข้องกับการท่องเว็บ เพื่อให้คุณสามารถเข้าไปในเว็บไซต์ที่ดูไร้เดียงสาและมัลแวร์สามารถลงจอดบนคอมพิวเตอร์ของคุณ บวกกับอีกอันหนึ่งที่ให้การควบคุมระดับเคอร์เนลแก่คุณ...

…ซึ่งอย่างที่ฉันพูดในพอดแคสต์ที่แล้ว มีกลิ่นเหมือนสปายแวร์สำหรับฉัน ซึ่งเป็นสิ่งที่ผู้ขายสปายแวร์หรือ "อาชญากรไซเบอร์ที่เฝ้าระวัง" ที่จริงจังจะสนใจ

จากนั้นมีการอัปเดตครั้งที่สอง ที่ทำให้เราประหลาดใจ สำหรับ iOS 12ที่เราคิดว่าถูกละทิ้งไปนานแล้ว

ที่นั่น หนึ่งในบั๊กเหล่านั้น (บั๊กที่เกี่ยวข้องกับเบราว์เซอร์ที่อนุญาตให้โจรบุกรุก) ได้รับแพตช์

จากนั้นเมื่อฉันคาดหวัง iOS 16 อีเมลทั้งหมดเหล่านี้ก็เริ่มลงจอดในกล่องจดหมายของฉัน – หลังจากที่ฉันตรวจสอบ "iOS 16 ออกมาหรือยัง? ฉันสามารถอัปเดตได้หรือไม่”

ไม่ได้อยู่ที่นั่น แต่แล้วฉันก็ได้รับอีเมลทั้งหมดเหล่านี้ว่า "เราเพิ่งอัปเดต iOS 15 และ macOS Monterey และ Big Sur และ iPadOS 15"...

… และปรากฎว่ามีการอัปเดตมากมาย รวมทั้งเคอร์เนล zero-day ใหม่ล่าสุดในครั้งนี้ด้วย

และสิ่งที่น่าสนใจก็คือ หลังจากที่ฉันได้รับการแจ้งเตือน ฉันคิดว่า “เอาล่ะ ขอฉันตรวจสอบอีกครั้ง…”

(จำไว้ให้ขึ้นใจว่า การตั้งค่า > General > การปรับปรุงซอฟต์แวร์ บน iPhone หรือ iPad ของคุณ)

ดูเถิด ฉันได้รับข้อเสนอให้อัปเดตเป็น iOS 15 ซึ่งฉันมีอยู่แล้ว *หรือ* ฉันสามารถข้ามไปยัง iOS 16 ได้

และ iOS 16 ก็มีการแก้ไขซีโร่เดย์ในนั้นด้วย (แม้ว่าตามทฤษฎีแล้ว iOS 16 ยังไม่ออก) ดังนั้นฉันเดาว่าบั๊กนั้นมีอยู่ในเบต้าด้วย

ไม่ได้ระบุอย่างเป็นทางการว่าเป็นซีโร่เดย์ในแถลงการณ์ของ Apple สำหรับ iOS 16 แต่เราไม่สามารถบอกได้ว่าเป็นเพราะช่องโหว่ที่ Apple เห็นว่าทำงานไม่ถูกต้องบน iOS 16 หรือไม่ หรือไม่ถือว่าเป็นศูนย์ เพราะ iOS 16 เพิ่งจะออกมา

---

ดั๊ก.  ใช่ฉันกำลังจะพูดว่า: ยังไม่มีใครมีเลย [เสียงหัวเราะ]

---

เป็ด.  นั่นคือข่าวใหญ่จาก Apple

และที่สำคัญคือเมื่อคุณใช้โทรศัพท์แล้วพูดว่า “โอ้ iOS 16 พร้อมใช้งานแล้ว”… หากคุณยังไม่สนใจ iOS 16 คุณยังต้องแน่ใจว่าคุณมี iOS 15 อัปเดตเนื่องจากเคอร์เนลซีโร่เดย์

Kernel zero days มักเป็นปัญหาเพราะมันหมายความว่ามีคนรู้วิธีเลี่ยงการตั้งค่าความปลอดภัยที่โอ้อวดมากบน iPhone ของคุณ

ข้อผิดพลาดนี้ยังใช้กับ macOS Monterey และ macOS Big Sur ซึ่งเป็นเวอร์ชันก่อนหน้า macOS 11

อันที่จริงแล้ว เพื่อไม่ให้เสียเปรียบ Big Sur มีจุดบกพร่องซีโร่เดย์ *สอง* เคอร์เนลอยู่ในป่า

ไม่มีข่าวเกี่ยวกับ iOS 12 ซึ่งเป็นสิ่งที่ฉันคาดไว้ และตอนนี้ยังไม่มี macOS Catalina

Catalina คือ macOS 10 ซึ่งเป็นเวอร์ชันก่อนหน้า และอีกครั้ง เราไม่ทราบว่าการอัปเดตดังกล่าวจะมาในภายหลังหรือไม่ หรือหลุดออกจากขอบโลก และจะไม่ได้รับการอัปเดตต่อไป

น่าเศร้าที่ Apple ไม่ได้พูด ดังนั้นเราจึงไม่รู้

ตอนนี้ ผู้ใช้ Apple ส่วนใหญ่จะเปิดการอัปเดตอัตโนมัติ แต่อย่างที่เราพูดเสมอว่า ให้ไปและตรวจสอบ (ไม่ว่าคุณจะมี Mac หรือ iPhone หรือ iPad) เพราะสิ่งที่แย่ที่สุดคือการสันนิษฐานว่าระบบอัตโนมัติของคุณ การอัปเดตทำงานและทำให้คุณปลอดภัย...

…เมื่อความจริงมีบางอย่างผิดพลาด

---

ดั๊ก.  โอเคดีมาก ๆ.

สิ่งที่ฉันเฝ้ารอคือ "เขตเวลาเกี่ยวอะไรกับความปลอดภัยด้านไอที"

---

เป็ด.  ค่อนข้างมาก ปรากฎว่าดั๊ก

---

ดั๊ก.  [หัวเราะ] เยสเซอร์!

---

เป็ด.  เขตเวลามีแนวคิดที่ง่ายมาก

มันสะดวกมากในการใช้ชีวิตเพื่อให้นาฬิกาของเราตรงกับสิ่งที่เกิดขึ้นบนท้องฟ้า ดังนั้นตอนกลางคืนจึงมืดและสว่างในตอนกลางวัน (อย่าสนใจการปรับเวลาตามฤดูกาล และสมมติว่าเรามีเขตเวลาเพียงหนึ่งชั่วโมงทั่วโลก เพื่อให้ทุกอย่างเรียบง่ายจริงๆ)

ปัญหาเกิดขึ้นเมื่อคุณเก็บบันทึกของระบบในองค์กรที่เซิร์ฟเวอร์บางส่วน ผู้ใช้บางส่วน บางส่วนของเครือข่าย ลูกค้าบางส่วนของคุณ อยู่ในส่วนอื่นๆ ของโลก

เมื่อคุณเขียนลงในล็อกไฟล์ คุณเขียนเวลาด้วยเขตเวลาหรือไม่

เมื่อคุณกำลังเขียนบันทึกของคุณ Doug คุณลบ 5 ชั่วโมง (หรือ 4 ชั่วโมงในขณะนี้) ที่คุณต้องการเพราะคุณอยู่ในบอสตันหรือไม่ ในขณะที่ฉันเพิ่มหนึ่งชั่วโมงเพราะฉันอยู่ในเวลาลอนดอน แต่มันเป็นฤดูร้อน ?

ฉันเขียนสิ่งนั้นลงในบันทึกเพื่อให้ *ฉัน* เข้าใจเมื่ออ่านบันทึกย้อนกลับหรือไม่

หรือฉันเขียนเวลาตามรูปแบบบัญญัติและชัดเจนมากขึ้นโดยใช้เขตเวลาเดียวกันสำหรับ *ทุกคน* ดังนั้นเมื่อฉันเปรียบเทียบบันทึกที่มาจากคอมพิวเตอร์หลายเครื่อง ผู้ใช้ต่างกัน ส่วนต่าง ๆ ของโลกบนเครือข่ายของฉัน ฉันสามารถจัดเรียงเหตุการณ์ได้จริงหรือ

การจัดลำดับเหตุการณ์เป็นสิ่งสำคัญมาก Doug โดยเฉพาะอย่างยิ่งหากคุณกำลังตอบสนองต่อภัยคุกคามในการโจมตีทางอินเทอร์เน็ต

คุณจำเป็นต้องรู้ว่าอะไรมาก่อน

และถ้าคุณพูดว่า “โอ้ ยังไม่ถึงบ่าย 3 โมง” นั่นไม่ช่วยอะไรฉันเลยถ้าฉันอยู่ที่ซิดนีย์ เพราะบ่าย 3 โมงของฉันเกิดขึ้นเมื่อวานนี้ เทียบกับเวลา 3 น.

ดังนั้น ฉัน เขียนบทความ บน Naked Security เกี่ยวกับวิธีการบางอย่างที่คุณทำได้ จัดการกับปัญหานี้ เมื่อคุณบันทึกข้อมูล

คำแนะนำส่วนตัวของฉันคือการใช้รูปแบบการประทับเวลาแบบง่ายที่เรียกว่า RFC 3339โดยที่คุณใส่ปีสี่หลัก ขีดกลาง [อักขระยัติภังค์ ASCII 0x2D] เดือนสองหลัก ขีดกลาง วันสองหลัก และอื่นๆ เพื่อให้การประทับเวลาของคุณจัดเรียงตามตัวอักษรอย่างแท้จริง

และให้คุณบันทึกเขตเวลาทั้งหมดของคุณเป็นโซน tme ที่เรียกว่า Z (zed หรือ zee) ย่อมาจาก เวลาซูลู.

นั่นหมายถึงโดยทั่วไป UTC หรือเวลาสากลเชิงพิกัด

นั่นคือเวลามาตรฐานกรีนิชที่เกือบจะแต่ไม่ใช่ทีเดียว และเป็นเวลาที่นาฬิกาในคอมพิวเตอร์หรือโทรศัพท์แทบทุกเครื่องถูกตั้งค่าเป็นนาฬิกาภายในจริง ๆ ในปัจจุบัน

อย่าพยายามชดเชยเขตเวลาเมื่อคุณกำลังเขียนลงในบันทึก เพราะเมื่อนั้นจะต้องมีคนชดเชยเมื่อพวกเขาพยายามเรียงบันทึกของคุณกับคนอื่น - และมีหลายข้อผิดพลาดในการพลิกถ้วยและริมฝีปาก ดั๊ก.

ง่าย ๆ เข้าไว้.

ใช้รูปแบบข้อความตามรูปแบบบัญญัติและเรียบง่ายซึ่งระบุวันที่และเวลาได้อย่างแม่นยำ จนถึงวินาที หรือในปัจจุบัน การประทับเวลาอาจลดเหลือระดับนาโนวินาทีได้หากต้องการ

และกำจัดเขตเวลาออกจากบันทึกของคุณ กำจัดการออมแสงจากบันทึกของคุณ และในความคิดของฉันก็แค่บันทึกทุกอย่างในเวลาสากลเชิงพิกัด…

…ตัวย่อ UTC ที่สับสนเพราะชื่อเป็นภาษาอังกฤษ แต่ตัวย่อเป็นภาษาฝรั่งเศส – เป็นการประชดประชัน

---

ดั๊ก.  ใช่.

---

เป็ด.  
ฉันอยากจะพูดว่า “ฉันไม่ได้รู้สึกหนักใจกับมันอีกแล้ว” ตามปกติแล้วหัวเราะ...

…แต่สิ่งสำคัญคือต้องจัดการสิ่งต่าง ๆ ให้ถูกต้อง โดยเฉพาะอย่างยิ่งเมื่อคุณพยายามติดตามอาชญากรไซเบอร์

---

ดั๊ก.  ดีครับ เป็นคำแนะนำที่ดี

และถ้าเรายึดติดกับเรื่องของอาชญากรไซเบอร์ คุณคงเคยได้ยินเกี่ยวกับการโจมตีแบบ Manipulator-in-the-Middle คุณเคยได้ยินเกี่ยวกับการโจมตีของ Manipulator-in-the-Browser...

..ตอนนี้เตรียมตัวให้พร้อมสำหรับการโจมตีแบบ Browser-in-the-Browser

---

เป็ด.  ใช่ นี่เป็นศัพท์ใหม่ที่เราเห็น

ฉันต้องการเขียนสิ่งนี้เพราะนักวิจัยจากบริษัทข่าวกรองภัยคุกคามชื่อ Group-IB เพิ่งเขียนบทความเกี่ยวกับเรื่องนี้ และสื่อก็เริ่มพูดถึง "เฮ้ เบราว์เซอร์ในเบราว์เซอร์โจมตี กลัวมาก" หรืออะไรก็ตาม …

คุณกำลังคิดว่า "ฉันสงสัยว่ามีกี่คนที่รู้ว่าการโจมตีของ Browser-in-the-Browser หมายถึงอะไร"

และสิ่งที่น่ารำคาญเกี่ยวกับการโจมตีเหล่านี้ ดั๊ก คือในเชิงเทคโนโลยี พวกมันเรียบง่ายมาก

มันเป็นความคิดที่เรียบง่าย

---

ดั๊ก.  พวกเขาเกือบจะเป็นศิลปะ

---

เป็ด.  ใช่!

มันไม่ใช่วิทยาศาสตร์และเทคโนโลยีจริงๆ มันคือศิลปะและการออกแบบใช่ไหม

โดยพื้นฐานแล้ว หากคุณเคยเขียนโปรแกรม JavaScript ใดๆ (ไม่ว่าจะดีหรือชั่ว) คุณจะรู้ว่าสิ่งหนึ่งที่เกี่ยวกับสิ่งที่คุณติดอยู่ในหน้าเว็บก็คือว่ามันมีไว้เพื่อจำกัดหน้าเว็บนั้น

ดังนั้น หากคุณเปิดหน้าต่างใหม่ขึ้นมา คุณก็คาดหวังว่าหน้าต่างนั้นจะได้รับบริบทของเบราว์เซอร์ใหม่เอี่ยม

และหากโหลดหน้าจากเว็บไซต์ใหม่ เช่น ไซต์ฟิชชิ่ง จะไม่สามารถเข้าถึงตัวแปร JavaScript บริบท คุกกี้ และทุกอย่างที่มีในหน้าต่างหลักได้

ดังนั้น หากคุณเปิดหน้าต่างแยกต่างหาก แสดงว่าคุณกำลังจำกัดความสามารถในการแฮ็คของคุณ หากคุณเป็นนักต้มตุ๋น

แต่ถ้าคุณเปิดบางอย่างในหน้าต่างปัจจุบัน แสดงว่าคุณจำกัดความน่าตื่นเต้นและ "เหมือนระบบ" ที่ทำให้มันดูน่าตื่นเต้นได้ใช่ไหม

เพราะคุณไม่สามารถเขียนทับแถบที่อยู่... นั่นคือการออกแบบ

คุณไม่สามารถเขียนอะไรนอกหน้าต่างเบราว์เซอร์ได้ ดังนั้นคุณจึงไม่สามารถแอบใส่หน้าต่างที่ดูเหมือนวอลเปเปอร์บนเดสก์ท็อปได้เหมือนที่เคยทำมาตลอด

กล่าวอีกนัยหนึ่ง คุณอยู่ในหน้าต่างเบราว์เซอร์ที่คุณเริ่มต้น

ดังนั้น แนวคิดของการโจมตีแบบ Browser-in-the-Browser คือคุณเริ่มต้นด้วยเว็บไซต์ปกติ และจากนั้นคุณสร้าง ภายในหน้าต่างเบราว์เซอร์ที่คุณมีอยู่แล้ว หน้าเว็บที่ดูเหมือนหน้าต่างเบราว์เซอร์ของระบบปฏิบัติการ .

โดยพื้นฐานแล้ว คุณแสดง *รูปภาพ* ของของจริงให้ใครซักคน และโน้มน้าวพวกเขาว่า *คือ* ของจริง

ง่ายๆ แค่นี้เอง ดั๊ก!

แต่ปัญหาคือด้วยความระมัดระวังเล็กน้อย โดยเฉพาะอย่างยิ่งหากคุณมีทักษะ CSS ที่ดี คุณ *สามารถ* สร้างบางสิ่งที่อยู่ภายในหน้าต่างเบราว์เซอร์ที่มีอยู่ให้ดูเหมือนหน้าต่างเบราว์เซอร์ของมันเองได้

และด้วย JavaScript เล็กน้อย คุณสามารถทำให้มันปรับขนาดได้ และเพื่อให้สามารถเคลื่อนที่ไปมาบนหน้าจอได้ และคุณสามารถเติมด้วย HTML ที่คุณดึงมาจากเว็บไซต์บุคคลที่สาม

ตอนนี้ คุณอาจสงสัยว่า... ถ้าพวกโจรฆ่ามันได้ถูกต้อง คุณจะบอกได้อย่างไร?

และข่าวดีก็คือ มีสิ่งง่ายๆ ที่คุณสามารถทำได้

หากคุณเห็นสิ่งที่ดูเหมือนหน้าต่างระบบปฏิบัติการและคุณสงสัยในสิ่งใด ๆ (โดยพื้นฐานแล้วมันจะปรากฏขึ้นเหนือหน้าต่างเบราว์เซอร์ของคุณ เพราะมันจะต้องอยู่ภายในนั้น)…

…ลองย้ายมัน *ออกจากหน้าต่างเบราว์เซอร์จริง* และถ้ามันถูก "กักขัง" ภายในเบราว์เซอร์ คุณจะรู้ว่ามันไม่ใช่ของจริง!

สิ่งที่น่าสนใจเกี่ยวกับรายงานจากนักวิจัย Group-IB ก็คือ เมื่อพวกเขาเจอสิ่งนี้ พวกมิจฉาชีพใช้รายงานนี้กับผู้เล่นเกม Steam จริงๆ

และแน่นอนว่าต้องการให้คุณลงชื่อเข้าใช้บัญชี Steam ของคุณ...

…และถ้าคุณถูกหลอกโดยหน้าแรก มันจะตามมาด้วยการตรวจสอบยืนยันตัวตนด้วยสองปัจจัยของ Steam

และเคล็ดลับก็คือถ้าหน้าต่างเหล่านั้น *เป็น* แยกกันจริง ๆ คุณสามารถลากมันไปยังด้านใดด้านหนึ่งของหน้าต่างเบราว์เซอร์หลักของคุณได้ แต่กลับไม่ใช่

ในกรณีนี้ โชคดี ที่พ่อครัวทำ CSS ได้ไม่ดีนัก

งานศิลปะของพวกเขาต่ำต้อย

แต่อย่างที่คุณและฉันได้พูดถึงหลายครั้งในพอดคาสต์ ดั๊ก บางครั้งมีคนโกงที่พยายามทำให้สิ่งต่าง ๆ ดูสมบูรณ์แบบด้วยพิกเซล

ด้วย CSS คุณสามารถวางตำแหน่งพิกเซลแต่ละพิกเซลได้จริงหรือ

---

ดั๊ก.  CSS เป็นเรื่องที่น่าสนใจ

มันเป็น สไตล์ชีท… ภาษาที่คุณใช้เพื่อจัดรูปแบบเอกสาร HTML และเรียนรู้ได้ง่ายจริง ๆ และยากที่จะเชี่ยวชาญ

---

เป็ด.  [หัวเราะ] ฟังดูเหมือน IT แน่นอน

---

ดั๊ก.  [หัวเราะ] ใช่ เหมือนหลายๆ อย่าง!

แต่มันเป็นหนึ่งในสิ่งแรกที่คุณเรียนรู้เมื่อคุณเรียนรู้ HTML

หากคุณกำลังคิดว่า "ฉันต้องการทำให้หน้าเว็บนี้ดูดีขึ้น" คุณต้องเรียนรู้ CSS

ดังนั้น เมื่อดูตัวอย่างบางส่วนของเอกสารต้นทางที่คุณเชื่อมโยงจากบทความ คุณสามารถบอกได้ว่ามันยากมากที่จะทำของปลอมจริงๆ เว้นแต่คุณจะเก่ง CSS จริงๆ

แต่ถ้าคุณทำถูกต้อง ก็คงยากที่จะรู้ว่าเป็นเอกสารปลอม…

…เว้นแต่คุณจะทำตามที่คุณพูด: ลองดึงมันออกจากหน้าต่างแล้วย้ายไปรอบๆ เดสก์ท็อปของคุณ อะไรทำนองนั้น

นั่นนำไปสู่ประเด็นที่สองของคุณที่นี่: ตรวจสอบหน้าต่างที่น่าสงสัยอย่างระมัดระวัง

หลายคนอาจจะไม่ผ่านการทดสอบสายตา แต่ถ้าพวกเขาทำ มันจะเป็นเรื่องยากมากที่จะตรวจพบ

ซึ่งนำเราไปสู่สิ่งที่สาม...

“หากมีข้อสงสัย/อย่าปล่อยมันไป”

ถ้ามันดูไม่ถูกต้องนัก และคุณไม่สามารถบอกได้อย่างชัดเจนว่ามีสิ่งแปลกปลอมกำลังดำเนินอยู่ ให้ทำตามคำคล้องจอง!

---

เป็ด.  และควรค่าแก่การสงสัยเกี่ยวกับเว็บไซต์ที่ไม่รู้จัก เว็บไซต์ที่คุณไม่เคยใช้มาก่อน ซึ่งจู่ๆ ก็พูดว่า “ตกลง เราจะขอให้คุณเข้าสู่ระบบด้วยบัญชี Google ของคุณในหน้าต่าง Google หรือ Facebook ในหน้าต่าง Facebook ”

หรือ Steam ในหน้าต่าง Steam

---

ดั๊ก.  ใช่.

ฉันเกลียดที่จะใช้คำ B ที่นี่ แต่นี่เกือบจะยอดเยี่ยมในความเรียบง่าย

แต่อีกครั้ง มันจะเป็นเรื่องยากมากที่จะดึงการจับคู่ที่สมบูรณ์แบบของพิกเซลโดยใช้ CSS และสิ่งอื่น ๆ เช่นนั้น

---

เป็ด.  ฉันคิดว่าสิ่งสำคัญที่ต้องจำไว้ก็คือ เนื่องจากส่วนหนึ่งของการจำลองคือ “chrome” [ศัพท์เฉพาะสำหรับส่วนประกอบส่วนต่อประสานผู้ใช้ของเบราว์เซอร์] ของเบราว์เซอร์ แถบที่อยู่จะดูถูกต้อง

มันอาจจะดูสมบูรณ์แบบ

แต่ประเด็นคือ มันไม่ใช่แถบที่อยู่...

…มันคือ *รูปภาพ* ของแถบที่อยู่

---

ดั๊ก.  แน่นอน!

เอาล่ะ ระวังกันไว้นะทุกคน!

และเมื่อพูดถึงสิ่งที่ไม่ใช่สิ่งที่พวกเขาดูเหมือน ฉันกำลังอ่านเกี่ยวกับ DEADBOLT ransomware และอุปกรณ์ QNAP NAS และฉันรู้สึกเหมือนกับว่าเราเพิ่งพูดถึงเรื่องนี้เมื่อไม่นานมานี้

---

เป็ด.  ใช่ เราได้ เขียนเกี่ยวกับสิ่งนี้ หลายครั้งใน Naked Security จนถึงปีนี้ น่าเสียดาย

เป็นกรณีหนึ่งที่สิ่งที่ใช้ได้ผลสำหรับพวกมิจฉาชีพเมื่อกลับกลายเป็นว่าได้ผลสองครั้ง สามครั้ง สี่ครั้ง ห้าครั้ง

และ NAS หรือ ที่เก็บข้อมูลเครือข่ายที่แนบมา อุปกรณ์ต่างๆ ถ้าคุณต้องการ เซิร์ฟเวอร์กล่องดำที่คุณสามารถไปซื้อได้ – โดยปกติแล้วจะเรียกใช้เคอร์เนล Linux บางประเภท

แนวคิดคือแทนที่จะต้องซื้อลิขสิทธิ์ Windows หรือเรียนรู้ Linux ให้ติดตั้ง Samba ตั้งค่า เรียนรู้วิธีแชร์ไฟล์บนเครือข่ายของคุณ...

…คุณเพียงแค่เสียบอุปกรณ์นี้และ “บิงโก” ก็เริ่มทำงาน

เป็นไฟล์เซิร์ฟเวอร์ที่เข้าถึงได้ทางเว็บ และโชคไม่ดี หากมีช่องโหว่ในเซิร์ฟเวอร์ไฟล์ และคุณมี (โดยบังเอิญหรือการออกแบบ) ทำให้สามารถเข้าถึงได้ทางอินเทอร์เน็ต อาชญากรอาจสามารถใช้ช่องโหว่นั้นได้ หากมี อุปกรณ์ NAS นั้นจากระยะไกล

พวกเขาอาจสามารถแย่งชิงไฟล์ทั้งหมดบนตำแหน่งที่เก็บคีย์สำหรับเครือข่ายของคุณได้ ไม่ว่าจะเป็นเครือข่ายในบ้านหรือเครือข่ายธุรกิจขนาดเล็ก และโดยทั่วไปแล้วจะเรียกค่าไถ่คุณโดยไม่ต้องกังวลกับการโจมตีอุปกรณ์อื่นๆ เช่น แล็ปท็อปและโทรศัพท์ในเครื่องของคุณ เครือข่าย

ดังนั้น พวกเขาจึงไม่จำเป็นต้องยุ่งเกี่ยวกับมัลแวร์ที่ติดแล็ปท็อปของคุณ และไม่จำเป็นต้องเจาะเข้าไปในเครือข่ายของคุณและเดินไปรอบๆ เหมือนกับอาชญากรแรนซัมแวร์ทั่วไป

โดยพื้นฐานแล้วพวกมันจะแย่งไฟล์ทั้งหมดของคุณ และจากนั้น – เพื่อนำเสนอบันทึกค่าไถ่ – พวกมันก็แค่เปลี่ยน (ฉันไม่ควรหัวเราะ ดั๊ก)… พวกเขาเพียงแค่เปลี่ยนหน้าล็อกอินบนอุปกรณ์ NAS ของคุณ

ดังนั้น เมื่อคุณพบว่าไฟล์ทั้งหมดของคุณยุ่งเหยิง และคุณคิดว่า "ตลกดี" และคุณเข้าใช้เว็บเบราว์เซอร์และเชื่อมต่อที่นั่น คุณจะไม่ได้รับข้อความแจ้งรหัสผ่าน!

คุณได้รับคำเตือน: "ไฟล์ของคุณถูกล็อกโดย DEADBOLT เกิดอะไรขึ้น ไฟล์ทั้งหมดของคุณได้รับการเข้ารหัสแล้ว”

แล้วก็มาแนะนำวิธีชำระเงิน

---

ดั๊ก.  และพวกเขายังได้เสนอให้ QNAP สามารถรวมยอดเพื่อปลดล็อคไฟล์สำหรับทุกคน

---

เป็ด.  ภาพหน้าจอที่ฉันมีใน บทความล่าสุด บน nakedsecurity.sophos.com แสดง:

1. การถอดรหัสส่วนบุคคลที่ 0.03 bitcoins เดิมประมาณ 1200 ดอลลาร์สหรัฐฯ เมื่อสิ่งนี้แพร่หลายครั้งแรก ตอนนี้ประมาณ 600 ดอลลาร์สหรัฐฯ

2. ตัวเลือก BTC 5.00 ที่ QNAP ได้รับแจ้งเกี่ยวกับช่องโหว่เพื่อให้สามารถแก้ไขได้ ซึ่งชัดเจนว่าพวกเขาจะไม่จ่ายเพราะพวกเขารู้อยู่แล้วเกี่ยวกับช่องโหว่ (นั่นเป็นเหตุผลที่มีการแก้ไขในกรณีนี้โดยเฉพาะ)

3. อย่างที่คุณพูด มีตัวเลือก BTC 50 (ซึ่งตอนนี้คือ 1 ล้านดอลลาร์ และเมื่อเรื่องแรกนี้พังครั้งแรกคือ 2 ล้านดอลลาร์) เห็นได้ชัดว่าถ้า QNAP จ่ายเงิน 1,000,000 ดอลลาร์ในนามของใครก็ตามที่อาจติดเชื้อ โจรจะให้คีย์ถอดรหัสหลัก ถ้าคุณไม่รังเกียจ

และถ้าคุณดูจาวาสคริปต์ มันจะตรวจสอบว่ารหัสผ่านที่คุณใส่ตรงกับแฮช *สอง* อันใดอันหนึ่ง

หนึ่งคือเอกลักษณ์ของการติดไวรัสของคุณ – โจรจะปรับแต่งมันทุกครั้ง ดังนั้น JavaScript จึงมีแฮชอยู่ในนั้น และไม่แจกรหัสผ่าน

และยังมีแฮชอื่นที่หากคุณสามารถถอดรหัสได้ ดูเหมือนว่ามันจะกู้คืนรหัสผ่านหลักสำหรับทุกคนในโลก...

… ฉันคิดว่านั่นเป็นแค่พวกโจรจิ้มจมูกใส่ทุกคน

---

ดั๊ก.  เป็นเรื่องที่น่าสนใจเช่นกันที่ค่าไถ่ bitcoin $600 สำหรับผู้ใช้แต่ละคน… ฉันไม่ต้องการที่จะพูดว่า “ไม่อุกอาจ” แต่ถ้าคุณดูในส่วนความคิดเห็นของบทความนี้ มีหลายคนที่ไม่เพียงแต่พูดถึงเรื่องการจ่ายเงิน ค่าไถ่…

…แต่ข้ามไปที่คำถามผู้อ่านของเราที่นี่

ผู้อ่าน Michael แบ่งปันประสบการณ์ของเขากับการโจมตีครั้งนี้ และเขาไม่ได้อยู่คนเดียว – มีคนอื่นๆ ในส่วนความคิดเห็นนี้ที่กำลังรายงานสิ่งที่คล้ายกัน

จากความคิดเห็นสองสามข้อเขาพูด (ฉันจะแสดงความคิดเห็นอย่างตรงไปตรงมา):

“ฉันเคยผ่านเรื่องนี้มาแล้ว และออกมาได้โอเคหลังจากจ่ายค่าไถ่แล้ว การค้นหารหัสส่งคืนเฉพาะด้วยคีย์ถอดรหัสของฉันเป็นส่วนที่ยากที่สุด ได้บทเรียนอันล้ำค่าที่สุด”

ในความคิดเห็นถัดไป เขาได้ทำตามขั้นตอนทั้งหมดที่เขาต้องทำเพื่อให้สิ่งต่างๆ กลับมาใช้งานได้จริงอีกครั้ง

และเขาลงจากหลังม้าด้วย:

“ฉันอายที่จะบอกว่าฉันทำงานด้านไอที ทำงานมากว่า 20 ปีแล้ว และถูกบั๊กของ QNAP uPNP กัด ดีใจที่ผ่านมันไปได้”

---

เป็ด.  ว้าว ใช่ นั่นเป็นคำพูดที่ค่อนข้างชัดเจนใช่ไหม?

เกือบจะเหมือนกับว่าเขากำลังพูดว่า "ฉันจะสนับสนุนตัวเองกับพวกมิจฉาชีพเหล่านี้ แต่ฉันแพ้เดิมพันและต้องเสียเงิน 600 ดอลลาร์และใช้เวลาทั้งหมด"

อ๊าก!

---

ดั๊ก.  เขาหมายถึงอะไร “รหัสส่งคืนเฉพาะพร้อมรหัสคำอธิบายของเขา”?

---

เป็ด.  อา ใช่ นั่นเป็นสิ่งที่น่าสนใจมาก… น่าสนใจมาก (ฉันพยายามที่จะไม่พูดว่าน่าทึ่ง-เฉือน-ยอดเยี่ยมที่นี่) [หัวเราะ]

ฉันไม่ต้องการใช้ C-word และพูดว่า "ฉลาด" แต่ค่อนข้างจะเป็นเช่นนั้น

คุณจะติดต่อโจรเหล่านี้ได้อย่างไร? พวกเขาต้องการที่อยู่อีเมลหรือไม่? สามารถสืบหาได้หรือไม่? พวกเขาต้องการเว็บไซต์ darkweb หรือไม่?

โจรเหล่านี้ไม่ได้

เพราะ โปรดจำไว้ว่า มีอุปกรณ์หนึ่งเครื่อง และมัลแวร์ได้รับการปรับแต่งและจัดแพคเกจเมื่อโจมตีอุปกรณ์นั้น เพื่อให้มีที่อยู่ Bitcoin ที่ไม่ซ้ำกันอยู่ในนั้น

และโดยพื้นฐานแล้ว คุณสื่อสารกับโจรเหล่านี้โดยจ่าย bitcoin ตามจำนวนที่ระบุในกระเป๋าเงินของพวกเขา

ฉันเดาว่านั่นเป็นเหตุผลที่พวกเขาเก็บจำนวนเงินที่ค่อนข้างเจียมเนื้อเจียมตัว...

…ฉันไม่ต้องการที่จะแนะนำว่าทุกคนมีเงิน $600 เพื่อทิ้งเป็นค่าไถ่ แต่ไม่ใช่ว่าคุณกำลังเจรจาล่วงหน้าเพื่อตัดสินใจว่าคุณจะจ่าย $ 100,000 หรือ $ 80,000 หรือ $ 42,000

คุณจ่ายเงินให้พวกเขาเป็นจำนวน... ไม่มีการเจรจา ไม่มีแชท ไม่มีอีเมล ไม่มีข้อความโต้ตอบแบบทันที ไม่มีฟอรัมสนับสนุน

คุณเพียงแค่ส่งเงินไปยังที่อยู่ bitcoin ที่กำหนด และเห็นได้ชัดว่าพวกเขาจะมีรายการที่อยู่ bitcoin ที่พวกเขากำลังตรวจสอบอยู่

เมื่อเงินมาถึง และพวกเขาเห็นว่ามันมาถึง พวกเขารู้ว่าคุณ (และคุณคนเดียว) จ่ายเงินแล้ว เนื่องจากรหัสกระเป๋าเงินนั้นไม่ซ้ำกัน

จากนั้นพวกเขาก็ทำสิ่งที่มีประสิทธิภาพ (ฉันกำลังใช้ราคาอากาศที่ใหญ่ที่สุดในโลก) "การคืนเงิน" ใน blockchain โดยใช้ธุรกรรม bitcoin กับจำนวนเงิน Doug ที่ศูนย์ดอลลาร์

และการตอบกลับนั้น ธุรกรรมนั้น รวมถึงความคิดเห็นด้วย (จำไว้ว่า แฮ็คเครือข่ายโพลี? พวกเขาใช้ความคิดเห็นบล็อกเชนของ Ethereum เพื่อพยายามพูดว่า “เรียน คุณไวท์แฮท คุณจะไม่คืนเงินทั้งหมดให้เราหรือ”)

ดังนั้นคุณจึงจ่ายเงินให้พวกมิจฉาชีพ ส่งข้อความว่าคุณต้องการมีส่วนร่วมกับพวกเขา และพวกเขาจ่ายคืนให้คุณ $0 บวกกับความคิดเห็นที่เป็นอักขระฐานสิบหก 32 ตัว...

…ซึ่งคือ 16 ไบต์ดิบแบบไบนารี ซึ่งเป็นคีย์ถอดรหัส 128 บิตที่คุณต้องการ

นั่นเป็นวิธีที่คุณพูดคุยกับพวกเขา

และเห็นได้ชัดว่าพวกเขาทำสิ่งนี้ได้ในระดับ T – อย่างที่ Michael พูด การหลอกลวงใช้ได้ผล

และปัญหาเดียวที่ Michael มีก็คือเขาไม่คุ้นเคยกับการซื้อ Bitcoin หรือทำงานกับข้อมูลบล็อคเชนและดึงโค้ดส่งคืนนั้น ซึ่งโดยพื้นฐานแล้วเป็นความคิดเห็นในธุรกรรม "การชำระเงิน" ที่เขาได้รับกลับมาเป็นเงิน 0 เหรียญ

ดังนั้นพวกเขาจึงใช้เทคโนโลยีในทางที่ผิดมาก

โดยพื้นฐานแล้ว พวกเขากำลังใช้บล็อคเชนทั้งเป็นเครื่องมือในการชำระเงินและเป็นเครื่องมือสื่อสาร

---

ดั๊ก.  เอาล่ะ เรื่องราวที่น่าสนใจมากจริงๆ

เราจะจับตาดูสิ่งนั้น

และขอบคุณมาก Michael สำหรับการส่งความคิดเห็นนั้น

หากคุณมีเรื่องราว ข้อคิดเห็น หรือคำถามที่น่าสนใจที่คุณต้องการส่ง เรายินดีที่จะอ่านในพอดแคสต์

คุณสามารถส่งอีเมลไปที่ tips@sophos.com แสดงความคิดเห็นเกี่ยวกับบทความของเรา หรือจะติดต่อผ่านโซเชียลได้ที่ @NakedSecurity

นั่นคือการแสดงของเราในวันนี้ ขอบคุณมากสำหรับการฟัง

สำหรับ Paul Ducklin ฉัน Doug Aamoth เตือนคุณจนถึงครั้งต่อไป ให้...

---

ทั้งสอง  รักษาความปลอดภัย

[โมเด็มดนตรี]