Показать сообщение отдельно

Re: IT-безопасность-свежие новости.
Старый 16.02.2016, 11:49   #994
☭☭☭☭☭
 
Аватар для kroxus

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 10 601

kroxus на форуме

IT-безопасность-свежие новости.


Шлюз Nuclear имитирует сайт, защищенный CloudFlare

Исследуя цепочку перенаправления на эксплойты Nuclear, эксперты Malwarebytes [Ссылки могут видеть только зарегистрированные пользователи. ] страницу ожидания, позаимствованную у CDN-провайдера CloudFlare. Эта поддельная заставка призвана прикрыть махинации с редиректами и проверку уязвимости визитера, а также удержать его от искушения прервать соединение из-за задержки загрузки.

Дело в том, с сайта, используемого Nuclear как первичный редиректор, пользователь обычно направляется на сервер-посредник – этакий[Ссылки могут видеть только зарегистрированные пользователи. ], который определяет уязвимость ОС и браузера посетителя и в зависимости от результатов перенаправляет его на страницу с конкретным эксплойтом (или возвращает ошибку). Процесс перенаправления и проверки данных потенциальной жертвы требует времени, поэтому некоторые пользователи, не желая ждать, просто закрывают вкладку в браузере. Поддельная страница ожидания с известным именем способна убедить таких «отказников» в том, что они переходят на легитимный сайт и есть смысл дождаться завершения загрузки.

Подлинник этой заставки обычно выводится посетителю в тех случаях, когда сайт-клиент CloudFlare работает в режиме усиленной защиты от DDoS – [Ссылки могут видеть только зарегистрированные пользователи. ] (CloudFlare среди прочего предлагает и такую услугу). Режим «под атакой» предполагает ряд дополнительных проверок при установлении первичного соединения с сайтом. Весь процесс занимает около 5 секунд и незаметен для легитимного пользователя, тот видит лишь подтверждение установки соединения с указанием времени задержки:

Подделка всплыла в ходе очередной Nuclear-кампании, использующей вредоносную рекламу в качестве редиректоров. Имитацию, по свидетельству Malwarebytes, нетрудно распознать, так как на ней отсутствуют некоторые элементы, обязательные для оригинала, в частности, имя сайта, на который совершается переход, и параметр Ray ID – генерируемая на лету строка случайных символов, уникальная для каждого пользователя и сайта (прописывается внизу страницы).

Более того, если посетитель использует браузерное расширение NoScript (блокировку автоматического исполнения скриптов), поддельное уведомление Nuclear просит его включить JavaScript и перезагрузить страницу, тогда как оригинал никогда не обращается к пользователям с такой просьбой.

Дальнейшая проверка показала, что IP-адрес сервера, отчетливо различимый на фальшивой странице, не принадлежит CloudFlare, равно как и домен, используемый Nuclear в качестве шлюза (при DDoS-атаке все DNS-запросы к клиентскому сайту пропускаются через инфраструктуру компании). Malwarebytes уже известила CloudFlare о своей находке, и специалисты провайдера с готовностью приняли участие в расследовании.

Напомним, в первой половине минувшего года Nuclear [Ссылки могут видеть только зарегистрированные пользователи. ] своему ближайшему конкуренту, Angler, однако к осени он [Ссылки могут видеть только зарегистрированные пользователи. ] и ныне участвует во всех актуальных схемах доставки зловредов, в первую очередь, [Ссылки могут видеть только зарегистрированные пользователи. ].
__________________
пусть всегда будет солнце
  Ответить с цитированием
 
Яндекс.Метрика