sabato 31 luglio 2010

Ancora molti casi di “SEO Poisoning” attraverso l'uso di siti compromessi IT

AVVISO ! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! Si tratta di links ad eseguibile poco riconosciuto dai softwares AV.

L'inclusione di pagine nascoste con migliaia di riferimenti a fatti recenti di cronaca o termini molto usati in rete per avvelenare i risultati di una ricerca in rete (SEO poisoning) e' una delle maggiori ed attuali tipologie di attacchi a siti web legittimi.
In questo post vedremo un ulteriore caso, aggiornato ad oggi, di sito italiano compromesso con l'inclusione di probabile Kit di SEO che, anche se nascosto, rivela alcuni particolari analizzando i folders del sito visualizzabili da browser.

Questa la homepage di un sito sviluppato in Joomla che riguarda una societa' sportiva di pallacanestro del nord Italia

Una visita al sito da browser non rivela niente di particolare, si possono infatti visualizzare le pagine che lo costituiscono, tra cui alcune che dalle date presenti risultano aggiornate di recente

Una ricerca in rete rivela invece, come deve essere nel caso di SEO poisoning, decine di links creati dal crawler del motore di ricerca

che puntano a pagine incluse nel sito e che se cliccati caricano in sequenza una pagina di fake AV,

con VT


e successivamente, per altre interrogazioni dello stesso link alcune pagine di fakes motori di ricerca con links a siti di dubbia affidabilita'


Per documentare meglio questa analisi faro' riferimento ad un mio precedente post che riguarda il SEO poisoning.

Gestione di attacchi SEO
Una volta che il sito ospitante e' stato identificato e compromesso con successo, viene caricato ed installato sul sito vittima legittimo il kit SEO
Al centro dell'attacco c'e' la capacita' di alimentare i motori di ricerca con contenuti da indicizzare per reindirizzare gli utenti a siti dannosi.
A tale fine il kit deve distinguere tra le diverse origini per la richiesta della pagina:

• crawler dei motori di ricerca
• utenti che arrivano tramite i motori di ricerca
• gli utenti che visitano la pagina

Il kit utilizza in genere uno script PHP centrale per gestire tutte le richieste di pagine. Cio' rende piu' semplice fare le distinzioni sopra all'arrivo di richieste di pagina. Per identificare il crawler, si possono esaminare sia l'IP di chi richiede la pagina comparandolo con una opportuna lista di IP conosciuti per quel motore di ricerca ma anche ad esempio utilizzare la stringa di UserAgent ecc...
Quando lo script PHP determina che la richiesta della pagina e' da un crawler, restituira' gli opportuni contenuti Questi possono essere generati dinamicamente …..................................
.
Ecco infatti che se visitiamo il sito visto ora con USER AGENT quello relativo a GoogleBot abbiamo

dove il layout originale del sito di pallacanestro lascia il posto ad una pagina ricca di contenuti testuali, riferiti a notizie di cronaca anche recenti, e con links ad altre pagine simili sempre sul medesimo sito.

Come si vede dall'url siamo in presenza di pagina generata tramite codice php che accetta una stringa di caratteri costituita dalle parole che dovranno apparire nel testo .

A riprova possiamo forzare la creazione di una pagina di test passando al codice php una stringa es. “xxxxxxxxxxxxxxxxxx.....” che generera' sia il titolo della pagina che l'inclusione nella stessa della stringa relativa.

La possibilita' di visualizzare parzialmente i contenuti del probabile KIT di Seo ci permette anche di evidenziare i seguenti files


Oltre al codice php che e' quello che genera la pagina da passare al motore di ricerca notiamo alcuni files txt che dal nome parrebbero fare riferimento ad una possibile cache dei contenuti generati.

Interessante il file cache2.txt

che presenta una lista, costantemente aggiornata in realtime, di tutte le pagine create dal KIT di SEO.

Edgar

venerdì 30 luglio 2010

Sempre attivi ! Links a malware su sito di radio locale .IT a supporto di SEO Poisoning

AVVISO ! Ricordo che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!! Si tratta di links ad eseguibile poco riconosciuto dai softwares AV.

In questo post e con aggiornamenti su questo descrivevo l'uso di links nascosti inclusi su sito di radio locale che puntavano a fake AV.

A distanza di qualche mese i links sono sempre presenti ed inoltre, come si vede confrontando i diversi post al riguardo, sono cambiati puntando a differenti siti, come succede spesso in questi casi.

Come in precedenza si tratta di attacchi portati al fine di generare links a malware, fake Av ecc. … attraverso tecniche di SEO Poisoning che generano, nei risultati del motore di ricerca, links pericolosi.

Questa una delle pagine colpite, presa come esempio

il cui codice, se interroghiamo il sito con l'user agent Google-bot, presenta

Si tratta di centinaia di links che ora puntano a probabile fake Av praticamente sconosciuto ai software AV in VT.

Ecco i dettagli:

Se interroghiamo uno dei links presenti (ricordo evidenziabili nel source delle pagine solo se usiamo un user agent come ad esempio Google-bot) abbiamo questa serie di redirect

passando per siti hostati su IP di paesi 'esotici' come

per giungere a questo sito hostato su

che presenta

Il file di cui e' proposto il download e' quest'eseguibile praticamente sconosciuto ai softwares Av presenti in Virus Total

Il codice hash del file scaricato cambia inoltre ad ogni successivo download per aumentare le possibilita' di eludere il riconoscimento


ed il sito che lo distribuisce parrebbe eseguire anche check sull''IP di provenienza del visitatore

Da notare che se si usa l'user agent Google-bot per seguire uno dei links presenti sul sito della radio, il redirect si ferma ad una pagina , la prima della catena di redirect, che presenta sia parole chiave da sottoporre al crawler del motore di ricerca che links a pagine simili

hostata su sito finlandese compromesso


Questo garantisce che il bot del motore di ricerca acquisira' keywords e links che proporra' nelle ricerche mentre chi seguira' i risultati della ricerca in rete passera' direttamente dalla pagina dei links su sito finlandese per proseguire con la serie di redirect sino alla pagina che propone il falso player ed il download del file eseguibile pericoloso.

L'uso di redirect (anche piu' di uno) garantisce sia una minore possibilita' che i links vengano rilevati e messi in blacklist dal motore di ricerca ma anche una maggiore 'longevita'' dell'uso delle pagine compromesse in quanto basta modificare i vari links nelle pagine di redirect, per puntare sempre a nuovi siti malware.

Per quanto si riferisce al sito della radio locale, pur essendo stata inviata e-mail di avviso sul problema riscontrato, non e' successo niente, ma questo e' abbastanza normale in rete.(indirizzi mail presenti su homepage, pagine dei contatti, ecc.. ma che corrispondono ad indirizzi di mailbox non utilizzate o messi sulla pagina a solo scopo 'decorativo')

Edgar

giovedì 29 luglio 2010

Ancora phishing CARIFE (agg. 29 luglio)

Nuova mail di phishing ai danni di CARIFE (Cassa di Risparmio di Ferrara)

che presenta sempre come redirect il sito turco compromesso gia' visto nei giorni scorsi.

Da rilevare che invece il contenuto del file di redirect punta ora a nuovo sito ospitato sempre su medesimo dominio, sempre server USA ma differente percorso.

In ogni caso, anche se viene cambiato il percorso finale del sito i domini interessati sono ormai noti visto che e' trascorso parecchio tempo dalle prime segnalazioni cosa che permette , fortunatamente, una azione di contrasto al phishing attraverso delle verifiche automatiche, gia' a partire dal sito di redirect, da parte dei piu' noti ed utilizzati browser Internet.

Ecco ad esempio con Firefox cosa succede cliccando sul link in mail che punta al sito turco compromesso che ospita il redirect al phishing

Inoltre, in aggiunta a questa segnalazione, per chi usa OpenDNS, anche se non avessimo abilitato il filtro antiphishing in Firefox, avremmo come secondo intervento proprio quello di Open Dns che bloccherebbe l'accesso al sito di redirect.

Il fatto che OpenDNS intervenga per bloccare il phishing non sorprende poiche' ricordo che il noto sito di allerta phishing Phishtank fa parte proprio di OpenDNS e che quindi il servizio di risoluzione di nomi in indirizzi Internet (DNS) ha disponibile sempre dati aggiornati su indirizzi di siti phishing e di redirect a phishing.

Edgar

Javascripts offuscati malevoli su siti Aruba. Vecchi e nuovi siti (agg.29 luglio)

I reports presentano questa volta in chiaro le urls dei siti coinvolti per permettere a chi li amministra e visitasse il blog di esserne informato e provvedere alla loro bonifica.

Ricordo che si tratta di script probabilmente attivi e quindi pericolosi e che vanno analizzati solo prendendo tutte le precauzioni del caso.(sandboxie, pc virtuale, noscript ecc....)

Ieri sera (28/7) Maverick
(del blog maipiugromozon) mi segnalava questo IP 62.149.130.146 dove aveva rilevato un sito compromesso chiedendomi di fare alcune scansioni per verificare la presenza di altri siti con codice javascript offuscato incluso

Questi i risultati di alcune parziali scansioni relative a diversi IP sempre per il medesimo hoster:

Evidenzio il fatto che sono scansioni 'parziali' dato che il numero totale di siti trovati con reverse IP potrebbe essere minore di quelli realmente presenti su specifico IP e quindi alcuni siti compromessi potrebbero non apparire sul report generato da Webscanner

Su IP 62.149.140.94 abbiamo

che risultano compromessi con inclusione di javascript offuscato, simile come contenuti a quelli gia' rilevati nei mesi scorsi

Su IP 62.149.140.93 troviamo invece questi siti con evidenza di codice java incluso offuscato

A questo punto pero', visti i precedenti attacchi ad inizio 2010 (ma rilevati gia' dall'anno scorso) subiti da siti hostati sempre su Aruba, proviamo una ulteriore analisi prendendo come base una lista di quelli compromessi con inclusione javascript e datata 28 gennaio 2010 (ed aggiornamento il 5 aprile 2010)

I risultati della scansione mostrano che un buon numero di siti e' ancora (o piu' probabilmente nuovamente ?) compromesso.


Ad esempio analizzando i codici javascript presenti in questo specifico report, solo quello di beachsolaire(dot)it e' leggermente diverso

ed una sua una datazione, utilizzando gli header della pagina, ci restituisce il 19 marzo come ultima modifica del sito e forse della probabile inclusione. (l'header potrebbe indicare che comunque la pagina non e' piu' stata aggiornata dopo quella data)

Per tutti gli altri vecchi siti, presenti in report, che risultano compromessi con codice java simile a quello trovato attualmente,

gli header di pagina mostrano una data recente

Tra l'altro una analisi VT dello script su beachsolaire(dot)it restituisce

mentre lo script java offuscato presente sulle altre pagine analizzate mostra

con differenze sulla rilevazione del malware.

Questa invece la provenienza degli IP dei 'vecchi siti compromessi' che continuano ad esserlo a tutt'oggi e che sono distribuiti in maniera abbastanza estesa su diversi indirizzi.

Se ripetiamo l'analisi degli script sui siti acquisiti nelle scansione dei 'nuovi IP' rilevati da Maverick ad esempio su IP 62.149.140.93, abbiamo anche in questo caso alcune differenze sui codici java scripts offuscati e, guarda caso, anche sulle date presenti negli header di pagina, che confermerebbero date diverse, e recenti, per l'inclusione dello script.

Rilevante e' come questo script

sia visto da VT

a differenza di questo (prendendo per buona la data dell'header riferibile a ieri)

che VT rileva molto poco.

Faccio comunque presente che si tratta solo di una analisi del codice della pagina in formato testo ed inviato a VT, con tutti i limiti di una scansione del genere.

Tutto questo fa comunque pensare che oltre a nuovi siti attaccati ci sia anche una parte di vecchie pagine che erano presenti nei report di attacchi ad inizio anno, che attualmente sono, almeno in parte, nuovamente prese di mira da chi vuole distribuire links a malware.

Da evidenziare anche le diverse risposte AV ad una analisi VT dei sorgenti delle pagine dei siti compromessi.

Edgar

mercoledì 28 luglio 2010

Siti .IT compromessi (agg. 28 luglio)

Continua la presenza in rete di siti compromessi con inclusione di semplice file di testo al loro interno in folders, sul sito attaccato, sempre con il medesimo percorso
Si tratta di siti sviluppati in DotNetNuke che presentano pagine come quella che vediamo in questo attuale screenshot

dove notiamo il file txt incluso.

Come gia' visto in passato il sistema per includere il file e' quello di utilizzare una vulnerabilita' presente da tempo su versioni non recenti della piattaforma di sviluppo.

In questa schermata,sempre riferita allo stesso sito IT compromesso visto prima si puo' notare come il file TXT incluso appaia nel menu dell'interfaccia di amministrazione dei contenuti DNN in buona compagnia di un file ASP con doppia estensione che, come vedremo alla fine del post, e' una delle conseguenze 'pericolose' di questo genere di attacchi.


Per capire come mai quasi quotidianamente troviamo online siti IT sviluppati in DNN che presentano inclusi files testo di hacking (e molto spesso allegata shell comandi in codice asp con doppia estensione di file immagine), facciamo qualche ricerca piu' approfondita.

Ecco come si presenta un reverse IP di un range esteso per una ventina di indirizzi, appartenenti a noto hoster italiano che ospita siti sviluppati in DNN proprio su una serie di IP contigui.

Abbiamo circa 8.000 ( ottomila ) URL rilevate che , anche se non tutte fossero appartenenti a siti DNN, rappresentano comunque un numero notevole di siti da analizzare.

Passiamo ora tramite il tool Webscanner a 'tentare' il download di un eventuale codice presente all'indirizzo corrispondente a quello dell'interfaccia sensibile all'exploit.

Se il codice della pagina e' raggiungibile, il software CURL utilizzato da Webscanner provvedera' a scaricare il sorgente e creare la relativa lista delle url potenzialmente sensibili all'attacco.

Ecco il risultato per il primo (ed unico almeno al momento) IP analizzato e facente (piccola) parte del range degli 8.000 siti presenti nel range del reverse IP eseguito in precedenza.

Come possiamo notare, una volta opportunamente filtrati i risultati, otteniamo 68 siti che presentano l'interfaccia di amministrazione remota dei contenuti che e' attivabile da browser.

Essendo disponibile l'interfaccia e' molto probabile che se non tutti, una buona parte di questi 68 siti, siano vulnerabili un upload di files da remoto.

Il problema piu' serio non sta tanto nel fatto che si includa un file testo ma che , con l'uso della doppia estensione, si possano uploadare codici malevoli di vario genere, shell comandi compresa, come vediamo in questo screenshot di sito DNN compromesso ormai da qualche mese.

Edgar

martedì 27 luglio 2010

Ancora phishing CARIFE (agg. 27 luglio)

Sembra che al momento, almeno sulle mie mailbox di riferimento per il phishing, CARIFE e Mediolanum siano attualmente le banche piu' colpite.
Ecco la nuova mai ricevuta

che questa volta passa per un messaggio di avviso proprio su quello che e' invece il suo scopo finale, e cioe' far cadere chi la riceve nella trappola di un falso sito CARIFE.

Piu' interessante il lato tecnico di questo phishing che, differentemente dagli ultimi visti ai danni di CARIFE usa un diverso sito di redirect hostato su

Si tratta di sito compromesso, che a riprova dell'attacco subito mostra come contenuti nel subfolder che a sua volta ospita il sito di phishing , questa pagina

che non lascia dubbi sull'attacco subito.

Da notare che, anche se con sito di redirect diverso dall'ormai noto sito canadese. Abbiamo sempre il medesimo file di redirect (fol.html) che punta sempre a serve USA come nei precedenti casi di phishing CARIFE

Inoltre i contenuti del file di redirect vengono modificati molto spesso, visto che a distanza di un decina di ore si e' passati da


a

pur rimanendo sempre lo stesso nome di file fol.html

Il sito clone di CARIFE mostra inoltre medesimi contenuti dei precedenti ed anche la prova dello stesso codice html scaricato dal sito originale della banca attraverso HTTRACK

I logs sul sito che ospita il phishing confermano la provenienza in buona parte italiana dei visitatori del sito di phishing come si vede da un parziale report filtrato per IP italiani

Edgar