Il trend degli ultimi mesi: compromettere i siti web iniettando codice malevolo.

Posted on luglio 29, 2007. Filed under: News |

Abbiamo parlato tempo addietro di Mpack e di come migliaia di siti web italiani siano rimasti vittima di un attacco sferrato secondo modalità ancora sconosciute. Ciò che è interessante è che, come già visto su queste pagine, l’attacco ad Aruba non è stato il primo ma almeno altri due hosting provider sono caduti vittima di attacker, i quali hanno iniettato codice malevolo all’interno dei siti ivi ospitati.
Il trend degli ultimi mesi sembra sia questo: compromettere i siti web iniettando codice malevolo. Cosa, dunque, riguardo una delle regole più vecchie riguardo la sicurezza online: “non navigare in siti sconosciuti, solo se navighi su pagine conosciute e sicure sei salvo“? Ok, diciamo che questa regola al momento può essere oggetto di alcune critiche.

Siti web ben noti e affidabili sono stati compromessi, un esempio è il sito web ufficiale di una famosa cantante italiana o, fatto di questi giorni, un famoso sito che approfondisce l’argomento rootkit.

Il punto comune è sempre il solito: il codice malevolo redirige a siti web contenenti una serie di script utilizzati per tentare exploit al fine di trasmettere malware all’interno dei sistemi vittima.

Oltre a compromettere direttamente i siti web, si era diffusa un’altra moda: la creazione di pagine web fittizie ben indicizzate dai motori di ricerca in modo tale che potessero apparire praticamente in ogni ricerca fatta dagli utenti. Poi, dalle pagine web fittizie, si arriva – come detto sopra – a siti web contenenti exploit.

Moda quest’ultima ben conosciuta dagli utenti italiani e, in generale, dall’intera utenza mondiale. È stato il vettore principale di infezione del rootkit Gromozon, è stato il vettore principale di infezione del rootkit DialCall.

Riconoscere quest’ultima infezione era ed è relativamente facile perché fa spesso riferimento allo stesso range di IP. Un’infezione particolarmente dannosa perché spesso installava nei pc attaccati il rootkit Rustock, la cui routine di spam ha preso parte attiva al sovraccarico dell’intera Internet italiana.

Ora abbiamo visto che le vecchie abitudini si sono unite alle nuove, cioè siti web compromessi che reindirizzano ad un’infezione Rootkit.DialCall.

Il sito web della famosissima cantante italiana Carmen Consoli è stato infatti compromesso ed è stato inserito nella home page un iframe che punta ad un sito web esterno.

Dopo che il sistema, non correttamente aggiornato in termini di sistema operativo e software, è stato attaccato con successo, un eseguibile con nome casuale viene installato nel sistema. Una volta eseguito, il malware si copia all’interno della directory di Windows come svchost.exe (attenzione, il malware si trova all’interno di ?:\WINDOWS\ e non all’interno di ?:\WINDOWS\SYSTEM32; quest’ultima, infatti, contiene la copia legale del file svchost.exe di Microsoft). Un’altra dll viene installata nella directory di Windows, denominata svchost.dll, con funzioni di rootkit user mode. Il codice della dll viene iniettato nei processi attivi in modo tale che il processo svchost.exe e alcune chiavi di registro siano nascoste.

Gli hook vengono effettuati attraverso la tecnica dell’inline hooking, modificando i primi bytes della funzione all’interno di ntdll.dll e inserendo l’istruzione push insieme all’indirizzo che punta al codice del rootkit. Le funzioni intercettate sono ZwQuerySystemInformation, ZwEnumerateKey, ZwEnumerateValueKey.

Svchost.exe, immediatamente dopo, tenta di scaricare dallo stesso indirizzo IP usato dall’iframe un altro file. Il file, con estensione .txt, è in realtà un file criptato che contiene informazioni utili al malware per scaricare altre componenti dell’infezione. Una volta decodificato, il malware ottiene dal file gli indirizzi corretti.

Pa_0111.exe è un dialer studiato appositamente per il traffico italiano, prova infatti ad effettuare chiamate verso numeri a pagamento con prefisso 899. La società assegnataria del numero di telefono è Teleunit S.p.A. Se il dialer trova un modem 56k crea una connessione denominata Service e una messagebox potrebbe comparire se la connessione non viene effettuata correttamente. Altrimenti, il dialer apre una pagina web a sfondo sessuale dove le persone sono invitate a chiamare un numero 899 per ottenere le credenziali di accesso.

Spoolsv32.exe mesi fa era utilizzato per installare il rootkit Rustock nel sistema ma, saltuariamente, installava un adware come BHO (Browser Helper Object). È quest’ultimo il caso attuale, un adware viene installato come BHO all’interno della chiave di registro:

HKEY_CURRENT_USER\clsid\{58fb2cbb-c874-45fc-a1c9-b62cc9e3bed9}

Al momento tutte le componenti di questa infezione sono individuate e rimosse da Prevx 2.0. Tuttavia questa tipologia di attacco è ben conosciuta da mesi, soprattutto in Italia, ed è particolarmente variabile. I laboratori di ricerca Prevx hanno registrato diverse varianti di questa infezione, varianti che utilizzano spesso nomi differenti e leggere modifiche del codice.

Abbiamo contattato lo staff del sito web attaccato e, al momento della stesura di questo articolo, l’iframe era ancora presente. Essendo una cantante famosa, considerando quanta gente navighi ancora in Internet senza le adeguate protezioni e senza software aggiornati ma, soprattutto, quanta gente non abbia ancora una connessione a banda larga, i danni di questa infezione possono essere, parlando in termini di denaro, particolarmente evidenti.

In generale, tuttavia, è interessante vedere come l’Italia sia sempre più considerata come una palestra di allenamento per attacker informatici. Diversi hosting provider sono stati attaccati, migliaia di siti web sono stati modificati – inclusi siti web di due famosi cantanti italiani. Sembrerebbe che qualcosa dal punto di vista della sicurezza debba essere rivisto da chi offre un servizio, siano essi hosting provider o semplici webmaster che si dilettano nel mettere online propri server.

Nel caso di un attacco quale quello sopra descritto, non si tratta più di un problema esclusivo dell’hoster o del webmaster che si è visto compromettere il proprio lavoro, diventa un problema reale per ogni utente del web, il quale è sicuro di navigare in un posto sicuro ma rischia di vedere il proprio pc infettato da qualche malware.

Siete sicuri che il vostro sito web non sia infetto?

Fonte.

Make a Comment

Lascia un commento

Effettua il login con uno di questi metodi per inviare il tuo commento:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Liked it here?
Why not try sites on the blogroll...

%d blogger cliccano Mi Piace per questo: