lunedì 30 aprile 2012

Script, ricerche, siti IT e fake pagina Youtube dall'accurato layout ingannevole (30 aprile)

Sicuramente uno dei modi piu' immediati per acquisire links a malware, links a falsi AV, a siti poco affidabili,ecc.. e' quello di lanciare una ricerca in rete attraverso uno dei tanti motori di ricerca disponibili on-line.
Chiaramente i risultati ottenuti acquistano maggiore importanza se si filtrano i contenuti della ricerca attraverso le varie opzioni disponibili in ricerca che consentono, ad esempio per Google, di limitare le ricerche a soli siti IT e di ordinare i risultati per data/time di indicizzazione.
Un ulteriore aiuto viene poi dall'utilizzo di semplici scripts, che, senza scomodare una programmazione specifica per quel motore di ricerca, permettono comunque di presentare ed interpretare i risultati facilmente.

Ecco ad esempio una attuale ricerca per siti IT attraverso un semplice script Autoit


dove in aggiunta ai risultati e' stato implementato un whois, l'indicazione del time relativo all'indicizzazione del sito, ed anche il testo relativo al link trovato.

Come si nota, in testa al report abbiamo i risultati di indicizzazione recente (poche ore fa) dove compare un buon numero di links collegati ad Universita' Italiana, come possibili links a malware.
Interessante anche quanto emerge riguardo ad un hoster ligure che vede alcuni siti, anche su diverso IP, ma che un whois che evidenzia il medesimo hoster.


Vediamo ora un dettaglio di uno dei tanti risultati ottenuti attraverso lo script e che ci mostrera' una interessane pagina di fake sito Youtube con un layout veramente curato nei particolari,



cosa che si distingue dai noti layout gia' visti in passato e che ricordavano solo in maniera vaga, il noto sito di filmati online.

Vediamo alcuni dettagli sul sito odierno:

Ecco il particolare del report Autoit della ricerca


dove possiamo cliccare direttamente sulla URL rilevata, venendo portati su sito di Istituto Scolastico


che vede nella pagina “Dicono di noi”, indicizzata ieri (1 day), la presenza di numerosi commenti in data attuale.
Questo uno dei commenti

che se cliccato ci redirige ad un profilo utente su sito di forum

che mostra in bella evidenza un fake player


Cliccando sul player, dopo una ulteriore pagina di redirect, otteniamo


Si tratta di una 'copia' molto ben fatta di un layout di pagina Youtube, che mostra in dettaglio la richiesta 'fake' di update del player Flash


che si risolve, cliccando in qualsiasi parte dello schermo, con


L'identico file eseguibile viene anche proposto dalla altrettanto fake barra al top dello screen di richiesta di installazione di nuovo plugin


Chiaramente l'eseguibile analizzato con VT mostra


con


Da notare il veramente basso riconoscimento da parte dei softwares AV presenti su VT.

Attualmente il sito del fake Youtube presenta whois


mentre l'eseguibile malware e' scaricato da sito con whois


a dimostrazione del sempre esteso utilizzo di differenti hosting (specialmente est europei) nei casi di distribuzione di malware, falsi Av, ecc............

Edgar

sabato 21 aprile 2012

Sempre notevole la diffusione di BlackHole exploit tramite siti, anche .IT, compromessi. Aggiornamenti.(21 aprile)

Continua intensa la 'campagna' di distribuzione malware che vede segnalata in rete la presenza di links a BlackHole Exploit anche su sito Altervista.

Per capire quanto sia attualmente estesa la presenza on-line di siti compromessi basta scorrere i reports di alcuni noti siti che verificano quasi in tempo reale la presenza di nuovi links a codici BlackHole.

Ecco un tipico report, dove vediamo che praticamente tutte o quasi le ultime segnalazioni coinvolgono il noto malware

Tornando al sito Altervista sorge il dubbio che, considerando la homepage inesistente e conoscendo quanto siano usati i servizi di free hosting in casi di phishing e distribuzione malware, si sia creato un nuovo dominio appositamente per distribuire BlackHole.

Una semplice analisi dei dati di registrazione relativi al sito Altervista, rivela invece che lo stesso e' presente on-line da fine 2010 e quindi ci troviamo di fronte, anche questa volta, a sito compromesso .

In ogni caso questo il contenuto della pagina dal noto layout BlackHole

con la tipica scritta che invita ad attendere ed i 3 link ad altrettanti siti compromessi che hostano il successivo redirect alla pagina con gli exploits

Ecco infatti che il secondo dei links presenti ( il primo link parrebbe non essere attivo) punta a

con redirect finale alla pagina BlackHole.

Una semplice analisi della url rivela

mentre piu' interessante e' dare una occhiata ad alcuni report Virus Total relativi a quanto 'scaricato' dal malware sul pc colpito .


Abbiamo questo fake PDF

con risposta AV bassa


come per questi altri eseguibili

ed anche

con riconoscimento quasi nullo.

Interessante anche una analisi Virus Total della pagina exploits passata ed analizzata come URL

che dimostra come sia veramente basso il riconoscimento dei codici malware, sempre tenendo conto di tutti i limiti di una scansione on-line on-demand.

Una delle possibili spiegazioni e' che trattandosi di codici linkati da siti attualmente compromessi e' evidente come il malware sia probabilmente aggiornato quasi in tempo reale, cosa che permette di creare le condizioni, per un difficile riconoscimento dei contenuti pericolosi.

In ogni caso sia il numero che la continua comparsa di nuovi siti compromessi con pagina dal noto layout

e codice altrettanto conosciuto, dimostra che siamo di fronte ad una delle distribuzioni malware piu' attive degli ultimi mesi.

Edgar

venerdì 20 aprile 2012

IP offuscato come indirizzo di phishing (20 Aprile)

Poche righe per descrivere una curiosa URL di phishing che mostra un indirizzo web abbastanza inusuale.
Si tratta di phishing ai danni di azienda IT che mostra nel form allegato in mail questo particolare riferimento a codice PHP hostato su:

In effetti, almeno a prima vista, l'URL a cui punta il form, risulta alquanto incomprensibile

ma comunque perfettamente funzionante se digitata nel browser

In realta' si tratta di un semplice sistema per offuscare debolmente un indirizzo IP attraverso la sua codifica in esadecimale generando un numero che possiamo definire anche come DWORD e che rappresenta il consueto indirizzo IP piu conosciuto nel noto formato aaa.bbb.ccc.ddd.
Basta quindi utilizzare, ad esempio, questo sito che presenta online una pagina di conversione di indirizzi IP nei vari formati per ottenere

In particolare, nel caso attuale di phishing, si tratta di un indirizzo IP

che punta a sito compromesso relativo a software di gestione di IP-PBX Samsung, ossia di un centralino telefonico gestito da software ed hardware della nota multinazionale koreana.

Per il resto e' un consueto phishing, che punta a codice php che provvedera' ad inviare ai phishers i dati personali eventualmente digitati nel form da chi fosse caduto nel 'tranello' della falsa mail.

Edgar

Sito IT compromesso, malware, phishing ed altro... SECONDA PARTE (20 Aprile)

Riprendiamo l'analisi del sito compromesso IT del quale, nella prima parte del post, abbiamo visto alcuni dettagli sulla probabile vulnerabilita' presente (Timthumb Vulnerability).

A questo link trovate alcuni ulteriori dettagli sulla Timthumb Vulnerability' notando come gia' da fine 2011 fosse nota e molto diffusa.

Questa invece la segnalazione da cui eravamo partiti per acquisire l'URL del sito da analizzare e che, come visto, permetteva di trovare sullo stesso un clone di phishing.

Vediamo adesso di analizzare il malware linkato passando al browser l'URL in questione ottenendo

Viene proposto il download di un file dallo stesso nome del codice php ma con estensione .SCR
Ricordo che l'estensione .SCR e' stata associata da Microsoft a contenuti di Screen Saver ma poiche' il file .SCR e' a tutti gli effetti un eseguibile questo tipo di file e stato usato, specialmente in passato, come mezzo di diffusione di malware

Analizzando con Virus Total il file scaricato otteniamo

ed in dettaglio

in linea con quanto indicato dal sito di analisi di diffusione del malware da cui avevamo acquisito l'URL malevola.

A questo punto osserviamo comunque che nel folder dove e' presente il codice boleto.php

non esiste traccia di un omonimo file con estensione .SCR, che e' poi il file malware scaricato attualmente.

Provvediamo quindi ad analizzare il codice boleto.php ottenendo

cosa che chiarisce subito la NON presenza del file .scr sul sito.

Come si nota infatti dal semplice codice php abbiamo la funzione readfile () che serve ad inviare un file come output (download da browser) sfruttando gli opportuni codici di headers attraverso i quali viene creato il nome del file da scaricare e cioe' boleto.scr

Resta ora da individuare il reale file dai contenuti malware che come si capisce dal nostro codice php si chiamera' icon_funny.gif.

Una semplice ricerca trova il folder /images/smilies

dove, anche senza conoscere il nome del fake gif, ne possiamo individuare uno con dimensioni inusuali rispetto ai pochi bytes delle reali immagini .GIF presenti, mentre anche il time-stamp del file e' attuale e non datato come tutti gli altri .GIF.

Si tratta in realta' del nostro malware camuffato da .GIF che verra' poi per cosi dire 'ridenominato' in .SCR al momento dell'esecuzione del codice php e del download

E'' evidente che utilizzare una fake immagine gif al posto di un nome di file eseguibile in chiaro (.exe .scr ecc..) permette di occultare sicuramente meglio i contenuti pericolosi sul sito compromesso che li deve ospitare
Abbiamo infatti del codice malevolo mascherato da immagine gif ed incluso in folder appunto contenente reali immagini gif cosa che rendera' sicuramente difficoltosa una sua identificazione a meno di non utilizzare un software antimalware di scansione dei contenuti.
Allo stesso modo potrebbe risultare anche piu' facile uploadare sul sito compromesso un codice malevolo in forma di immagine GIF che non di eseguibile.

Edgar

giovedì 19 aprile 2012

Sito IT compromesso, malware, phishing ed altro... PRIMA PARTE (19 Aprile)

Il poco tempo da dedicare al blog mi costringe a suddividere in due parti questo post, considerata anche la grande quantita' di dati acquisiti durante l'analisi del sito IT compromesso.
Si tratta di un caso che mostra ben evidente come a volte ci sia una stretta relazione tra azioni di hacking, distribuzione malware, phishing ecc..........

Ecco l'url segnalata da sito che si occupa di catalogare links a siti con incluso codice malware di vario genere, falsi AV, links a malware ecc...

Come si nota la segnalazione indica una URL di sito IT hostato su

che analizzato ci mostrera' ospitare il file malware indicato ma anche hostare un clone di phishing ai danni di banca non italiana, una notevole serie di shells php, mailers, pagina di hacking ecc.....

Le cose piu' evidenti esaminando l'URL segnalata sono sia la presenza di un codice php denominato boleto.php (chiaramente il nome non fa riferimento al noto gruppo di funghi …. commestibili e non, ma piuttosto si riferisce al termine in lingua spagnola che tradotto in italiano significa ticket, biglietto..ecc....) che il fatto che siamo in presenza di sito sviluppato in WordPress.

Questo fa pensare che potrebbe essere stata utilizzata, come gia' visto in casi di hacking, una delle note vulnerabilita' WP tuttora attive su siti che usano versioni non aggiornate della nota piattaforma di CMS e "personal publishing".
Una analisi dei contenuti del sito mostra infatti il probabile uso di una ben nota vulnerabilita' WP denominata Timthumb Vulnerability che permette l'upload di contenuti malevoli da remoto ed in maniera abbastanza semplice.

Verificando alcuni dettagli in rete su detta vulnerabilita' si scopre che la stessa utilizza di solito, come destinazione dei files uploadati un nome di folder ed una path ben definita e che troviamo anche presente sull'attuale sito IT compromesso:

Si tratta di folder con contenuti costituiti nella maggior parte da files con nome particolare formato da sequenza di caratteri alfanumerici, ma anche di shells php in grande numero, codici di mailers ecc....

Le date dei file vanno da un recente 13 aprile

dove troviamo il primo codice di hacking sino a date attuali.

Esaminando il folder parrebbe che in data 13 aprile sia stata uploadata questa pagina di hacking

che mostra tra l'altro codice debolmente offuscato

Di seguito pare che la vulnerabilita' TimThumb sia stata utilizzata parecchie volte per uploadare diversi codici php tra cui shells (numerosi files) ma anche mailers ecc.....

Chiaramente a parte la prima azione di hacking, chi ha utilizzato ed utilizza ancora la vulnerabilita' , non si limita a proporre semplici codici html con qualche scritta di hacking, ma probabilmente la ha utilizzata per gestire questo clone di phishing

appartenente a Banca delle Barbados.
Si tratta della CIBC FirstCaribbean International Bank tra l'altro azienda mai vista dal sottoscritto in casi di phishing analizzati in passato.
Naturalmente il clone viene accompagnato dal consueto codice PHP che si occupa dell'invio al phisher delle credenziali eventualmente sottratte.

Come si vede dai timestamp dei files presenti nel folder che ospita il clone le date sono molto recenti e confermano il sito di phishing come attualmente attivo.

Ovviamente dato che eravamo partiti da una segnalazione di file malware vedremo nella prossima parte del post cosa ci riservera' l'analisi del file boleto.php ed in particolare il sistema utilizzato per generare un file eseguibile di tipo .SCR partendo da un codice malevolo camuffato da immagine 'smile' in fake formato gif.

(continua)

Edgar