Kurjategijad kasutavad rünnetes võlts-CAPTCHAt seadme ülevõtmiseks
CERT-EE on viimasel ajal tuvastanud mitmeid Eesti asutuste veebilehtedele suunatud küberrünnakuid, kus ründajad on esmalt veebilehed üle võtnud ning seejärel üritanud nakatada nende külastajate seadmeid. Nakatamiseks kasutatakse ründajate loodud võlts-CAPTCHA kontrolli. Selgitame, kuidas see rünne toimub ning kuidas võlts-CAPTCHAt ära tunda.
Foto: Riigi Infosüsteemi Amet
Allikas: Riigi Infosüsteemi Amet
Kõigepealt tuvastavad ründajad erinevaid haavatava või aegunud tarkvaraga veebilehti ning võtavad need üle. Seejärel riputavad nad ülevõetud veebilehe avalehele järgmise sisuga teate:
Teatest jääb mulje, et tegu on tavalise bot'i kontrolliga, kus kasutaja peab veebilehele pääsemiseks läbima mingi ülesande, tõestamaks, et ta on päris inimene, mitte robot. Kui legitiimsete bot'i kontrollide puhul tuleb tavaliselt veebilehele pääsemiseks märkida linnukesega mingid pildid või vajutada kastikesele, siis kurjategijate loodud võltsülesanne palub kasutajal arvutiklahvidel vajutada Windows + R, Ctrl + V ja siis Enter.
Mis tegelikult juhtub?
Windows + R – vajutades avaneb kasutajal Windowsi „käivita“ (run) aken, mille kaudu saab nt käivitada süsteemikäske, rakendusi, kaustasid jms.
Ctrl + V – sisestab aknasse kasutaja lõikelaua (clipboard) sisu, ehk sisestab selle, mida kasutaja varasemalt kopeerinud on. Käesoleva näite puhul on kasutaja clipboardi sisuks ründajate poolt edastatud pahaloomuline skript. Kasutaja ise ei pea käsitsi seda pahaloomulist skripti kopeerima, sest üldjuhul edastavad ründajad selle skripti kasutaja clipboardi ülevõetud veebilehe kaudu, kasutades clipboard manipulation tehnikat JavaScripti abil.
Enter – Kui kasutaja avab Windows + R abil Windowsi käivitusakna, kleebib sinna oma lõikelaua sisu Ctrl + V abil (mis tegelikkuses on ründajate poolt edastatud pahaloomuline skript) ning vajutab enter, käivitab ta otse käsurea kaudu oma arvutis pahalaste ründeskripti.
Mida teeb pahaloomuline skript?
Käivitab uue Powershell protsessi.
Teeb Powershelli käsurea akna väiksemaks, et ohver seda ei märkaks.
Lülitab välja Powershelli koodikäivitamise poliitika piirangud, mis paneb PowerShelli eirama tavapäraseid turvapiiranguid. Selle tulemusel saab käivituda pahaloomuline skript, mille süsteem muidu blokeeriks.
Läheb ründajate poolt loodud veebilehele ning laeb ohvri arvutisse lisaks mitu uut ründeskripti.
Käivitab äsja alla laetud ründeskriptid, mille tulemusel satub ohvri arvuti ründajate kontrolli alla. Edasisi eesmärke võib kurjategijatel olla erinevaid: varastada arvutist paroole, paigaldada sinna faile krüpteerivad pahavara või nuhkvara jms.
Kuidas teha vahet päris ja võlts-CAPTCHA-l?
Tavaline CAPTCHA palub esmalt kinnitada hiireklõpsuga, et kasutaja ei ole robot ning seejärel palub lahendada mingi ülesanne, nt märkida pildid, millel on kindel ese (nt foorid, bussid, jalgrattad, kassid vms). Vanemate CAPTCHA versioonide puhul võidakse paluda ka sisestada pildid olevaid tähti/numbreid. Loe pikemalt siit
Veel samal teemal
