Sono centinaia i riferimenti trovati in rete attraverso una ricerca, a siti IT compromessi con inclusione di codice nella homepage e presenza al loro interno di decine di pagine come questa
Una analisi rivela nei sources la presenza di numerosi links ai codici del “Files Search Engine” incluso e le cui pagine sono indicizzate in gran numero da Google mentre per quanto si riferisce all'ambiente di sviluppo utilizzato i siti esaminati presentano
Questo un report Autoit che evidenzia la struttura
di alcuni dei siti esaminati tra cui questo di hotel
di ristorante
ecc...
Analizzando gli IP si puo' notare che si tratta di una azione di compromissione che comprende differenti hoster quasi tutti italiani
Veniamo ora alla parte forse piu' interessante del post e' cioe' la presenza sulla maggior parte dei siti visti ora ed analizzati
di questo codice di javascript offuscato in maniera veramente particolare, al punto di far pensare che si trattasse quasi di un file senza significato.
Se si guarda infatti il contenuto e' praticamente costituito , almeno da come viene visualizzato, solo da sequenze di caratteri $ . \\ inframezzati da simboli + e da _.
A decodificare questo particolare script viene in aiuto il blog extraexploit.blogspot.com che rispondendo ad un mio quesito al riguardo ha provveduto a pubblicare un interessante post che traduco parzialmente perche' oltre alla decodifica in questione mostra anche come operare in maniera piu' generale, per decriptare questi particolari script.
Questa una analisi dello script su http://extraexploit.blogspot.com/2010/10/dollars-javascript-code-yet-another.html che traduco parzialmente: (le immagini sono anchesse tratte dal blog Extraexploit)
----------------------------------------------------------------------------------------
Dollars javascript code - ancora un altro metodo di offuscamento Javascript
Il codice che viene segnalato e' :
Ad una prima analisi appare come un codice senza senso ed il primo passo e' stato quello di utilizzare la funzione javascript alert () posizionandola nelle parti iniziali del codice offuscato:
I marker BLU mostrato il luogo dove l'alert () e' stata iscritta
Tentando di eseguire questa parte del codice in cui e' stata inclusa la funzione Alert() abbiamo questi risultati:
Il resto del codice deoffuscato si ottiene ponendo in una textarea il codice di riferimento "Function ()" come segue:
anche la fine di codice offuscato deve essere modificato come indicato:
Una volta che questo codice modificato viene posto in una pagina HTML di test e passato a Firefox, si ottiene il codice deoffuscato seguente
--------------------------------------------------------------------------------------------
Come vediamo con pochi passaggi si e' decodificato uno script il cui contenuto che appariva senza senso invece e' reale.
Come spiega anche il curatore del blog di Extraeploit questo codice offuscato e' legato alla presenza dei links a pagine incluse all'interno del corrispondete sito colpito,
pagine che tramite il falso motore di ricerca di files, tentano di redirigere su altrettanti siti di download a pagamento di files di vario genere
Si tratterebbe in sostanza quindi di una infrastruttura Black Hat Seo con l'obiettivo di invogliare gli utenti a scaricare materiale da siti web che chiedono una registrazione a pagamento e che appaiono anche legati a possibili frodi compiute attraverso l'uso di carta di credito.
Edgar
Una analisi rivela nei sources la presenza di numerosi links ai codici del “Files Search Engine” incluso e le cui pagine sono indicizzate in gran numero da Google mentre per quanto si riferisce all'ambiente di sviluppo utilizzato i siti esaminati presentano
Questo un report Autoit che evidenzia la struttura
di alcuni dei siti esaminati tra cui questo di hotel
di ristorante
ecc...
Analizzando gli IP si puo' notare che si tratta di una azione di compromissione che comprende differenti hoster quasi tutti italiani
Veniamo ora alla parte forse piu' interessante del post e' cioe' la presenza sulla maggior parte dei siti visti ora ed analizzati
di questo codice di javascript offuscato in maniera veramente particolare, al punto di far pensare che si trattasse quasi di un file senza significato.
Se si guarda infatti il contenuto e' praticamente costituito , almeno da come viene visualizzato, solo da sequenze di caratteri $ . \\ inframezzati da simboli + e da _.A decodificare questo particolare script viene in aiuto il blog extraexploit.blogspot.com che rispondendo ad un mio quesito al riguardo ha provveduto a pubblicare un interessante post che traduco parzialmente perche' oltre alla decodifica in questione mostra anche come operare in maniera piu' generale, per decriptare questi particolari script.
Questa una analisi dello script su http://extraexploit.blogspot.com/2010/10/dollars-javascript-code-yet-another.html che traduco parzialmente: (le immagini sono anchesse tratte dal blog Extraexploit)
----------------------------------------------------------------------------------------
Dollars javascript code - ancora un altro metodo di offuscamento Javascript
Il codice che viene segnalato e' :
Ad una prima analisi appare come un codice senza senso ed il primo passo e' stato quello di utilizzare la funzione javascript alert () posizionandola nelle parti iniziali del codice offuscato:
I marker BLU mostrato il luogo dove l'alert () e' stata iscritta
Tentando di eseguire questa parte del codice in cui e' stata inclusa la funzione Alert() abbiamo questi risultati:
Il resto del codice deoffuscato si ottiene ponendo in una textarea il codice di riferimento "Function ()" come segue:
anche la fine di codice offuscato deve essere modificato come indicato:
Una volta che questo codice modificato viene posto in una pagina HTML di test e passato a Firefox, si ottiene il codice deoffuscato seguente
--------------------------------------------------------------------------------------------
Come vediamo con pochi passaggi si e' decodificato uno script il cui contenuto che appariva senza senso invece e' reale.
Come spiega anche il curatore del blog di Extraeploit questo codice offuscato e' legato alla presenza dei links a pagine incluse all'interno del corrispondete sito colpito,
pagine che tramite il falso motore di ricerca di files, tentano di redirigere su altrettanti siti di download a pagamento di files di vario genereSi tratterebbe in sostanza quindi di una infrastruttura Black Hat Seo con l'obiettivo di invogliare gli utenti a scaricare materiale da siti web che chiedono una registrazione a pagamento e che appaiono anche legati a possibili frodi compiute attraverso l'uso di carta di credito.
Edgar
Nessun commento:
Posta un commento