Si tratta di siti in lingua coreana di cui uno hostato comunque su server USA
Iniziamo con l'analizzare il sito che permette di accedere da browser ai contenuti del folder bbs/data/ che useremo come punto di partenza della nostra ricerca:
Questa la struttura, dove possiamo notare sia il folder che ospita il phishing Mediolanum con data relativa a giugno ma anche la presenza di un file shell.php che parrebbe uploadato sul sito in data recente.
Il file shell.php e', come d'altronde rivela il nome, una shell comandi ma si potrebbe dire, ridotta ai minimi termini.
Si tratta infatti di codice che accetta solamente comandi testuali e non una delle consuete shell grafiche che siamo abituati a vedere su siti compromessi e lanciabili direttamente da browser.
Attraverso il browser possiamo comunque eseguire il codice php della shell passandogli ad esempio alcuni semplici comandi come il noto ls (comando dei sistemi operativi Unix e Unix-like che elenca informazioni su file ed il contenuto delle directory.) con opzione -a che include nell'elenco anche i file e directory il cui nome inizia per punto (che, per convenzione, non sono normalmente mostrati).
Questo perche' e' probabile che, se presente, il codice di un'altra eventuale shell (anche grafica) potrebbe essere stato nascosto onde evitare di listarlo nell'elenco visto prima.
Ecco infatti l'esecuzione del comando che ci rivela la presenza di una shell , questa volta grafica, e nascosta (il punto prima del nome del file)
eseguendo la quale abbiamo accesso ai dati relativi al phishing nonche' ai logs di chi si e' connesso al sito da esaminare, logs sui quali potremo eventualmente cercare possibili relazioni tra le date di creazione del phishing e gli IP relativi alla provenienza dell'attacco.
Questo e' invece il codice php di phishing che provvede una volta acquisiti i dati di login sulla pagina di phishing, ad inviarli ad una mail del phisher
Per quanto si riferisce al sistema utilizzato per compromettere i siti visiti ora la presenza di una piattaforma di sviluppo ZeroBoard (notare il folder bbs/data/ tipico di ZeroBoard)
in dettaglio
farebbe pensare che si sia utilizzata (come succede spesso in siti di phishing su ZeroBoard) una vulnerabilita' della stessa per uploadare i codici di phishing all'interno dei due siti.
La quasi certezza dell'uso di vulnerabilita' ZeroBoard l'abbiamo confrontando il phishing attuale, con questo phishing CARIGE illustrato da http://www.denisfrati.it/?p=2044 (notate anche in questo caso la presenza di una shell comandi testuale frutto della compromissione del sito …....... Come si legge nel commento al codice, una volta applicato l’exploit si disporra' di una shell di comando all’indirizzo http://www.dominioattaccato/bbs/data/shell.php , che potra' essere utilizzata per lanciare comandi via browser attraverso la barra degli indirizzi, es: ….......... )
Anche l'altro sito di cui mi e' stato inviato il link (questa volta con whois Korea) presenta medesima struttura, ed anche se questa volta non e' possibile una visione da browser dei contenuti,
possiamo comunque applicare gli stessi 'passaggi' visti prima , trovando anche in questo caso sia la shell testuale che quella grafica nascosta.
E' quindi possibile una analisi del sito di phishing che rivela ad esempio medesimo indirizzo mail a cui vengono inviati i dati del login acquisiti dal sito di phishing Mediolanum.
Edgar
Nessun commento:
Posta un commento