Source: https://www.impsec.org/email-tools/sanitizer-threats.html
Претње, експлоатације и напади
E-mail основан напади
Постоје четири врсте напада на сигурност система који може да се обавља путем електронске поште:
- Активни напади садржаја , који користе предности различитих активних HTML и скрипт карактеристика и грешака.
- Буффер оверфлов напади , где је нападач шаље нешто што је превелика да стане у фиксне величине меморијског у клијента е-поште, у нади да ће део који се не уклапају преписати важне информације пре него што безбедно одбачен.
- Тројански коњ напади , у којима се извршни програм или макро-језику скрипта да одобрава приступ, проузрокује штету, селф-пропагира или обавља друге нежељене ствари се шаље жртве као Филе Аттацхмент означен као нешто безазлено, као што је честитку или чувар екрана , или скривена у нечему жртва очекује, као што су табеле или документа. То се зове социјални инжењеринг напад, где је циљ напада је да убеди жртву да бисте отворили поруку прилог.
- Shell Script напади , у којима је укључено фрагмент Уник схелл скрипти у заглављу поруке у нади да ће се неправилно конфигурисане ЦентОС маил клијент извршавају наредбе.
Још један напад на приватност корисника, али не и на сигурност система, је употреба такозваних Web Bugs који може да обавести сајт за праћење када и где је дати е-маил порука прочита.
Активни Напади садржаја, ака Бровсер Напади, активни HTML напад или Сцриптинг напади
Ови напади имају за циљ да људе који користе веб бровсер или HTML-омогућена е-маил клијент за читање свој е-маил, који ових дана је веома велики део рачунарске заједнице. Обично ови напади покушавају да користе скрипти функције HTML или на е-маил клијента (типично Javascript или VBScript) да преузме личне податке са рачунара жртве или да извршава код на рачунару жртве без пристанка жртве (и евентуално без знања жртве) .
Мање опасне облици ових напада могу аутоматски довести до компјутер примаоца да бисте приказали неки садржај је нападач жеље, као што аутоматски отвара рекламног или порнографије веб страницу када се отвори порука, или извршити дос напад на рачунару примаоца путем kod да замрзава или пада претраживача или цео рачунар.
Најједноставнији начин да у потпуности избегне такве нападе да не користи веб бровсер или HTML-омогућена е-маил клијент за читање е-пошту. Јер су многи од ових напада не зависе грешака у софтверу клијента е-поште, не може спречити кроз закрпе за клијента е-поште. Ако користите веб претраживач или HTML-свестан E-mail клијент, ви ћете бити подложни оваквим нападима.
Исто тако, као што неки од ових напада зависи клијента е-поште у стању да изврши прописану HTML уместо у зависности од слабости било ког оперативног система, ови напади могу бити унакрсно платформа. HTML-омогућена E-mail клијент на Macintosh је једнако подложни активни HTML E-mail напада као HTML-омогућена е-маил клијента на Windows или Unix. Вулнерабилти ће се разликовати од система до система заснованог на клијента е-поште, а не оперативног система.
Прелазак на нон-HTML свесни клијент е-поште није реална опција за многе људе. Алтернатива је да се филтрира или мења увредљивог HTML или скрипту пре него што је E-mail клијент добија прилику да га обради. Такође може бити могуће да конфигуришете клијент е-поште да бисте искључили тумачење сцрипт кода. Погледајте своју програмску документацију за детаље. Искључивање скрипти у имејл клијенту се снажно препоручује – нема добар разлог да подржи сценарио е-поруке.
Microsoft Outlook корисници треба да посетите ову страницу да описује затезање доле Outlook је безбедносна подешавања .
На недавно најављене Outlook E-mail црви су пример овог напада. Погледајте Bugtraq Vulnerability базу података за више детаља.
Други начин да се одбрани од напада активни-садржаја је да мангле се скриптовање пре него што програм пошта има прилику да га виде. То се ради на маил серверу у време када је порука примљена и складишти у поштанском сандучету корисника, а у свом најједноставнијем облику састоји од само мења све <SCRIPT> ознаке у (на пример) <DEFANGED-SCRIPT> ознаке, што изазива пошту да их игноришу. Пошто постоји много места која сцриптинг команде могу да се користе у другим ознакама, процес дефангинг је компликованији од тога у пракси.
Буффер оверфлов напади
Бафер је регион меморије у којој је програм привремено складишти податке који се обрађује. Ако овај регион је претходно дефинисане, фиксне величине, а ако се програм не предузме кораке како би се осигурало да подаци уклапа у те величине, има буба: ако више подаци читају него ће се уклопити у тампон, вишак ће и даље бити написан , али ће продужити иза краја бафера, вероватно замена друга упутства података или програма.
Буффер оверфлов напад представља покушај да искористе ову слабост слањем неочекивано дуг низ података за програм да обрадимо. На пример, у случају програма за електронску пошту, нападач може послати фалсификовану Дате: заглавље које је дуго неколико хиљада знакова, у претпоставци да е програма очекује само Дате: заглавље које је дуго највише стотину знакова и функција не ‘ t проверите дужину података је уштеда.
Ови напади могу да се користе као Denial-of-Service напада, јер када је меморија једног програма бива случајно преписани програм ће обично срушити. Међутим, пажљиво градећи тачан садржај који преплављују бафер, да је у неким случајевима може да обезбеди програмске инструкције за компјутер жртве да изврши без сагласности жртве. Нападач је маилинг програм за жртве, и то ће водити компјутер жртве без дозволе жртве.
Имајте на уму да је ово резултат грешке у програму под нападом. Правилно написан E-mail клијент ће да дозволи случајни странци за покретање програма на рачунару без вашег пристанка. Програми подлежу буффер поплава су погрешно написана и мора да се поправи да трајно решите проблем.
Тампон преливи у пошту програма јављају у руковању заглавља порука и приврженост заглавља, што је информација коју E-mail клијент мора да обради како би знали детаље о поруци и шта да радим са њим. Текст у телу поруке, која се једноставно приказује на екрану и који се очекује да буде велика количина текста, се не користи као средство за буффер оверфлов нападе.
На недавно најављене преливне грешке у Outlook, Outlook Express и Netscape Mail су примери за то. Закрпе за Outlook су доступне преко Microsoft безбедности сајту .
Заглавља порука и аттацхмент заглавља могу да се прерадити од стране маил сервер да ограниче своје дужине до сигурне вредности. При томе ће спречити да се користи за напад на E-mail клијент.
Варијација на напад на бафера је да се изоставити информацију где се програм очекује да ће наћи неки. На пример, Microsoft курс реагује лоше када је тражио да обради MIME везивања заглавља који су експлицитно празна – на пример, име filename="" . Овај напад може да се користи само да негира услугу.
Тројански коњ Напади
Тројански коњ је злонамерни програм који маскира се као нешто бенигне у покушају да се стекне неопрезне корисника да га покрене.
Ови напади се обично користе да прекрши сигурност добијање поверења корисника да покренете програм који омогућава приступ непознатим корисника (на пример, постављањем даљински приступ задња врата софтвера), или да изазове штету, као што покушава да избрише све од датотеке на хард диску жртве. Тројански коњи могу да делују да украду информације или ресурсе или спроведу дистрибуирани напад, као што је дистрибуира програм који покушава да украде лозинке или друге информације везане за обезбеђење, или може бити “само-размножавање” програм који се око (као “маилова црв ” ) и такође маилбомбс циљ или брише датотеке (црва са ставом :).
Је “Люби тебя” црв је одличан пример тројанског коња напада: наизглед безопасне-Љубавно писмо је заправо био само-пропагирања програма.
За овај напад била успешна жртве морају предузети мере за покретање програма који су добили. Нападач може користити разне ” социјалног инжињеринга ” методе да убеди жртву за покретање програма; На пример, програм може да буде маскиран као љубавно писмо или списак шала, под именом специјално конструисан да искористе Windowsовог склоности за скривање важне информације од корисника.
Већина људи зна да је .txt екстензија се користи да означи да је садржај у датотеци су само обичан текст, за разлику од програма, али основна конфигурација Windows “је да се сакрије екстензија од стране корисника, тако да у директоријуму листинг датотеку под називом textfile.txt ће се појавити као само ” textfile ” (да би се избегло збуњивање корисника?).
Нападач може искористити ту комбинација ствари слањем прилога под називом “attack.txt.exe ” – Windows ће корисно сакрити .EXEекстензију, што се појави прилог да су бенигни текстуалну датотеку под називом “ attack.txt ” уместо програм. Међутим, ако корисник заборави да је Windows крије стварни екстензију за фајл и двоструки клик на прилогу, Windows ће користити пуну филенаме да одлучи шта да ради, а пошто.EXE указује на извршни програм Windows ради прилог. Блам! Ти власништву.
Типични комбинације наизглед бенигне и опасно-извршних проширења су:
- xxx.TXT.VBS – an executable script (Visual Basic script) masquerading as a text file
- xxx.JPG.SCR – an executable program (screen saver) masquerading as an image file
- xxx.MPG.DLL – an executable program (dynamic link library) masquerading as a movie
- Овај напад може да се избегне тако што не ради програме који су примили путем е-поште док су били проверени преко, чак и ако је програм изгледа безопасно, а посебно ако долази од некога кога не познајем и поверење.Доубле-клик на прилоге е-поште је опасна навика.
- До недавно, једноставно говорећи: “не двапут кликните на прилога” била је довољна да будемо сигурни. Нажалост, то више није случај.Бубе у клијента е-поште или лошег креирање програма може дозволити напад порука аутоматски изврши Тројански коњ прилог без интервенције корисника , било преко употребе активног HTML, скрипти или преливања буффер подвиге укључени у истом поруком као тројанског коња прилогу или комбинација ових. Ово је изузетно опасан сценарио и тренутно “у дивљини” као само-пропагирања E-mail црва који не захтева интервенцију корисника за инфекције да се догоди. Можете бити сигурни да то неће бити једини.У покушају да спречи ово, имена извршних датотека прилога може да се промени на такав начин да је оперативни систем не мисли да су извршна (на пример, мењањем “EXPLOIT.EXE” to “EXPLOIT.DEFANGED-EXE“) . Ово ће натерати корисника да сачува и преименовати датотеку пре него што се може извршити (дајући им прилику да размислите о томе да ли треба да се изврши, и давали своје антивирусни софтвер прилику да испита прилога пре него што почне), и смањује могућност да ће и други подвизи у истом поруком моћи да аутоматски пронађу и извршити програм Тројан Хорсе (јер је име промењено).Поред тога, за познате Тројански коњ програма формат прилог сама може самлевено на такав начин да је E-mail клијент не види прилог као прилог. Ово ће натерати корисника да контактира техничку подршку за преузимање прилог, и даје администратор система прилику да га испита.
Унманглинг а Манглед прилог је прилично једноставан за администратора. У манглинг прилог оригиналу MIME заглавља везаност се помера надоле и заглавља везаност напад упозорења је уметнута. Нема информација се брише.
Овде је списак скорашњи тројански коњ извршне и докумената, прикупљеним из БугТрак и Usenet упозорења и антивирусни вендор савјетовања:
- Anti_TeRRoRisM.exe
Ants[0-9]+set.exe
Binladen_bra[sz]il.exe
Common.exe
Disk.exe
IBMls.exe
MWld.exe
MWrld.exe
MissWorld.exe
Rede.exe
Si.exe
UserConf.exe
WTC.exe
amateurs.exe
anal.exe
anna.exe
anniv.doc
anti_cih.exe
antivirus.exe
aol4free.com
asian.exe
atchim.exe
avp_updates.exe
babylonia.exe
badass.exe
black.exe
blancheneige.exe
blonde.exe
boys.exe
buhh.exe
celebrity?rape.exe
cheerleader.exe
chocolate.exe
compu_ma.exe
creative.exe
cum.exe
cumshot.exe
doggy.exe
dwarf4you.exe
emanuel.exe
enanito?fisgon.exe
enano.exe
enano?porno.exe
famous.exe
fist-f?cking.exe
gay.exe
girls.exe
happy99.exe
happy[0-9]+.exe
hardcore.exe
horny.exe
hot.exe
hottest.exe
i-watch-u.exe
ie0199.exe
images_zipped.exe
jesus.exe
joke.exe
kinky.exe
leather.exe
lesbians.exe
list.doc
lovers.exe
matcher.exe
messy.exe
misworld.exe
mkcompat.exe
nakedwife.exe
navidad.exe
oains.exe
oral.exe
orgy.exe
path.xls
photos17.exe
picture.exe
pleasure.exe
pretty park.exe
pretty?park.exe
prettypark.exe
qi_test.exe
raquel?darian.exe
readme.exe
romeo.exe
sado.exe
sample.exe
seicho_no_ie.exe
serialz.hlp
setup.exe
sex.exe
sexy.exe
slut.exe
sm.exe
sodomized.exe
sslpatch.exe
story.doc
suck.exe
suppl.doc
surprise!.exe
suzete.exe
teens.exe
virgins.exe
x-mas.exe
xena.exe
xuxa.exe
y2kcount.exe
yahoo.exe
zipped_files.exeНаравно, црва аутори су сада висинг горе и именовања прилоге случајно, што доводи до закључка да сви .EXE фајлове треба блокирани.
Још један канал за Тројански коњ напада је преко датотека података за програм који обезбеђује макро (програмирање) језик, на пример, модерни хигх-поверед процесора, табеле и корисника база података алата.
Ако не можете једноставно одбацити прилоге који могу угрозити, препоручљиво је да инсталирате антивирусни софтвер (који открива и онемогућава макро-лангуаге Тројански коњи) и да ли увек отворена прилоге датотеку са подацима у програму је “аутоматски не извршавају мацрос “мод (нпр држећи [Схифт] тастер када двокликом прилог).
Исто тако: ако ваш систем администратор (или неко тврди да је администратор система) е-пошту вам је програм и тражи да га покренете, одмах постају веома сумњиво и проверу порекла е-поште за контакт свог администратора директно на неки други него E-mail средствима. Ако добијете прилог којој се тврди да је ажурирање оперативног система или антивирусну алатку, не ради . Оперативни систем продавци никада предати ажурирања путем е-маила, и антивирусни алати су лако доступни на антивирусни вендор сајтовима.
Shell Script Напади
Многи програми који раде под Уник и сличних оперативних система подржава могућност да уграђујете кратке скриптама (секвенце команди сличним датотеке команди под ДОС) у својим конфигурационим фајловима. Ово је уобичајен начин да се омогући флексибилно проширење својих могућности.
Неки програми пошта обраду непрописно продужи подршку за уграђене наредбе љуске у порукама које су прераде. Генерално ова могућност је укључена грешком, позивом на скрипту преузете из датотеке конфигурације за обраду текста неких заглавља. Ако заглавље је посебно форматирани и садржи наредби љуске, могуће је да ће та граната команде се извршавају као добро. Ово се може спречити програм скенира текст у заглављу за специјалне форматирање и измену тог форматирање пре него што буде усвојен на схелл на даљу обраду.
Пошто је форматирање треба да уградите скрипту у заглављу е-маил је прилично посебан, то је прилично лако открити и мења.
Web Bug приватности напади
HTML E-mail поруке могу да се односе на садржај који није у ствари у поруци, баш као веб странице може односити на садржај који није заправо на сајту домаћин страну. Ово може често може видети у рекламних банера – сајт на http://www.geocities.com/ могу укључивати баннер оглас који се преузимају са сервера на http://ads.example.com/ – када је изречена страница , веб претраживача аутоматски контактира веб сервер на http://ads.example.com/ и проналази Банер оглас слику. Ова проналажење датотеке је забележено у евиденцијама сервера на http://ads.example.com/ , дајући тиме је преузете и мрежну адресу рачунара преузимања слику.
Применом то HTML E-mail подразумева стављање имиџ референцу у телу поруке е-поште. Када се програм пошта проналази сликовне датотеке као део приказивања маил поруку кориснику, веб сервер логује на време и мрежну адресу захтјева. Ако слика има јединствен назив датотеке, могуће је одредити прецизно која порука е генерише захтев. Типично је слика нешто што неће бити видљив примаоцу поруке, на пример, слика која се састоји од само једног транспарентног пиксел, отуда и термин Web Bug – то је, на крају крајева, треба да се “тајни надзор.”
Такође је могуће користити позадина звука ознаку како би се постигао исти резултат.
Већина маил клијенти не може бити подешен да игноришу ове ознаке, тако да је једини начин да се спречи овај сноопинг је да мангле се слика и звук референтне ознаке на маил серверу.
може контактирати на <[email protected]> – такође можете да посетите моју почетну страницу .
Био бих веома заинтересован да чује од људи који су вољни да преведе ову страницу.