mercoledì 23 gennaio 2013

Generazione pseudo-random di URLS allo scopo redirigere a malware (23 gennaio)

Non e' una novita', ma si continuano comunque a trovare on-line siti compromessi, anche IT, con varie tipologie di codici inclusi che linkano a malware tra cui questo interessante script ancora probabilmente legato alla distribuzione malware nota come BlackHole.

Ecco il codice offuscato


attualmente presente sito IT


Una volta de-offuscato


il codice mostra una serie di funzioni che, nonostante appaia in evidenza il nome 'random' , servono a generare una URL non casuale ma diversa a seconda dell'orario  e del giorno rilevati sul PC.
In particolare si tratta di nomi di urls che variando nel tempo offrono a chi vuole linkare al malware l'opportunita' di nascondere meglio la destinazione finale a cui redirigere chi eseguisse lo script accedendo alla pagina colpita ed evitare eventuale blacklist.

Ecco ad esempio l'output modificando leggermente lo script in modo da visualizzare l'URL pseudo-random generata.


Ricercando in rete si trovano anche delle liste di urls create con evidentemente il medesimo codice e che vedono l'esatta coincidenza della stringa generata rispetto alla data ed ora in cui e' stato testato lo script.


Attualmente il link comunque non punta a sito online anche perche' probabilmente non si tratta di un attacco attualmente attivo ma abbastanza datato.

A questo link potete trovare un esauriente post pubblicato nel luglio 2012 da Sophos e dal titolo “Pseudorandom domain name generation and the Blackhole exploit kit” che illustra nei dettagli la tecnica utilizzata, vista nell'odierno codice incluso su sito IT.

Edgar

Nessun commento: