Malware multiplataforma vía extensiones de Firefox

Transcripción

1 Emiliano Martínez Contreras Hispasec Sistemas Malware multiplataforma vía extensiones de Firefox

2 ACLARACIÓN INICIAL Esta Esta presentación corresponde a una una charla eminentemente práctica. Las Las transparencias no no pretenden ser ser ningún apoyo teórico para para la la charla, sino sino un un medio para para transmitir ideas. ideas. Seguir los los conceptos y las las explicaciones de de la la charla charla exclusivamente con con estas estas transparencias es es inútil. inútil. Si Si no no ha ha asistido a la la charla podrá encontrar la la grabación de de ésta ésta en en el el canal canal de de Youtube de de la la Universidad Politécnica de de Madrid.

3 15 años atrás... Motivaciones: Fama Medio para aprender/investigar Fauna y flora: Virus infectores, primeros troyanos de puerta trasera, gusanos, etc.

4 A día de hoy... Motivación: Lucro, lucro, lucro Fauna y flora: Extorsion DdoS, extorsión ransomware, troyanos bancarios, adware, fake antivirus, etc.

5 Mr. Burns Mr. Burns CEO Burns Ltd.

6 Producción energía

7 Un negocio muy rentable

8 Vida en en abundancia

9 Caprichos exquisitos

10 Esclavos a su servicio

11 Chicas de moral distraida

12 Cómo pagaba por ello?

13 Tarjeta de coordenadas

14

15 Demo sistema limpio

16 Pajaritos cantando... violines tocando

17 Ni un duro

18

19 Demo infección

20 Al menos 3 mitos rotos...

21 Linux no se infecta... Windows caca

22 Usa Firefox... Internet Explorer == coladero

23 Candadito == Totalmente seguro

24 Cómo demonios...?

25 Atacar la aplicación multiplataforma/multi-os (analogía con máquina virtual de Java)

26

27 Persistencia Persistencia Arquitectura conceptual navegador genérico Interfaz de usuario Motor de navegación Motor de renderización Gestor de de red Intérprete JavaScript Parser XML Backend de de visualización

28 Arquitectura conceptual de Firefox

29 Interfaz de Usuario (XPToolkit) (I)

30 Interfaz de Usuario (XPToolkit) (II) Demo: Live XUL Editor

31 Motor de navegación y renderización (Gecko)

32 Algo falla...

33 Y cómo llamo desde JS?

34 Creando un directorio... Creamos un directorio llamado DIR en el directorio perfil del usuario: var file = Components.classes["@mozilla.org/file/directory_service;1"]. getservice(components.interfaces.nsiproperties). get("profd", Components.interfaces.nsIFile); file.append("dir"); if(!file.exists()!file.isdirectory() ) { // if it doesn't exist, create file.create(components.interfaces.nsifile.directory_type, 0777); }

35 Más simple... Capa presentación: colores, tamaños, fuentes, etc. Controla todas partes, efectos dinámicos... Controla estructura Caja negra para tareas especializadas: acceso a ficheros, creación ficheros, etc.

36 Análogo a una aplicación web Estructura Control Tareas especializadas

37 Extensiones para ampliar funcionalidad

38 Entresijos de una extensión Paquetes XPI (cross platform installer)... archivos comprimidos en formato ZIP con una determinada estructura de ficheros. Install.rdf Chrome.manifest Content/* [ otros dirs...] Directivas y parámetros de instalación Archivos JS y XUL que implementan el comportamiento de la extensión Otros directorios para soporte de idiomas, skins, parámetros por defecto, etc.

39 Similar a diseño por capas Capa superior puede modificar capas inferiores y ciertas capas intrínsecas del navegador.

40 Disección de nuestra extensión maliciosa

41 Dentro de FireInject... Chrome.manifest Browser Overlay Sólo carga JavaScript malicioso, no hay cambios estructurales del navegador

42 BrowserOverlay.js Registra una callback para cada carga visita de

43 Instalación y llegada al sistema Paquete XPI, instalación voluntaria desde navegador, e.j. VTzilla. Paquete XPI, copiar a carpeta Paquete XPI, nombrar extensión como extensión ya instalada y sustituir en Actualizaciones maliciosas desde una fuente previamente fiable (posibilidad MITM). Instalación tras explotación de vulnerabilidades.

44 Consideraciones de seguridad (I) Firefox confía plenamente en el código de las extensiones. No hay barreras de seguridad entre extensiones en un mismo perfil. No hay políticas de seguridad/permisos a la hora de acceder a la API de Firefox, XPCOM, etc. No hay comprobación de integridad a la hora de cargar extensiones ya instaladas (e.j. podemos sustituir con código malicioso). Versiones antigüas de Firefox se podía instalar sin ningún tipo de aviso. Múltiples mecanismos para ocultar que la extensión está instalada.

45 Consideraciones de seguridad (II) No se requiere ser root/administrador para instalar la extensión. El código de la extensión se ejecuta en el contexto del proceso del navegador. El navegador es el que realiza las peticiones HTTP para comunicación con su C&C. Las extensiones tienen acceso no restringido al DOM de las páginas visualizadas. El código es completamente multiplataforma. A través de XPCOM se puede acceder a otros recursos del sistema: sitema ficheros, Registro (Windows), etc. La firma de extensiones (software en general) tan sólo garantiza que alguien ha pagado por un certificado, no suministra ninguna garantía respecto al comportamiento de la extensión.

46 Qué más podemos hacer? DEMO

47

48 ACLARACIÓN FINAL FINAL Tal Tal y y como como ya ya se se ha ha mencionado en en las las aclaraciones iniciales iniciales de de este este documento, dado dado el el carácter carácter eminentemente práctico práctico de de la la charla, charla, este este documento sirve sirve de de poco poco sin sin haber haber estado estado presente presente en en ella. ella. Durante Durante la la charla charla se se hacen hacen una una serie serie de de demostraciones que que no no quedan quedan recogidas recogidas en en estas estas transparencias: Transparencia Acceso Acceso a portal portal de de banca banca electrónica electrónica desde desde Linux+Firefox previa previa infección. infección. Transparencia Acceso Acceso a página página que que simula simula ser ser vídeo vídeo pornográfico para para distribuir distribuir un un falso falso codec codec (extensión (extensión de de Firefox Firefox maliciosa) maliciosa) e infectar infectar el el sistema. sistema. Acceso Acceso a banca banca electrónica electrónica con con sistema sistema infectado infectado para para mostrar mostrar como como se se solicita solicita la la tarjeta tarjeta de de coordenadas y y se se capturan capturan todas todas las las credenciales personales. Transparencia Se Se muestra muestra código código fuente fuente de de página página web. web. Transparencia Se Se usa usa la la extensión extensión Developer Developer Assitant Assitant para para explicar explicar XUL XUL y y mostrar mostrar como como se se renderiza. renderiza. Se Se muestra muestra la la estructura estructura de de directorios directorios de de Firefox Firefox y y se se toca toca su su código código fuente fuente para para demostrar demostrar el el impacto impacto visual visual de de las las modificaciones. Transparencia Se Se estudia estudia el el código código fuente fuente de de la la extensión extensión maliciosa maliciosa presentada durante durante la la charla. charla. Transparencia Se Se demuestran cada cada uno uno de de los los mecanismos de de instalación instalación reseñados reseñados en en la la transparencia. Transparencia Se Se muestran muestran otras otras cosas cosas que que se se pueden pueden hacer hacer con con la la extensiones extensiones maliciosas: maliciosas: otras otras inyecciones inyecciones en en páginas páginas de de banca banca electrónica, electrónica, captura captura de de credenciales credenciales en en facebook, facebook, etc. etc. Transparencia Se Se demuestra demuestra como como sería sería posible posible conseguir conseguir comprometer el el sistema sistema por por completo completo (privilegios (privilegios root) root) usando usando la la extensión extensión maliciosa. maliciosa.