О детектировании атак типа drive-by download и новых векторах распространения вредоносного ПО через Flash-баннеры

[Aquahawk]

allowScriptAccess устанавливается в значение «always» ага, это уязвимость флеша.

[Jecky]

У нормальных антивирусов/файрволов те конечные адреса с эксплойтами и их сигнатуры должны быть в базах, поэтому все предыдущие манипуляции выглядят не опаснее пользователя, жмущего на сомнительные ссылки.

[megaweber]

Адреса можно очень бодро менять и никакие антивирусы не угонятся.

[Aquahawk]

Контент во флешке тоже можно шифровать так что не угонишься. Можно вообще полиморфную(не совсем честно конечно) флешку написать чтоб с сервера каждый раз разная флешка отдавалась и криптовалась на лету. Можно интерпритатор брейнфак машины прицепить и логику на брейнфаке сделать.

[nail84]

можно, но зачем?

[Aquahawk]

Это к тому что я не понимаю зачем нужны антивирусы, и как они могут спасать от новых атак. Спасают только от старых. А если браузер запущен не от админа, а флешки пускаются без разрешения на модификацию страницы, то и бояться нечего.

[nail84]

Понятно, я удивился решению с привлечением брейнфака, сомнительно что это потребуется. На клиентской стороне вряд ли браузеры будут декомпилить код баннеров когда-либо. А на стороне сервера проблема имеет значительно более легкое решение описанное в коментах выше. allowScriptAccess = none, все.

[pimentium]

Это повлияет только на сигнатуры, но не спасет от поведенческого анализа.

[FirsofMaxim]

Надо 1й комментарий вынести в 1й абзац… Ппц жути навели…

[alextheraven]

Жуть состоит исключительно в том, что очень многие о значениях allowScriptAccess, да и других параметров, не задумываются, как баннерокрутилка ставит по умолчанию – так и оставляют. И уверены, что с ними такое никогда не случится, а потом, оставшись без трафика, пишут гневные письма в тех. поддержку. А ещё обфускация и защита от анализа довольно сильные.

Впрочем, если загружать заражённый Flash-баннер с того же домена, что в большинстве случаев и делают, то для работы вредоносного кода достаточно и значения по умолчанию, «sameDomain». В документации Adobe написано, что Flash-баннеры сторонних производителей нужно размещать на отдельных поддоменах, но её мало кто читает.

[Aquahawk]

Так вот зловредным ПО надо считать такие баннерокрутилки, где по дефолту разрешён allowScriptAccess

[alextheraven]

Такие баннерокрутилки являются уязвимыми, равно как браузер и его соответствующий компонент. То, что уязвимость является обратной стороной простоты, функциональности и «работы из коробки без проблем», сути не меняет. А вредоносным является код, который использует данные уязвимости.

[Aquahawk]

Согласен, код который это использует вредоносен, т.е. вредоносен баннер. И сеть крутилок уязвима из-за неграмотной настройки. Флеш тут не причём совершенно.

[mihalich]

Как для OpenX поставить allowScriptAccess = never?
Нас, похоже, хакнули…

Спасибо!