malware javascript

Iniciado por EvilGoblin, 6 Noviembre 2010, 18:31 PM

0 Miembros y 2 Visitantes están viendo este tema.

EvilGoblin

Tengo entendido que pequeños datos como IP, DNS, OS, IDIOMA pueden ser capturados desde un javascript y enviados a donde se quiera.

Tambien se puede redirigir a otras paginas no deseadas

Pero esto es solo el malware? redireccionar y capturar datos?

es posible que se ejecute un codigo binario dentro de la PC a traves de un javascript?

Se que se puede engañar a la gente, que entre a una pagina falsa y hacer desacargar un "plugin" que seria ya un troyano o worm.

pero inconcientemente sin clicks ni nada. en los navegadores mas comunes (IE: 8, FF: 3.6) se puede ejecutar codigo binario a traves de un javascript sin que el usuario se entere?
Experimental Serial Lain [Linux User]

Shell Root

Lo dudo, lo que siempre se ha dicho, javascript se ejecuta en el cliente y no en el servidor. Pero, CREO que en unos navegadores con VBs se puede, vease PoisonCode.
Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.

braulio--

No se puede de manera directa.  Lo que se hace normalmente si quieres ejecutar un archivo .exe (hablando en windows) es encontrar una vulnerabilidad en el motor javascript del browser, como por ejemplo cualquier tipo de overflow y a  partir de ahí programar el exploit (que estará hecho en javascript ya que lo tiene que parsear el motor que es lo que tiene la vulnerabilidad).

No lo he escrito de manera muy clara, si no entiendes lo que quiero decir avisa.

Azielito

alguna vez vimos un "keylogger" en javascript... solo captura lo que esta en la misma pagina ¬¬'

con un xss persistente podrias captruar datos de acceso =)


Hendrix

Cita de: braulio-- en  7 Noviembre 2010, 12:03 PM
por ejemplo cualquier tipo de overflow y a  partir de ahí programar el exploit (que estará hecho en javascript ya que lo tiene que parsear el motor que es lo que tiene la vulnerabilidad).

Si el error esta en el motor de javascript, el exploit no estará programado en javascript. A parte de que como indica su nombre, javascript es un lenguaje interpretado, por lo tanto no se podría programar el exploit en javascript. El exploit se programará en lenguaje máquina (típicamente, ristras de numeros en hexadecimal correspondientes a operaciones (llamadas opcodes) que va a realizar directamente el procesador).


Cita de: EvilGoblin en  6 Noviembre 2010, 18:31 PM
Tengo entendido que pequeños datos como IP, DNS, OS, IDIOMA pueden ser capturados desde un javascript y enviados a donde se quiera.

Tambien se puede redirigir a otras paginas no deseadas

Pero esto es solo el malware? redireccionar y capturar datos?

es posible que se ejecute un codigo binario dentro de la PC a traves de un javascript?

Se que se puede engañar a la gente, que entre a una pagina falsa y hacer desacargar un "plugin" que seria ya un troyano o worm.

pero inconcientemente sin clicks ni nada. en los navegadores mas comunes (IE: 8, FF: 3.6) se puede ejecutar codigo binario a traves de un javascript sin que el usuario se entere?

Para poder ejecutar archivos con javascript se tiene que crear un archivo ActiveX que, actualmente, no te funcionará en los navegadores actuales por medidas obvias de seguridad  ;)

Un Saludo  :)
"Todos los días perdemos una docena de genios en el anonimato. Y se van. Y nadie sabe de ellos, de su historia, de su peripecia, de lo que han hecho, de sus angustias, de sus alegrías. Pero al menos una docena de genios se van todos los días sin que sepamos de ellos". - Juan Antonio Cebrián

braulio--

Cita de: Hendrix en  9 Noviembre 2010, 17:29 PM
Cita de: braulio-- en  7 Noviembre 2010, 12:03 PM
por ejemplo cualquier tipo de overflow y a  partir de ahí programar el exploit (que estará hecho en javascript ya que lo tiene que parsear el motor que es lo que tiene la vulnerabilidad).

Si el error esta en el motor de javascript, el exploit no estará programado en javascript. A parte de que como indica su nombre, javascript es un lenguaje interpretado, por lo tanto no se podría programar el exploit en javascript. El exploit se programará en lenguaje máquina (típicamente, ristras de numeros en hexadecimal correspondientes a operaciones (llamadas opcodes) que va a realizar directamente el procesador).




El exploit estará en javascript, será la shellcode lo que está en lenguaje máquina.

Hendrix

Cita de: braulio-- en  9 Noviembre 2010, 20:54 PM
Cita de: Hendrix en  9 Noviembre 2010, 17:29 PM
Cita de: braulio-- en  7 Noviembre 2010, 12:03 PM
por ejemplo cualquier tipo de overflow y a  partir de ahí programar el exploit (que estará hecho en javascript ya que lo tiene que parsear el motor que es lo que tiene la vulnerabilidad).

Si el error esta en el motor de javascript, el exploit no estará programado en javascript. A parte de que como indica su nombre, javascript es un lenguaje interpretado, por lo tanto no se podría programar el exploit en javascript. El exploit se programará en lenguaje máquina (típicamente, ristras de numeros en hexadecimal correspondientes a operaciones (llamadas opcodes) que va a realizar directamente el procesador).




El exploit estará en javascript, será la shellcode lo que está en lenguaje máquina.

Correcto, leí mal. Evidentemente para cargar la shellcode se tiene que meter por javascript  ;)   Mea culpa  :)
"Todos los días perdemos una docena de genios en el anonimato. Y se van. Y nadie sabe de ellos, de su historia, de su peripecia, de lo que han hecho, de sus angustias, de sus alegrías. Pero al menos una docena de genios se van todos los días sin que sepamos de ellos". - Juan Antonio Cebrián

ChElAnO

Lo que se ve ultimamente es que se utiliza javascript para llenar la memoria heap con la shellcode, la famosa tecnica "heap spraying" para explotar vulnerabilidades.

saludos

EvilGoblin

Cita de: ChElAnO en 11 Noviembre 2010, 07:29 AM
Lo que se ve ultimamente es que se utiliza javascript para llenar la memoria heap con la shellcode, la famosa tecnica "heap spraying" para explotar vulnerabilidades.

saludos

Lo conozco, (bah, probe el POC) pero es MUY inestable y tarda al rededor de 1 minuto en una PC normal =P.

Lo que vi que se usa es VBscript los AJAX y sino, falsear la actualizacion de libflashplayer o acrobatreader (decir q hay una nueva version para instalar y bajar un troyano o worm)
Experimental Serial Lain [Linux User]