AVVISO ! Anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso ! Si tratta di links ad exploit attivi e poco riconosciuto dai softwares AV
Imperva Data Security Blog ha pubblicato in passato alcune analisi sul Black-Hole Exploit ed info sui relativi toolkits presenti in rete.
Il toolkit e' un insieme di file PHP e HTML e comprende svariati codici di exploit (Java, PDF, browser, Adobe Flash Player ... etc) orientati ad uno specifico sistema operativo ed alle relative applicazioni vulnerabili dal lato client.
Questi toolkits sono di solito fortemente offuscati per evitare il rilevamento antivirus ed inoltre , come vedremo in un caso pratico di sito IT compromesso, ci sono sempre attivi dai 3 ai 4 link presenti nel codice malevolo incluso su siti compromessi, cosa che garantisce una certa affidabilita' nel puntare a pagina con exploits attivi.
Ecco una ricerca odierna orientata a domini .IT che ne rileva alcuni compromessi con inclusione del link al malware.
Prima di passare a qualche ulteriore dettaglio, vediamo uno screenshot (tratto sempre da Imperva Data Security Blog) che illustra in maniera chiara come si sviluppa un attacco del tipo Black-Hole
In pratica, partendo da un link alla pagina inclusa ricevuto via mail, nel nostro caso link su sito IT compromesso, si viene rediretti dagli script presenti (di solito piu' di uno), al sito contente ulteriore redirect a pagina BlackHole con exploits.Nel caso di una vulnerabilita' presente ad uno o piu' exploit, la stessa verra' utilizzata per attivare ulteriore download di malware sul pc colpito, con tutte le conseguenze del caso.
Vediamo adesso passo dopo passo come si sviluppa l'attacco malware.
Questo il sito IT
che attualmente ospita la pagina inclusa, che, come vediamo, presenta il tipico layout con la scritta “WAIT Please Loading..” vista in attacchi Black-Hole
Il source ci mostra, in questo caso, tre script (ma potrebbero anche essere di piu')
con quello evidenziato in giallo attualmente attivo.Notate come lo script punti ad ulteriore sito compromesso di cui vediamo la homepage
e con whois Canada
Sino a questo punto abbiamo quindi visto l'uso di due siti compromessi.Il primo su dominio IT per linkare (tramite uno dei tre script) al sito canadese che ospita questo ulteriore codice
Si tratta dello script che punta al dominio
che ospita gli exploits attivi.Verificandone la data di registrazione vediamo che e' quella di ieri, segno del continuo supporto al malware attraverso la creazione di sempre nuovi domini
I contenuti della pagina linkata sono in linea con i contenuti Black-Hhole Exploit mentre questo screenshot ci mostra come la stessa sia visualizzata quando l'addon NO-Script Firefox blocca i vari contenuti malevoli presenti.
Per curiosita' vediamo come una analisi VT del codice sorgente di detta pagina mostri solo
Edgar
Nessun commento:
Posta un commento