Riprendiamo l'analisi del sito compromesso IT del quale, nella prima parte del post, abbiamo visto alcuni dettagli sulla probabile vulnerabilita' presente (Timthumb Vulnerability).
A questo link trovate alcuni ulteriori dettagli sulla Timthumb Vulnerability' notando come gia' da fine 2011 fosse nota e molto diffusa.
Questa invece la segnalazione da cui eravamo partiti per acquisire l'URL del sito da analizzare e che, come visto, permetteva di trovare sullo stesso un clone di phishing.
Vediamo adesso di analizzare il malware linkato passando al browser l'URL in questione ottenendo
Viene proposto il download di un file dallo stesso nome del codice php ma con estensione .SCR
Ricordo che l'estensione .SCR e' stata associata da Microsoft a contenuti di Screen Saver ma poiche' il file .SCR e' a tutti gli effetti un eseguibile questo tipo di file e stato usato, specialmente in passato, come mezzo di diffusione di malware
Analizzando con Virus Total il file scaricato otteniamo
ed in dettaglio
in linea con quanto indicato dal sito di analisi di diffusione del malware da cui avevamo acquisito l'URL malevola.
A questo punto osserviamo comunque che nel folder dove e' presente il codice boleto.php
non esiste traccia di un omonimo file con estensione .SCR, che e' poi il file malware scaricato attualmente.
Provvediamo quindi ad analizzare il codice boleto.php ottenendo
cosa che chiarisce subito la NON presenza del file .scr sul sito.
Come si nota infatti dal semplice codice php abbiamo la funzione readfile () che serve ad inviare un file come output (download da browser) sfruttando gli opportuni codici di headers attraverso i quali viene creato il nome del file da scaricare e cioe' boleto.scr
Resta ora da individuare il reale file dai contenuti malware che come si capisce dal nostro codice php si chiamera' icon_funny.gif.
Una semplice ricerca trova il folder /images/smilies
dove, anche senza conoscere il nome del fake gif, ne possiamo individuare uno con dimensioni inusuali rispetto ai pochi bytes delle reali immagini .GIF presenti, mentre anche il time-stamp del file e' attuale e non datato come tutti gli altri .GIF.
Si tratta in realta' del nostro malware camuffato da .GIF che verra' poi per cosi dire 'ridenominato' in .SCR al momento dell'esecuzione del codice php e del download
E'' evidente che utilizzare una fake immagine gif al posto di un nome di file eseguibile in chiaro (.exe .scr ecc..) permette di occultare sicuramente meglio i contenuti pericolosi sul sito compromesso che li deve ospitare
Abbiamo infatti del codice malevolo mascherato da immagine gif ed incluso in folder appunto contenente reali immagini gif cosa che rendera' sicuramente difficoltosa una sua identificazione a meno di non utilizzare un software antimalware di scansione dei contenuti.
Allo stesso modo potrebbe risultare anche piu' facile uploadare sul sito compromesso un codice malevolo in forma di immagine GIF che non di eseguibile.
Edgar
A questo link trovate alcuni ulteriori dettagli sulla Timthumb Vulnerability' notando come gia' da fine 2011 fosse nota e molto diffusa.
Questa invece la segnalazione da cui eravamo partiti per acquisire l'URL del sito da analizzare e che, come visto, permetteva di trovare sullo stesso un clone di phishing.
Vediamo adesso di analizzare il malware linkato passando al browser l'URL in questione ottenendo
Viene proposto il download di un file dallo stesso nome del codice php ma con estensione .SCR
Ricordo che l'estensione .SCR e' stata associata da Microsoft a contenuti di Screen Saver ma poiche' il file .SCR e' a tutti gli effetti un eseguibile questo tipo di file e stato usato, specialmente in passato, come mezzo di diffusione di malware
Analizzando con Virus Total il file scaricato otteniamo
ed in dettaglio
in linea con quanto indicato dal sito di analisi di diffusione del malware da cui avevamo acquisito l'URL malevola.
A questo punto osserviamo comunque che nel folder dove e' presente il codice boleto.php
non esiste traccia di un omonimo file con estensione .SCR, che e' poi il file malware scaricato attualmente.
Provvediamo quindi ad analizzare il codice boleto.php ottenendo
cosa che chiarisce subito la NON presenza del file .scr sul sito.
Come si nota infatti dal semplice codice php abbiamo la funzione readfile () che serve ad inviare un file come output (download da browser) sfruttando gli opportuni codici di headers attraverso i quali viene creato il nome del file da scaricare e cioe' boleto.scr
Resta ora da individuare il reale file dai contenuti malware che come si capisce dal nostro codice php si chiamera' icon_funny.gif.
Una semplice ricerca trova il folder /images/smilies
dove, anche senza conoscere il nome del fake gif, ne possiamo individuare uno con dimensioni inusuali rispetto ai pochi bytes delle reali immagini .GIF presenti, mentre anche il time-stamp del file e' attuale e non datato come tutti gli altri .GIF.
Si tratta in realta' del nostro malware camuffato da .GIF che verra' poi per cosi dire 'ridenominato' in .SCR al momento dell'esecuzione del codice php e del download
E'' evidente che utilizzare una fake immagine gif al posto di un nome di file eseguibile in chiaro (.exe .scr ecc..) permette di occultare sicuramente meglio i contenuti pericolosi sul sito compromesso che li deve ospitare
Abbiamo infatti del codice malevolo mascherato da immagine gif ed incluso in folder appunto contenente reali immagini gif cosa che rendera' sicuramente difficoltosa una sua identificazione a meno di non utilizzare un software antimalware di scansione dei contenuti.
Allo stesso modo potrebbe risultare anche piu' facile uploadare sul sito compromesso un codice malevolo in forma di immagine GIF che non di eseguibile.
Edgar
Nessun commento:
Posta un commento