Computerworld News Service: Cyberkriminelle bruger i stigende grad personalicerings-teknikker til at gøre deres angreb på de besøgende mere effektivt.
Gennem det seneste års tid er antallet af ondsindede hjemmesider, der bruger personaliceringsteknikker, langsomt steget.
Det vurderer IBM's Internet Systems X-force threat group.
”Til forskel fra ældre sites, der bare forsøgte at sende den samme ondsindede kode af sted til alle besøgende, er de nye sider spækket med forskellige misbrugsmuligheder,” siger Gunter Ollmann, der er leder i IBMs ISS X-force gruppe.
”Siderne er bygget op så de først undersøger brugerens browser for specifikke oplysninger, som derefter bruges til at lave et specialdesignet angreb,” siger han.
Han peger på, at der mange ondsindede hjemmesider, der bruger IP-adresser og informationer om brugernes browsere, før de indleder et angreb.
”En Explorer-bruger, der besøger en ondsindet hjemmeside, vil blive udsat for angreb, der udnytter sikkerhedshullerne i Explorer, mens et angreb på en Firefox-bruger udnytter hullerne i Firefox. Typisk forsøger angriberne at installere spyware og programmer, der opsnapper det man skriver på tastaturet," siger Gunter Ollmann.
På den måde kan den ondsindede hjemmeside have mange forskellige udnyttelsesmuligheder liggende, som passer præcis til den browserversion brugerne har installeret.
1.000 nye hackersider om ugen
Ifølge en rapport fra X-force bruger 30 procent af de ondsindede sider personaliseringsteknikker.
”Det tal stiger med omkring 1.000 nye hjemmesider om ugen. De har typisk en levetid på fire til fem dage, hvorefter de forsvinder igen,” siger Ollmann.
De cyberkriminelle bruger typisk spam mail eller hijacker andres domæner for at ligne troværdige hjemmesider.
Andre gange bliver brugerne videreført til siderne, når de klikker på et ”shared object”, der ligger på siden.
Det kan eksempelvis være et banner.
Mere og mere sofistikerede angreb
De ondsindede hjemmesider bruger ofte IP-adressen til at sikre sig, at de kun leverer den ondsindede kode en enkelt gang.
Det minimerer chancen for at blive opdaget.
”Nogle er endog begyndt at bruge en IP-liste over it sikkerhedsfirmaer, så de ikke bliver forsøgt angrebet,” siger Ollmann og fortsætter:
Mange af disse hjemmesider bruger sofistikerede teknikker for at undgå at blive opdaget.
Javascripts bruges ofte til at indlejre indholdet på en side, så det ikke kan opdages af signatur baserede sikkerhedsteknologier. Et ondsindet program kan også deles op i to eller flere dele, som senere bliver samlet på brugerens computer.
Mange ondsindede hjemmesider afleverer de ondsindede programmer i to faser.
I den første bliver et såkaldt ”dropper-program” installeret i systemet.
Det program aktiveres senere og henter resten af det ondsindede program.”
Oversat af Christian Carlsen
