Где прячутся мобильные вирусы — Григорий Земсков
DESCRIPTION
Из доклада вы узнаете, что представляет собой вредоносный код для мобильных устройств, что он делает и где его искать.TRANSCRIPT
![Page 1: Где прячутся мобильные вирусы — Григорий Земсков](https://reader033.vdocuments.mx/reader033/viewer/2022060202/559c1de81a28abc7298b4635/html5/thumbnails/1.jpg)
Яндекс.Субботник, 13/12/14 Григорий Земсков, компания «Ревизиум»
Где прячутся мобильные вирусы
![Page 2: Где прячутся мобильные вирусы — Григорий Земсков](https://reader033.vdocuments.mx/reader033/viewer/2022060202/559c1de81a28abc7298b4635/html5/thumbnails/2.jpg)
Несколько слов о вирусах на сайтах
Разновидности мобильных редиректов
Кейс: поиск и удаление редиректа
Варианты поиска редиректов на клиенте
Варианты поиска редиректов на сервере
2
О чем пойдет речь?
![Page 3: Где прячутся мобильные вирусы — Григорий Земсков](https://reader033.vdocuments.mx/reader033/viewer/2022060202/559c1de81a28abc7298b4635/html5/thumbnails/3.jpg)
Зачем атаковать мобильных пользователей?
![Page 4: Где прячутся мобильные вирусы — Григорий Земсков](https://reader033.vdocuments.mx/reader033/viewer/2022060202/559c1de81a28abc7298b4635/html5/thumbnails/4.jpg)
Трояны/локеры/воровство $$$
Трафикогенерация (на App Store/Google Play)
Сбор и продажа конфиденциальных данных, шантаж
Заработок на рекламе
Заработок на партнерках
4
Деньги!
![Page 5: Где прячутся мобильные вирусы — Григорий Земсков](https://reader033.vdocuments.mx/reader033/viewer/2022060202/559c1de81a28abc7298b4635/html5/thumbnails/5.jpg)
Демонстрация рекламы
Заражение мобильных устройств
Перенаправление на сторонние ресурсы
5
Сайт как источник вредоносного кода
![Page 6: Где прячутся мобильные вирусы — Григорий Земсков](https://reader033.vdocuments.mx/reader033/viewer/2022060202/559c1de81a28abc7298b4635/html5/thumbnails/6.jpg)
Мобильные редиректы - что это ?
![Page 7: Где прячутся мобильные вирусы — Григорий Земсков](https://reader033.vdocuments.mx/reader033/viewer/2022060202/559c1de81a28abc7298b4635/html5/thumbnails/7.jpg)
Не всегда вредоносные
Всегда несанкционированные 〉Drive-By атаки 〉Установки вредоносов под видом легитимного ПО 〉На AppStore / Google Play 〉На мобильные (WAP) партнерки 〉На сторонние мобильные ресурсы
7
Суть редиректов
![Page 8: Где прячутся мобильные вирусы — Григорий Земсков](https://reader033.vdocuments.mx/reader033/viewer/2022060202/559c1de81a28abc7298b4635/html5/thumbnails/8.jpg)
1. Drive-By Download: эксплойты для браузера (html, js, embed, object, iframe) и плагинов (pdf, flash)
2. Вредоносные установки: фейковые апдейты, обновления, лжеантивирусы
3. Редиректы на сайты
8
3 вида
![Page 9: Где прячутся мобильные вирусы — Григорий Земсков](https://reader033.vdocuments.mx/reader033/viewer/2022060202/559c1de81a28abc7298b4635/html5/thumbnails/9.jpg)
Опасные мобильные редиректы
![Page 10: Где прячутся мобильные вирусы — Григорий Земсков](https://reader033.vdocuments.mx/reader033/viewer/2022060202/559c1de81a28abc7298b4635/html5/thumbnails/10.jpg)
Drive-By атаки на мобильные
10
Android 〉CVE-2014-6041 Same Origin Policy Bypass 〉CVE-2013-4710 WebView.addJavascriptInterface 〉CVE-2013-4787 Android Master Key Exploit
iOS CVE-2014-4377 – PDF rendering stack overflow: Arbitrary Code Executionwww.cvedetails.com
https://github.com/feliam/CVE-2014-4377
![Page 11: Где прячутся мобильные вирусы — Григорий Земсков](https://reader033.vdocuments.mx/reader033/viewer/2022060202/559c1de81a28abc7298b4635/html5/thumbnails/11.jpg)
Вредоносные установки
11
Android – чемпион (фейковые .apk)
〉Обновления flash player, Opera, Chrome,…
〉«Антивирусы»
iOS 7.1
〉Masque attack - замена приложения с тем же bundle idhttp://youtu.be/76ogdpbBlsU
![Page 12: Где прячутся мобильные вирусы — Григорий Земсков](https://reader033.vdocuments.mx/reader033/viewer/2022060202/559c1de81a28abc7298b4635/html5/thumbnails/12.jpg)
«Безопасные» мобильные редиректы
![Page 13: Где прячутся мобильные вирусы — Григорий Земсков](https://reader033.vdocuments.mx/reader033/viewer/2022060202/559c1de81a28abc7298b4635/html5/thumbnails/13.jpg)
мобильный браузер (Android/iOS/Java MIDP/...)
IP из 3G/LTE подсетей
переход с определенного сайта или из поисковых систем
первый заход за сутки/неделю/вообще (по сookie)
вероятностный параметр (например, срабатывает только для 30% посетителей)
13
Хитрости редиректов - таргетирование
![Page 14: Где прячутся мобильные вирусы — Григорий Земсков](https://reader033.vdocuments.mx/reader033/viewer/2022060202/559c1de81a28abc7298b4635/html5/thumbnails/14.jpg)
Клиентский 〉Вставки <script>, <embed>, <object>, <iframe>
Серверный 〉Серверные редиректы через 301-303
14
Два типа редиректов
![Page 15: Где прячутся мобильные вирусы — Григорий Земсков](https://reader033.vdocuments.mx/reader033/viewer/2022060202/559c1de81a28abc7298b4635/html5/thumbnails/15.jpg)
Статика 〉Шаблоны 〉Скрипты 〉Конфигурационные файлы сервера 〉БД 〉3rd party компоненты (виджеты)
Динамические инжекты в код страниц со стороны 〉PHP/Perl/Python скриптов 〉инфицированных модулей сервера
15
Где «живут» редиректы
![Page 16: Где прячутся мобильные вирусы — Григорий Земсков](https://reader033.vdocuments.mx/reader033/viewer/2022060202/559c1de81a28abc7298b4635/html5/thumbnails/16.jpg)
〉window.location.href = ‘http://site.ru/’;
〉window.location.replace(‘http://site.ru/’);
〉self.location= "http://site.ru/’;
〉top.location= ‘http://site.ru/’;
〉$(location).attr('href',’http://site.ru/’);
〉$jq(window).attr(‘location’,’http://site.ru/’);
〉<meta http-equiv="refresh" content="5; url=http://site.ru/«>
〉<body onload="document.forms[0].submit()"><form action=…
16
Примеры клиентских
TIP: с отключенным JS не воспроизводятся
![Page 17: Где прячутся мобильные вирусы — Григорий Земсков](https://reader033.vdocuments.mx/reader033/viewer/2022060202/559c1de81a28abc7298b4635/html5/thumbnails/17.jpg)
〉php: <?php header(“Location: http://site.ru/”);
〉.htaccess: redirect 301 / http://site.ru/
〉.htaccess: RewriteRule ^(.*)$ http://site.ru/ [R=301,L]
〉nginx.conf: server { rewrite ^.*$ http://site.ru/ last; }
〉Внедрение вредоноса “на лету”
17
Примеры серверных
![Page 18: Где прячутся мобильные вирусы — Григорий Земсков](https://reader033.vdocuments.mx/reader033/viewer/2022060202/559c1de81a28abc7298b4635/html5/thumbnails/18.jpg)
Кейс: удаляем мобильный редирект с сайта
![Page 19: Где прячутся мобильные вирусы — Григорий Земсков](https://reader033.vdocuments.mx/reader033/viewer/2022060202/559c1de81a28abc7298b4635/html5/thumbnails/19.jpg)
Выход в интернет через 3G/LTE
Wireshark или Web Debug Proxy
User Agent браузера как на мобильном
Очищаем куки
19
Настройка среды тестирования
![Page 20: Где прячутся мобильные вирусы — Григорий Земсков](https://reader033.vdocuments.mx/reader033/viewer/2022060202/559c1de81a28abc7298b4635/html5/thumbnails/20.jpg)
20
Снимаем HTTP сессию в WS
![Page 21: Где прячутся мобильные вирусы — Григорий Земсков](https://reader033.vdocuments.mx/reader033/viewer/2022060202/559c1de81a28abc7298b4635/html5/thumbnails/21.jpg)
21
Начинаем искать
последний редирект первый редирект
![Page 22: Где прячутся мобильные вирусы — Григорий Земсков](https://reader033.vdocuments.mx/reader033/viewer/2022060202/559c1de81a28abc7298b4635/html5/thumbnails/22.jpg)
22
Продолжаем искать
список HTTP объектов фрагмент кода страницы
![Page 23: Где прячутся мобильные вирусы — Григорий Земсков](https://reader033.vdocuments.mx/reader033/viewer/2022060202/559c1de81a28abc7298b4635/html5/thumbnails/23.jpg)
23
И опять искать…
нашли в кэше mod_banners
![Page 24: Где прячутся мобильные вирусы — Григорий Земсков](https://reader033.vdocuments.mx/reader033/viewer/2022060202/559c1de81a28abc7298b4635/html5/thumbnails/24.jpg)
24
И снова искать…
нашли в кэше mod_banners
![Page 25: Где прячутся мобильные вирусы — Григорий Земсков](https://reader033.vdocuments.mx/reader033/viewer/2022060202/559c1de81a28abc7298b4635/html5/thumbnails/25.jpg)
25
И обратно искать…
в коде шаблона нет
![Page 26: Где прячутся мобильные вирусы — Григорий Земсков](https://reader033.vdocuments.mx/reader033/viewer/2022060202/559c1de81a28abc7298b4635/html5/thumbnails/26.jpg)
26
Нашли!находим код в БД
![Page 27: Где прячутся мобильные вирусы — Григорий Земсков](https://reader033.vdocuments.mx/reader033/viewer/2022060202/559c1de81a28abc7298b4635/html5/thumbnails/27.jpg)
Общие подходы к поиску и анализу мобильных
редиректов
![Page 28: Где прячутся мобильные вирусы — Григорий Земсков](https://reader033.vdocuments.mx/reader033/viewer/2022060202/559c1de81a28abc7298b4635/html5/thumbnails/28.jpg)
Wireshark, в Web Debugging Proxy (Fiddler / Charles)
Network Inspector в браузере
<script>, <iframe>, <object>, <embed> в HTML странице
В конце и в начале .js файлов
Object Inspector
Консоль javascript
28
Поиск вредоносного кода в клиенте
![Page 29: Где прячутся мобильные вирусы — Григорий Земсков](https://reader033.vdocuments.mx/reader033/viewer/2022060202/559c1de81a28abc7298b4635/html5/thumbnails/29.jpg)
Сканер maldet
Сканер clamav
Сканер AI-Bolit
Сканер Manul (еще не релизнут)
Руками find . -name … -exec grep -l ‘что-то’ {} \;
По измененным файлам find . -name ‘*.php’ -mtime -7
С помощью систем контроля версий
29
Поиск вредоносного кода на сервере
![Page 30: Где прячутся мобильные вирусы — Григорий Земсков](https://reader033.vdocuments.mx/reader033/viewer/2022060202/559c1de81a28abc7298b4635/html5/thumbnails/30.jpg)
Панель вебмастера поисковых систем
PhantomJS 〉Эмуляция браузера
(отлов как серверных, так и мобильных редиректов) 〉Возможность манипуляции параметрами запроса
(реферер, UA) 〉Отслеживание side loads redirects (в iframe’ах) 〉Логирование сессии 〉Фильтр запросов 〉Можно эмулировать клики пользователя по ссылкам
30
Автоматизация детектирования
![Page 31: Где прячутся мобильные вирусы — Григорий Земсков](https://reader033.vdocuments.mx/reader033/viewer/2022060202/559c1de81a28abc7298b4635/html5/thumbnails/31.jpg)
31
Детектор на PhantomJS
![Page 32: Где прячутся мобильные вирусы — Григорий Земсков](https://reader033.vdocuments.mx/reader033/viewer/2022060202/559c1de81a28abc7298b4635/html5/thumbnails/32.jpg)
32
Пример детекта редиректа
![Page 33: Где прячутся мобильные вирусы — Григорий Земсков](https://reader033.vdocuments.mx/reader033/viewer/2022060202/559c1de81a28abc7298b4635/html5/thumbnails/33.jpg)
33
Пример детекта редиректа
![Page 34: Где прячутся мобильные вирусы — Григорий Земсков](https://reader033.vdocuments.mx/reader033/viewer/2022060202/559c1de81a28abc7298b4635/html5/thumbnails/34.jpg)
Лечение сайта от мобильного редиректа – это борьба с последствиями.
Нужно найти и устранить причину появления кода.
![Page 35: Где прячутся мобильные вирусы — Григорий Земсков](https://reader033.vdocuments.mx/reader033/viewer/2022060202/559c1de81a28abc7298b4635/html5/thumbnails/35.jpg)
Григорий Земсков
Компания «Ревизиум»
Вопросы? Спасибо!
@revisium
Revisium
+7 (499) 506 76 73