Zdravím, zajímalo by mě, jestli nemáte někdo trochu více infa k http://community.websense.com/blogs/sec ... -help.aspx ? Docela by mě zajímalo, jestli je Phoenix popřípadě samotný Cridex.B schopen napadnou i Unixový systém (přes Javu/OpenJDK?). Nebo jestli se soustředí jen na Win?
Ahoj I.
Odvirování PC, zrychlení počítače, vzdálená pomoc prostřednictvím služby neslape.cz
Phoenix Exploit Kit a WordPress
Moderátor: Moderátoři
-
Vrtule
- Přítel fóra
- Příspěvky: 328
- Registrován: 20 dub 2007 22:54
- Bydliště: Praha
- Kontaktovat uživatele:
Re: Phoenix Exploit Kit a WordPress
Zdravím,
exploit kity moc nesbírám, takže bohužel nemůžu odpovědět na otázku, zda to může napadnout i Unixový/Linuxový systém. Na této stránce ale (http://community.websense.com/blogs/sec ... s-kit.aspx) je vypsaný i seznam zranitelností, které tento kit zneužívá, takže by mělo stačit je prozkoumat u výrobců příslušných aplikací (popř. asi na stránkách OpenJDK) a zjistit, jaké operační systémy jsou zasaženy.
Nevím ale, jak moc je tamta informace aktuální. Exploit kity se obvykle postupně vyvíjejí a přidávají útoky proti dalším objeveným zranitelnostem.
exploit kity moc nesbírám, takže bohužel nemůžu odpovědět na otázku, zda to může napadnout i Unixový/Linuxový systém. Na této stránce ale (http://community.websense.com/blogs/sec ... s-kit.aspx) je vypsaný i seznam zranitelností, které tento kit zneužívá, takže by mělo stačit je prozkoumat u výrobců příslušných aplikací (popř. asi na stránkách OpenJDK) a zjistit, jaké operační systémy jsou zasaženy.
Nevím ale, jak moc je tamta informace aktuální. Exploit kity se obvykle postupně vyvíjejí a přidávají útoky proti dalším objeveným zranitelnostem.
GitHub (https://github.com/MartinDrab)
Re: Phoenix Exploit Kit a WordPress
Díky za info. Seznam zranitelností jsem študoval, teoreticky by tam s neaktuální verzí Javy/OpenJDK škvírka byla.
Spíš je otázka, zda jí dokáže samotný Phoenix nebo Cridex.B jako náklad využít. Obecně jsou myslím oba dva spíše windowsí záležitost, ne? A tak jako tak by přece bez práv administrátora neměli ani jeden ani druhý přežít restart. Nebo se mýlím?
Mohu se jinak optat, co by jste doporučili na detekci v rámci Windows? Standartně užívám Avast + jednorázově AVP, MBAM a MWAV. Co jsem četl, tak se ale Phoenix schovává velmi účině. Co by jste poradili, že bych si pak případně projel pro zajímavost aj disk s unixem.
Spíš je otázka, zda jí dokáže samotný Phoenix nebo Cridex.B jako náklad využít. Obecně jsou myslím oba dva spíše windowsí záležitost, ne? A tak jako tak by přece bez práv administrátora neměli ani jeden ani druhý přežít restart. Nebo se mýlím?
Mohu se jinak optat, co by jste doporučili na detekci v rámci Windows? Standartně užívám Avast + jednorázově AVP, MBAM a MWAV. Co jsem četl, tak se ale Phoenix schovává velmi účině. Co by jste poradili, že bych si pak případně projel pro zajímavost aj disk s unixem.
-
Vrtule
- Přítel fóra
- Příspěvky: 328
- Registrován: 20 dub 2007 22:54
- Bydliště: Praha
- Kontaktovat uživatele:
Re: Phoenix Exploit Kit a WordPress
Tam bude hodně záležet na tom, co ta zranitelnost v OpenJDK umožňuje. Jestli spustit libovolný kód ve strojových instrukcích (tedy závislost na architektuře CPU a operačním systému), nebo spustit libovolný bytecode (kompilovaná Java - nezávislost na OS a architektuře CPU).
Pokud by to byl ten druhý případ, tak by mohl být infikován i Unix/Linux. Administrátorská práva by ten malware sice neměl, disponoval by asi právy procesu, kterého zneužil (což by asi byla nějaká ta Java). *NIXové systémy znám jen velmi málo, ale řekl bych, že když by se třeba zapsal do .bash.rc, tak by se pak ten malware spouštěl při každém přihlášení toho uživatele, což samo o sobě podle mě může nadělat slušnou paseku.
Jako obranu proti tumto bych doporučil asi jen nějaký dobrý systém HIPS (Comodo, Outpost) v paranoidním režimu. Pak máte možná šanci zachytit a zablokovat podezřelé události generované při infekci. Ale bude vám to dávat spoustu hlášek falešných, které budete muset odklikávat. Což většinu lidí velmi rychle naštve.
Pokud by to byl ten druhý případ, tak by mohl být infikován i Unix/Linux. Administrátorská práva by ten malware sice neměl, disponoval by asi právy procesu, kterého zneužil (což by asi byla nějaká ta Java). *NIXové systémy znám jen velmi málo, ale řekl bych, že když by se třeba zapsal do .bash.rc, tak by se pak ten malware spouštěl při každém přihlášení toho uživatele, což samo o sobě podle mě může nadělat slušnou paseku.
Jako obranu proti tumto bych doporučil asi jen nějaký dobrý systém HIPS (Comodo, Outpost) v paranoidním režimu. Pak máte možná šanci zachytit a zablokovat podezřelé události generované při infekci. Ale bude vám to dávat spoustu hlášek falešných, které budete muset odklikávat. Což většinu lidí velmi rychle naštve.
GitHub (https://github.com/MartinDrab)
Přispějete na provoz fóra?