venerdì 3 maggio 2013

'Massive action of Pharmacy Hack' ai danni di un grande numero di siti (102) su unico server di P.A. Italiana.(03 maggio)

Con Pharmacy Hacking si intende quel genere di hacking che colpisce siti legittimi attraverso una azione che vede l'uso di codici inclusi che generano nelle pagine web riferimenti di testo e links anche automatici (redirects), a siti di vendita online di medicinali soprattutto viagra e derivati.
Da notare come esistano poi varianti del Pharmacy Hacking che si differenziano per l'inclusione di collegamenti relativi es. a vendita di software probabilmente contraffatto ma anche termini e links a siti porno.
Chiaramente, alla base di tutto questo, c'e' l'utilizzo di siti legittimi che risultano vulnerabili a possibili azioni di compromissione.
In alcuni casi poi e' possibile che una volta compromesso un sito si possa estendere l'azione ad altri hostati sul medesimo server.
La conseguenza di questo era, specialmente in passato, che analizzando i risultati di un reverse IP di un unico indirizzo di rete associato ad un server, si trovavano decine, a volte centinaia, di siti compromessi e specialmente allo scopo di distribuire malware.
Proprio il caso odierno ricorda quanto visto in passato per la distribuzione di codici pericolosi poiche' una analisi di reverse IP partendo da sito comunale compromesso con azione di Pharmacy Hacking ha portato a dei risultati notevoli in fatto di genere e numero di siti coinvolti.
Come importante  premessa ricordo che nei casi piu' diffusi ed analizzati di pharmacy hacking, i links e i termini di pharmacy inclusi nei siti compromessi sono solo visibili solo se si usa un browser con attivo un opportuno User Agent che simuli la vista del sito d parte di un motore di ricerca.(altri dettagli su come funziona il Pharmacy Hack li trovate QUI).

Per l'analisi degli eventuali siti compromessi si e' quindi usata una variante del tool Autoit che vede programmata anche la possibilita' di utilizzare uno User Agent come quello relativo a Google Bot (il bot del motore di ricerca)


Questa nuova versione dello script ha quindi permesso di scaricare in automatico tutte le homepages dei siti presenti sullo stesso IP attivando nel contempo la comparsa dei links di Pharmacy nel source, e questo nel caso il sito in questione fosse compromesso da Pharmacy Hacking.

Vediamo alcun dettagli:

Questa la home ed il source del sito comunale compromesso analizzato inizialmente attraverso il browser con attivo l'User Agent Google Bot


La stessa pagina, sempre se attivo l'user agent, mostra anche in chiaro alcuni testi collegati sempre a pharmacy.
Eseguendo un whois otteniamo


e tramite un reverse IP le urls dei siti (probabilmente non tutti) ospitati sul medesimo IP di quello del sito comunale visto ora, lista con di piu' di cento riferimenti ad urls che passiamo allo script Autoit:


Lo script scarichera' quindi i source delle homepages e lo fara' 'facendosi passare' per Google Bot (poiche' l user agent e' attivo)
Solo in questo modo, se il sito e' stato compromesso con azione di Pharmacy Hacking, lo stesso proporra' una pagina ricca di links e termini di pharmacy.

Questi i risultati cercando sui sources scaricati dallo script termini come ad esempio viagra:


Si vede come ci sia un numero sorprendentemente elevato di siti coinvolti che sono praticamente la totalita' di quelli ospitati sul server della provincia. (102 su 110 sources (siti) analizzati)

Il report dei risultati relativi ad homepages, es. quelle dei soli comuni, vede ben 31 homepages coinvolte.


mentre, ad esempio, i siti collegati alla provincia e contenenti links a pharmacy, sono


In altre parole ognuna di queste homepages, ma quasi certamente anche altre pagine interne ai siti coinvolti, se ne analizziamo il source, mostra inclusi links a pharmacy e termini di pharmacy.

Qui vediamo ad esempio la homepage della provincia


della quale, come ulteriore analisi, estraiamo direttamente i LINKS presenti


Come si puo' notare, oltre ai links legittimi derivanti dai contenuti della pagina, ne troviamo numerosi che puntano ad ulteriori siti , a loro volta compromessi, con caratteristiche di pharmacy hacking simili a quelli sul server IT.
Notevole anche il fatto che tra i vari links ne risultino alcuni che puntano a siti di una certa ufficialita',
Vediamo ad esempio un link che punta a pagina del sito dell'Ambasciata di Panama in USA e che propone


Analizzando i contenuti del sito dell'Ambasciata si scopre poi che anche la homepage non e' stata risparmiata, visto che il browser, sempre con user agent Google Bot, evidenzia centinaia di termini di pharmacy sovrapposti al layout  originale.


Tornando all'azione odierna di hacking le ricerche Google evidenziano alcune particolarita':
La prima e' che non solo termini di pharmacy parrebbero creare risultati che puntano ai siti IT comunali e provinciali sul server analizzato:
Qui abbiamo infatti anche termini piu' legati es. a distribuzioni porno.


Altra particolarita' e' uno degli effetti collaterali generati dalla presenza di links a pharmacy e di cui ho scritto QUI e precisamente il fatto che Google avverte della possibile compromissione del sito


Si tratta di un avviso che anche se non 'blocca' la navigazione sul sito potrebbe comunque generare delle conseguenze sull'efficacia dei risultati di una ricerca in rete con possibile decrescita dei visitatori delle pagine colpite e/o del sito in generale.
Per quanto si riferisce all'utilizzo 'pratico' si puo' vedere che, cliccando sui risultati di una ricerca in rete, si viene reindirizzati in maniera automatica prima sul sito compromesso, e poi tramite redirect


su sito finale di pharmacy, con layout gia' visto altre volte.


Edgar

Nessun commento: