Edgar Bangkok
24-04-2008, 05:56
24 aprile 08
Come premessa importante bisogna evidenziare che, al momento, il sito con whois in Cina che hostava gli exploit sembrerebbe OFFline, ma, vista la notevole quantita' di pagine colpite, vale la pena di analizzare quello che e' successo.
Il 22 aprile infatti Websense Security Labs (http://securitylabs.websense.com/content/Alerts/3070.aspx)ha pubblicato un interessante articolo nel quale lancia un allerta per migliaia di domini compromessi tramite 'JavaScript injection' a cui fa seguito, ieri, un post di Dancho Danchev (http://ddanchev.blogspot.com/2008/04/united-nations-serving-malware.html) sempre al riguardo di questo attacco a siti USA e UK ma non solo.
Come appare da una ricerca in rete anche un sito web delle Nazioni Unite e' stato colpito ed ora Google avverte del pericolo presente sulla pagina. (immagine sul blog)
L'attacco sembra essere la copia di uno precedente che aveva utilizzato una tecnica simile per redirigere la navigazione su un sito contenente exploit di vario genere.
Vediamo qualche dettaglio:
Questa e' una ricerca effettuata con Google da cui si nota che il numero dei link a pagine con lo script pericoloso e' ancora molto elevato
(immagine sul blog)
e questa e' una ricerca effettuata con il mio nuovo tools che utilizza un ulteriore filtro sui codici delle pagine trovate per estrarre solo quelle che realmente hanno ancora il contenuto pericoloso. (di solito anche se bonificate le pagine rimangono per qualche tempo linkate dal motore di ricerca)
(immagine sul blog)
Come si vede, su un campione di 389 pagine, ne abbiamo una ottantina che presentano all'interno un codice simile a questo
(immagine sul blog)
Per quanto si riferisce all'Italia, una ricerca filtrata per domini IT ci porta comunque ad individuare un certo numero di siti che presentavano lo script pericoloso ma c'e' da dire che al momento la maggior parte e' stata presumibilmente gia' bonificata
L'attacco, come dicevamo, e' la copia di uno precedente di cui ancora numerosi siti portano all'interno lo script che linkava a pagina con exploit e di cui vediamo una ricerca con Google
(immagine sul blog)
Come curiosita', il sito isc.sans.org (http://isc.sans.org/diary.html?n&storyid=4294) ha pubblicato una analisi di un tools e la relativa interfaccia (cinese) usata da chi che esegue questo tipo di attacchi e che dimostra come l'enorme quantita' di pagine compromesse sia ottenuta rendendo automatiche una serie di operazioni alla cui base sta comunque una ricerca eseguita su Google di siti vulnerabili.
Fonte: Edetools Blog (http://edetools.blogspot.com/2008/04/mass-attack-javascript-injection.html)
Edgar :D
Come premessa importante bisogna evidenziare che, al momento, il sito con whois in Cina che hostava gli exploit sembrerebbe OFFline, ma, vista la notevole quantita' di pagine colpite, vale la pena di analizzare quello che e' successo.
Il 22 aprile infatti Websense Security Labs (http://securitylabs.websense.com/content/Alerts/3070.aspx)ha pubblicato un interessante articolo nel quale lancia un allerta per migliaia di domini compromessi tramite 'JavaScript injection' a cui fa seguito, ieri, un post di Dancho Danchev (http://ddanchev.blogspot.com/2008/04/united-nations-serving-malware.html) sempre al riguardo di questo attacco a siti USA e UK ma non solo.
Come appare da una ricerca in rete anche un sito web delle Nazioni Unite e' stato colpito ed ora Google avverte del pericolo presente sulla pagina. (immagine sul blog)
L'attacco sembra essere la copia di uno precedente che aveva utilizzato una tecnica simile per redirigere la navigazione su un sito contenente exploit di vario genere.
Vediamo qualche dettaglio:
Questa e' una ricerca effettuata con Google da cui si nota che il numero dei link a pagine con lo script pericoloso e' ancora molto elevato
(immagine sul blog)
e questa e' una ricerca effettuata con il mio nuovo tools che utilizza un ulteriore filtro sui codici delle pagine trovate per estrarre solo quelle che realmente hanno ancora il contenuto pericoloso. (di solito anche se bonificate le pagine rimangono per qualche tempo linkate dal motore di ricerca)
(immagine sul blog)
Come si vede, su un campione di 389 pagine, ne abbiamo una ottantina che presentano all'interno un codice simile a questo
(immagine sul blog)
Per quanto si riferisce all'Italia, una ricerca filtrata per domini IT ci porta comunque ad individuare un certo numero di siti che presentavano lo script pericoloso ma c'e' da dire che al momento la maggior parte e' stata presumibilmente gia' bonificata
L'attacco, come dicevamo, e' la copia di uno precedente di cui ancora numerosi siti portano all'interno lo script che linkava a pagina con exploit e di cui vediamo una ricerca con Google
(immagine sul blog)
Come curiosita', il sito isc.sans.org (http://isc.sans.org/diary.html?n&storyid=4294) ha pubblicato una analisi di un tools e la relativa interfaccia (cinese) usata da chi che esegue questo tipo di attacchi e che dimostra come l'enorme quantita' di pagine compromesse sia ottenuta rendendo automatiche una serie di operazioni alla cui base sta comunque una ricerca eseguita su Google di siti vulnerabili.
Fonte: Edetools Blog (http://edetools.blogspot.com/2008/04/mass-attack-javascript-injection.html)
Edgar :D