giovedì 20 maggio 2010

Una analisi malware attraverso l'uso di Google cache

Questa mattina ho ricevuto, da un amico italiano, una mail di cui riassumo in parte il testo

…................il mio pc con XP da 2 gg ad un certo punto ha rallentato e poi si e' bloccato. Fa l'avvio poi rallenta sino a bloccarsi...il problema e' partito da quando ho letto con firefox un sito che aveva incluso lo script Js twetti che dovrebbe essere un trojan. Avevo antivirus Avira che non sembra aver rilevato niente, .....il trojan mi e' apparso mentre ero su www......com ….
La curiosita' di analizzare la pagina che proponeva il malware era grande e quindi ho proceduto in questa maniera:

Il primo passo e' stato quello di aprire il sito indicatomi dall'amico, senza chiaramente pensare che avrei trovato ancora lo script presente, ma comunque con la speranza di raccogliere alcune info che mi avrebbero permesso di acquisire il codice del malware.
In effetti, dopo alcune ricerche ho trovato un indizio utile relativamente ai tempi di 'permanenza' dello script pericoloso sulle pagine, nel caso specifico, del forum.

Chi gestisce il forum era intervenuto tempestivamente eliminando il pericolo ma comunque, per alcune ore, chi, come il mio amico, avesse visitato le pagine compromesse, e senza ad esempio l'addon NOSCRIPT attivo, sul firefox, era esposto al malware

Individuati i tempi di permanenza dello script on line, a questo punto bisognava trovare una pagina del forum che lo contenesse e qui e' venuta in mio aiuto la cache di Google.

In effetti il noto motore di ricerca oltre ad indicizzare le pagine trovate ne crea una copia che risulta disponibile sino ad alcuni giorni dopo la sua acquisizione
Il problema era ora quello di trovare una pagina che avesse una cache il cui contenuto fosse stato acquisito all'interno dell'intervallo di tempo in cui lo script era rimasto online.

Fortunatamente trattando di pagine di forum era possibile che dalle 12 circa sino alle 19 del 18 maggio qualcuno avesse postato un messaggio e che Google avesse messo in cache quel contenuto.
Una ricerca per data portava ai risultati sperati proponendo

dove notiamo la disponibilita' della cache con il contenuto originale della pagina alle ore 15:14 del 18 maggio 2010

A questo punto era possibile scaricare il source relativo e venire in possesso dello script malevolo incluso sul sito.

Faccio notare che il sito e' hostato ancora una volta su IP di noto hoster italiano che molto spesso e' alla ribalta per siti compromessi, script malevoli inclusi in massa su siti IT ecc...

Vediamo adesso alcuni dettagli sul codice scaricato :

Questo lo script che era presente all'interno della pagina del forum

che come vediamo e' offuscato in maniera abbastanza semplice

Una volta decodificato notiamo la presenza dell'uso, come peraltro gia' visto in passato, delle API di twitter per generare una url valida da dove scaricare l'exploit.
Ecco ad esempio una pagina del forum (sempre in cache Google) dove l'esecuzione dello script richiama twitter e genera l'url da cui scaricare l'eventuale exploit.

Una ricerca whois dell'URL in questione mostra che si tratta di dominio creato solo ieri

La similitudine con il codice malware del genere Torpig, come illustrato in questo post di fine dicembre 2009 , e' notevole.


Per terminare diamo uno sguardo a come viene identificato il codice sorgente della pagina attraverso una scansione Virus Total

Pare che attualmente, solo 2 degli Av presenti riescano ad individuare il codice come malevolo considerando sempre i limiti di una scansione on-line on-demand come quella di Virus Total.
Questa cosa comunque potrebbe confermare il fatto che, come e' scritto in mail,

…..... Avevo antivirus Avira che non sembra aver rilevato niente,.............

Probabilmente come azione preventiva non sembrerebbero esserci molti Av che individuino il contenuto pericoloso della pagina, c'e' comunque da sperare che possano almeno rilevare il malware scaricato o l'eventuale esecuzione dell'exploit collegato.

Il consiglio e' quindi sempre quello di affiancare ad un software AV anche alcune utility che possano contribuire ad aumentare il livello di sicurezza quando navighiamo in rete, come ad esempio il gia' citato Addon NOSCRIPT per chi usa Firefox.

Per terminare una piccola curiosita' al riguardo della cache di Google.

I vantaggi di avere la possibilita' di consultare pagine ormai modificate in rete sono notevoli ma esiste anche qualche 'controindicazione' per chi, ad esempio, avendo effettuato una ricerca in rete, aprisse la pagina in cache vista ora.

Come vediamo si troverebbe esposto allo script java malevolo, anche se lo stesso e' ormai rimosso dal forum che lo 'ospitava'.

Alcuni dettagli sulla possibilita che la cache Google contenga script o codici pericolosi erano gia' evidenziati in questo mio post di fine 2007. (questo il link al mirror del blog su Wordpress con le immagini di riferimento che sono state invece eliminate, per motivi di spazio, sui vecchi post del mio blog Blogger)

N.B.
Ho notato dai log del blog che il mio amico ha postato sul forum del sito che aveva avuto i problemi di script java incluso , un riferimento a questo post. Avverto chi volesse visitare la pagina in cache Google relativa al periodo 'incriminato' che la stessa e' a tutti gli effetti, quella 'originale' con javascript individuato come JS Twetty, con le possibili conseguenze del caso per browser o software Av che non riconoscessero il pericolo.
Inoltre, come potete vedere dal report VT, almeno al momento, il codice come appare nel source e' praticamente sconosciuto ai softwares AV e quindi potreste non ricevere un allerta virus all'apertura della pagina.

Edgar

Nessun commento: