Łukasz Pilorz

Aktualizacja (17 maja): Wbrew temu, co twierdzi większość serwisów informacyjnych, raport pracowników Google nie stwierdza, że 10% stron internetowych zawiera malware. Liczba ta dotyczy 450 tysięcy z 4,5 miliona stron, które zostały wybrane jako podejrzane podczas wstępnej selekcji. Faktyczna liczba badanych stron była znacznie większa - a więc szkodliwe jest nie 10%, ale ułamek promila.

Na stronie HotBots udostępnione zostały materiały z tegorocznych warsztatów poświęconych botnetom. Na szczególną uwagę zasługuje The Ghost In The Browser. Analysis of Web Based Malware, przygotowany przez pracowników Google. Przedstawia on najpopularniejsze metody rozprzestrzeniania złośliwego oprogramowania poprzez strony internetowe:

• włamania mające na celu modyfikację kodu aplikacji na serwerze (np. dodanie ramki ze złośliwą “stroną-matką”)
• ataki XSS typu persistent (szczególnie w aplikacjach blogowych, forach internetowych i serwisach społecznościowych)
• wykorzystanie reklam, statystyk lub innych skryptów z zewnętrzej domeny (umieszczonych przez twórcę strony w dobrej wierze)

Zwłaszcza ostatni punkt jest niepokojący, ponieważ tego typu narzędzia skryptowe są bardzo powszechne. Jako ciekawostkę autorzy podają fakt, że jeden z obserwowanych skryptów statystyk funkcjonował poprawnie przez cztery lata, zanim przekształcił się w złośliwy kod. To cenne ostrzeżenie dla wszystkich serwisów wykorzystujących jakiekolwiek skrypty z zewnętrznej domeny, a zwłaszcza te mniej zaufane niż Gemius czy Google Analytics.

Złośliwe strony wykorzystują JavaScript również do rozpoznania oprogramowania stosowanego przez ofiarę, i serwowania na tej podstawie odpowiedniego exploita. Demo narzędzia realizującego podobne zadanie można znaleźć tutaj

Zainteresowanym tą tematyką polecam pełny tekst: The Ghost In The Browser. Analysis of Web Based Malware.