venerdì 13 giugno 2008

Utilizzo di tools per automatizzare la ricerca malware

Da qualche giorno sto testando un ulteriore 'improvement” di uno dei miei tools che consiste nella possibilita' di effettuare ricerche in rete e download del codice sorgente delle pagine trovate, passando non manualmente una singola stringa al motore di ricerca, ma una serie di parole chiave tratte da un file txt letto sequenzialmente.

Questa nuova modifica ad uno dei tools si e' resa necessaria dalla ormai enorme quantita' di differenti urls (si supera il centinaio di differenti indirizzi pericolosi) presenti come link a malware in javascript inseriti all'interno del codice di normali siti web. (es. con l'ultimo recente attacco a siti anche .IT suportato dalla botnet Asprox)

In pratica ora il tools estrae da un elenco TXT quello che deve passare al motore di ricerca come chiave automatizzando una operazione che se eseguita manualmente comporterebbe molto piu' tempo e successivamente scarica il sorgente html del sito per ulteriori verifiche.

Questa una schermata che riassume i vari passaggi dalla lista di links prericolosi (1) al caricamento del file java pericoloso per esaminarne il codice.(4)

A questo punto il problema diventa solo, si fa per dire, estrarre dalla enorme quantita' di dati raccolta in poco tempo con il tool, i casi piu' significativi ed eventualmente non ancora evidenziati in precedenza.

Ma passiamo ora ad un caso concreto di utilizzo del tool:

Questo un esempio dell'output del tools

Prendiamo un link a caso di quelli che sembrano contenere un codice script che potrebbe ( sicuramente ) essere pericoloso.
Questa la pagina interessata che come si vede e' una normale pagina web

di una ATC, dove esaminando il codice sorgente troviamo diversi scripts (k.js) che puntano a sito cinese

Questa volta il file java e' diverso dal solto b.js che conosciamo bene per essere sempre presente negli ultimi attacchi asprox.

Una volta caricato lo script k.js possiamo decodificarne il codice offuscato che punta a sito sempre .cn


(questo un whois)


sito che anche esaminato superficialmente, dimostra di linkare, tra l'altro questo file flash


che con VT dimostra tutta la sua pericolosita' (presumibile exploit ai danni di versioni non aggiornate del player flash) ed anche il fatto di essere poco conosciuto ai softwares antivirus


Questo e' solo uno dei circa 950 files sorgenti sospetti di malware scaricati in circa un'ora di funzionamento del tool e che porta ad un report finale di files filtrati, per evitare di elaborare anche file di siti bonificati, di circa 150 files sorgenti di pagine web sicuramente riconducibili a pagine con javascript o comunque links a pagine malware.

Considerando che la scansione era anche filtrata solo per domini .IT e per non piu' di 100 links risultato per ogni singola chiave di ricerca, il rischio di 'beccarsi' un malware navigando in rete su 'normali' siti diventa ogni giorno piu' attuale.

Edgar

Nessun commento: