Originariamente Scritto da
Sticky©
In realtà la stragrande maggioranza delle infezioni ha come vettori i siti internet. Una delle situazioni tipo è questa: sito web/piattaforma CMS buggata ( xss, sql injection, ecc... ), sito web compromesso e malware installato in una pagina/dominio che era leggittimo fino a un secondo fa. Lato client il browser esegue un codice javascript, flash, un pdf e lì la frittata è fatta. Questo perché oltre agli eventuali bug del browser, ci sono da considerare tutti i flaw dei plugin esterni, su tutti flash e java che è il vettore in assoluto più utilizzato per installare software malevolo ( spesso per costruire botnet allo scopo di spam ).
Questo è un elenco dei principali exploit usati dagli exploit pack in questi primi mesi del 2012
Come vedi, la stragrande maggioranza è legata a javascript e PDF, entrambi vettori embedded nei browser.
Overflow, race condition e similari sono cose del passato, ora chi scrive malware è molto ma molto più astuto. Packer a parte, oramai esistono routine che riescono a capire se si sta cercando di fare debugging di un codice, se questo sta girando in una virtual machine/sandbox e via discorrendo allo scopo di rallentare qualsiasi tipo di analisi.
Il giro di soldi che c'è dietro è enorme, gli exploit pack arrivano a costare anche centinaia di dollari, per non parlare del flusso di denaro dietro la vendita al mercato nero di carte di credito, dati personali, botnet per campagne di spam...