c.m.g
30-07-2007, 02:50
Marco Giuliani, malware analyst dell'azienda di sicurezza Prevx, ha pubblicato un ottimo articolo sul suo blog PC Al Sicuro (in italiano) e contestualmente sul blog ufficiale di Prevx (in inglese) in cui riporta le ultime notizie e interessanti dettagli sulla "moda del momento" in campo malware, quella di attaccare i siti web, compromettendoli e iniettando un javascript offuscato o un iframe che possa re-indirizzare i browser verso risorse nocive. Abbiamo già parlato ampiamente in news precedenti dell'attacco massiccio via Mpack che ha colpito migliaia di siti web italiani a fine Giugno, "secondo modalità ancora sconosciute". Come evidenzia Giuliani, è infatti interessante notare che "l'attacco ad Aruba non è stato il primo [né l'unico del genere] ma almeno altri due hosting provider sono caduti vittima di attacker".
Dal blog-post di Giuliani (http://www.pcalsicuro.com/main/2007/07/siete-sicuri-che-il-vostro-sito-web-non-sia-infetto/): "Il trend degli ultimi mesi sembra sia questo: compromettere i siti web iniettando codice malevolo. Cosa, dunque, [pensare di] … una delle regole più vecchie riguardo la sicurezza online: "non navigare in siti sconosciuti, solo se navighi su pagine conosciute e sicure sei salvo"? Ok, diciamo che questa regola al momento può essere oggetto di alcune critiche. Siti web ben noti e affidabili sono stati compromessi, un esempio è il sito web (http://www.tweakness.net/topic.php?id=3920#) ufficiale di una famosa cantante italiana [Carmen Consoli] o, fatto di questi giorni, un famoso sito che approfondisce l'argomento rootkit [www.antirootkit.com].
Il punto comune è sempre il solito: il codice malevolo redirige a siti web contenenti una serie di script utilizzati per tentare exploit al fine di trasmettere malware all'interno dei sistemi vittima. Oltre a compromettere direttamente i siti web, si era diffusa un'altra moda: la creazione di pagine web fittizie ben indicizzate dai motori di ricerca in modo tale che potessero apparire praticamente in ogni ricerca fatta dagli utenti ... È stato il vettore principale di infezione del rootkit Gromozon (http://www.tweakness.net/news.php?&keys=Gromozon&wherenews=NEWS)" alias Rootkit.Dial.Call.
Sembra che attualmente queste vecchie tecniche di attacco siano state unite alle nuove: cioè i siti web compromessi re-indirizzano ad un payload infettivo Rootkit.DialCall. Giuliani spiega: "Il sito web della famosissima cantante italiana Carmen Consoli è stato infatti compromesso ed è stato inserito nella home page un iframe che punta ad un sito web esterno. Dopo che il sistema, non correttamente aggiornato in termini di sistema operativo e software (http://www.tweakness.net/topic.php?id=3920#), è stato attaccato con successo, un eseguibile con nome casuale viene installato nel sistema. Una volta eseguito, il malware si copia all'interno della directory di Windows come svchost.exe (attenzione, il malware si trova all'interno di ?:\WINDOWS\ e non all'interno di ?:\WINDOWS\SYSTEM32; quest'ultima, infatti, contiene la copia legale (http://www.tweakness.net/topic.php?id=3920#) del file svchost.exe di Microsoft). Un'altra dll viene installata nella directory di Windows, denominata svchost.dll, con funzioni di rootkit user mode. Il codice della dll viene iniettato nei processi attivi in modo tale che il processo svchost.exe e alcune chiavi di registro siano nascoste". Il processo Svchost.exe tenta di scaricare dallo stesso indirizzo IP usato dall'iframe un altro file .txt, in realtà un file criptato che contiene informazioni utili al malware per scaricare altre componenti dell'infezione (ulteriori dettagli (http://www.pcalsicuro.com/main/2007/07/siete-sicuri-che-il-vostro-sito-web-non-sia-infetto/) su PC Al Sicuro).
I ricercatori di Prevx hanno contattato lo staff del sito web attaccato e, al momento della stesura di questo articolo, l'iframe era ancora presente. Marco commenta: "Essendo una cantante famosa, considerando quanta gente navighi ancora in Internet senza le adeguate protezioni e senza software aggiornati ma, soprattutto, quanta gente non abbia ancora una connessione (http://www.tweakness.net/topic.php?id=3920#) a banda larga, i danni di questa infezione possono essere, parlando in termini di denaro, particolarmente evidenti. In generale, tuttavia, è interessante vedere come l'Italia sia sempre più considerata come una palestra di allenamento per attacker informatici. Diversi hosting provider sono stati attaccati, migliaia di siti web sono stati modificati - inclusi siti web di due famosi cantanti italiani. Sembrerebbe che qualcosa dal punto di vista della sicurezza debba essere rivisto da chi offre un servizio, siano essi hosting provider o semplici webmaster che si dilettano nel mettere online propri server (http://www.tweakness.net/topic.php?id=3920#)".
Fonte: Tweakness (http://www.tweakness.net) e Pc al sicuro.it (http://www.pcalsicuro.it)
Dal blog-post di Giuliani (http://www.pcalsicuro.com/main/2007/07/siete-sicuri-che-il-vostro-sito-web-non-sia-infetto/): "Il trend degli ultimi mesi sembra sia questo: compromettere i siti web iniettando codice malevolo. Cosa, dunque, [pensare di] … una delle regole più vecchie riguardo la sicurezza online: "non navigare in siti sconosciuti, solo se navighi su pagine conosciute e sicure sei salvo"? Ok, diciamo che questa regola al momento può essere oggetto di alcune critiche. Siti web ben noti e affidabili sono stati compromessi, un esempio è il sito web (http://www.tweakness.net/topic.php?id=3920#) ufficiale di una famosa cantante italiana [Carmen Consoli] o, fatto di questi giorni, un famoso sito che approfondisce l'argomento rootkit [www.antirootkit.com].
Il punto comune è sempre il solito: il codice malevolo redirige a siti web contenenti una serie di script utilizzati per tentare exploit al fine di trasmettere malware all'interno dei sistemi vittima. Oltre a compromettere direttamente i siti web, si era diffusa un'altra moda: la creazione di pagine web fittizie ben indicizzate dai motori di ricerca in modo tale che potessero apparire praticamente in ogni ricerca fatta dagli utenti ... È stato il vettore principale di infezione del rootkit Gromozon (http://www.tweakness.net/news.php?&keys=Gromozon&wherenews=NEWS)" alias Rootkit.Dial.Call.
Sembra che attualmente queste vecchie tecniche di attacco siano state unite alle nuove: cioè i siti web compromessi re-indirizzano ad un payload infettivo Rootkit.DialCall. Giuliani spiega: "Il sito web della famosissima cantante italiana Carmen Consoli è stato infatti compromesso ed è stato inserito nella home page un iframe che punta ad un sito web esterno. Dopo che il sistema, non correttamente aggiornato in termini di sistema operativo e software (http://www.tweakness.net/topic.php?id=3920#), è stato attaccato con successo, un eseguibile con nome casuale viene installato nel sistema. Una volta eseguito, il malware si copia all'interno della directory di Windows come svchost.exe (attenzione, il malware si trova all'interno di ?:\WINDOWS\ e non all'interno di ?:\WINDOWS\SYSTEM32; quest'ultima, infatti, contiene la copia legale (http://www.tweakness.net/topic.php?id=3920#) del file svchost.exe di Microsoft). Un'altra dll viene installata nella directory di Windows, denominata svchost.dll, con funzioni di rootkit user mode. Il codice della dll viene iniettato nei processi attivi in modo tale che il processo svchost.exe e alcune chiavi di registro siano nascoste". Il processo Svchost.exe tenta di scaricare dallo stesso indirizzo IP usato dall'iframe un altro file .txt, in realtà un file criptato che contiene informazioni utili al malware per scaricare altre componenti dell'infezione (ulteriori dettagli (http://www.pcalsicuro.com/main/2007/07/siete-sicuri-che-il-vostro-sito-web-non-sia-infetto/) su PC Al Sicuro).
I ricercatori di Prevx hanno contattato lo staff del sito web attaccato e, al momento della stesura di questo articolo, l'iframe era ancora presente. Marco commenta: "Essendo una cantante famosa, considerando quanta gente navighi ancora in Internet senza le adeguate protezioni e senza software aggiornati ma, soprattutto, quanta gente non abbia ancora una connessione (http://www.tweakness.net/topic.php?id=3920#) a banda larga, i danni di questa infezione possono essere, parlando in termini di denaro, particolarmente evidenti. In generale, tuttavia, è interessante vedere come l'Italia sia sempre più considerata come una palestra di allenamento per attacker informatici. Diversi hosting provider sono stati attaccati, migliaia di siti web sono stati modificati - inclusi siti web di due famosi cantanti italiani. Sembrerebbe che qualcosa dal punto di vista della sicurezza debba essere rivisto da chi offre un servizio, siano essi hosting provider o semplici webmaster che si dilettano nel mettere online propri server (http://www.tweakness.net/topic.php?id=3920#)".
Fonte: Tweakness (http://www.tweakness.net) e Pc al sicuro.it (http://www.pcalsicuro.it)