giovedì 24 aprile 2008

Mass Attack JavaScript injection colpisce anche siti italiani

Come premessa importante bisogna evidenziare che, al momento, il sito con whois in Cina

che hostava gli exploit sembrerebbe OFFline, ma, vista la notevole quantita' di pagine colpite, vale la pena di analizzare quello che e' successo.

Il 22 aprile infatti Websense Security Labs ha pubblicato un interessante articolo nel quale lancia un allerta per migliaia di domini compromessi tramite 'JavaScript injection' a cui fa seguito, ieri, un post di Dancho Danchev sempre al riguardo di questo attacco a siti USA e UK ma non solo.

Come appare da una ricerca in rete anche un sito web delle Nazioni Unite e' stato colpito ed ora Google avverte del pericolo presente sulla pagina.

L'attacco sembra essere la copia di uno precedente che aveva utilizzato una tecnica simile per redirigere la navigazione su un sito contenente exploit di vario genere.

Vediamo qualche dettaglio:

Questa e' una ricerca effettuata con Google da cui si nota che il numero dei link a pagine con lo script pericoloso e' ancora molto elevato


e questa e' una ricerca effettuata con il mio nuovo tools che utilizza un ulteriore filtro sui codici delle pagine trovate per estrarre solo quelle che realmente hanno ancora il contenuto pericoloso. (di solito anche se bonificate le pagine rimangono per qualche tempo linkate dal motore di ricerca)


Come si vede, su un campione di 389 pagine, ne abbiamo una ottantina che presentano all'interno un codice simile a questo

Per quanto si riferisce all'Italia, una ricerca filtrata per domini IT ci porta comunque ad individuare un certo numero di siti che presentavano lo script pericoloso ma c'e' da dire che al momento la maggior parte e' stata presumibilmente gia' bonificata


L'attacco, come dicevamo, e' la copia di uno precedente di cui ancora numerosi siti portano all'interno lo script che linkava a pagina con exploit e di cui vediamo una ricerca con Google

Come curiosita', il sito http://isc.sans.org/ ha pubblicato una analisi di un tools e la relativa interfaccia (cinese) usata da chi che esegue questo tipo di attacchi e che dimostra come l'enorme quantita' di pagine compromesse sia ottenuta rendendo automatiche una serie di operazioni alla cui base sta comunque una ricerca eseguita su Google di siti vulnerabili.

Edgar

3 commenti:

Juninho85 ha detto...

ciao edagar,non sapevo come contattarti perciò lo faccio qui:leggi questo link:http://www.hwupgrade.it/forum/showpost.php?p=22168697&postcount=2766
...nel caso volessi farci qualche articolo :)

Sbronzo di Riace ha detto...

When accessing data from the URL, "http://eaoafir.com/cgi-bin/index.cgi?grobin"
a virus or unwanted program 'HEUR/HTML.Malware' [heuristic] was found.
Action taken: Blocked file

sto testando antivir in versione premium e ho ricevuto questo warning
dalla webguard

Edgar Bangkok ha detto...

La funzione che viene caricata varia di nome ogni volta che si carica la pagina ed utilizza la chiamata a CALLEE to Sring che ne rende la decodifica del codice offuscato abbastanza difficoltosa