Edgar Bangkok
13-06-2008, 08:04
13 giugno 2008
Da qualche giorno sto testando un ulteriore 'improvement” di uno dei miei tools che consiste nella possibilita' di effettuare ricerche in rete e download del codice sorgente delle pagine trovate, passando non manualmente una singola stringa al motore di ricerca, ma una serie di parole chiave tratte da un file txt letto sequenzialmente.
Questa nuova modifica ad uno dei tools si e' resa necessaria dalla ormai enorme quantita' di differenti urls (si supera il centinaio di differenti indirizzi pericolosi) presenti come link a malware in javascript inseriti all'interno del codice di normali siti web. (es. con l'ultimo recente attacco a siti anche .IT suportato dalla botnet Asprox)
In pratica ora il tools estrae da un elenco TXT quello che deve passare al motore di ricerca come chiave automatizzando una operazione che se eseguita manualmente comporterebbe molto piu' tempo e successivamente scarica il sorgente html del sito per ulteriori verifiche.
Questa una schermata che riassume i vari passaggi dalla lista di links prericolosi (1) al caricamento del file java pericoloso per esaminarne il codice.(4)
(img sul blog)
A questo punto il problema diventa solo, si fa per dire, estrarre dalla enorme quantita' di dati raccolta in poco tempo con il tool, i casi piu' significativi ed eventualmente non ancora evidenziati in precedenza.
Ma passiamo ora ad un caso concreto di utilizzo del tool:
Questo un esempio dell'output del tools
(img sul blog)
Prendiamo un link a caso di quelli che sembrano contenere un codice script che potrebbe ( sicuramente ) essere pericoloso.
Questa la pagina interessata che come si vede e' una normale pagina web
(img sul blog)
di una ATC, dove esaminando il codice sorgente troviamo diversi scripts (k.js) che puntano a sito cinese
(img sul blog)
Questa volta il file java e' diverso dal solto b.js che conosciamo bene per essere sempre presente negli ultimi attacchi asprox.
(img sul blog)
Una volta caricato lo script k.js possiamo decodificarne il codice offuscato che punta a sito sempre .cn
(img sul blog)
(questo un whois)
(img sul blog)
sito che anche esaminato superficialmente, dimostra di linkare, tra l'altro questo file flash
(img sul blog)
che con VT dimostra tutta la sua pericolosita' (presumibile exploit ai danni di versioni non aggiornate del player flash) ed anche il fatto di essere poco conosciuto ai softwares antivirus
(img sul blog)
Questo e' solo uno dei circa 950 files sorgenti sospetti di malware scaricati in circa un'ora di funzionamento del tool e che porta ad un report finale di files filtrati, per evitare di elaborare anche file di siti bonificati, di circa 150 files sorgenti di pagine web sicuramente riconducibili a pagine con javascript o comunque links a pagine malware.
(img sul blog)
Come si vede, e considerando che la scansione era filtrata anche solo per domini .IT e non piu' di 100 links risultato per singola chiave di ricerca, il rischio di 'beccarsi' un malware navigando in rete su 'normali' siti diventa ogni giorno piu' attuale.
Edgar :D
fonte: http://edetools.blogspot.com/
Da qualche giorno sto testando un ulteriore 'improvement” di uno dei miei tools che consiste nella possibilita' di effettuare ricerche in rete e download del codice sorgente delle pagine trovate, passando non manualmente una singola stringa al motore di ricerca, ma una serie di parole chiave tratte da un file txt letto sequenzialmente.
Questa nuova modifica ad uno dei tools si e' resa necessaria dalla ormai enorme quantita' di differenti urls (si supera il centinaio di differenti indirizzi pericolosi) presenti come link a malware in javascript inseriti all'interno del codice di normali siti web. (es. con l'ultimo recente attacco a siti anche .IT suportato dalla botnet Asprox)
In pratica ora il tools estrae da un elenco TXT quello che deve passare al motore di ricerca come chiave automatizzando una operazione che se eseguita manualmente comporterebbe molto piu' tempo e successivamente scarica il sorgente html del sito per ulteriori verifiche.
Questa una schermata che riassume i vari passaggi dalla lista di links prericolosi (1) al caricamento del file java pericoloso per esaminarne il codice.(4)
(img sul blog)
A questo punto il problema diventa solo, si fa per dire, estrarre dalla enorme quantita' di dati raccolta in poco tempo con il tool, i casi piu' significativi ed eventualmente non ancora evidenziati in precedenza.
Ma passiamo ora ad un caso concreto di utilizzo del tool:
Questo un esempio dell'output del tools
(img sul blog)
Prendiamo un link a caso di quelli che sembrano contenere un codice script che potrebbe ( sicuramente ) essere pericoloso.
Questa la pagina interessata che come si vede e' una normale pagina web
(img sul blog)
di una ATC, dove esaminando il codice sorgente troviamo diversi scripts (k.js) che puntano a sito cinese
(img sul blog)
Questa volta il file java e' diverso dal solto b.js che conosciamo bene per essere sempre presente negli ultimi attacchi asprox.
(img sul blog)
Una volta caricato lo script k.js possiamo decodificarne il codice offuscato che punta a sito sempre .cn
(img sul blog)
(questo un whois)
(img sul blog)
sito che anche esaminato superficialmente, dimostra di linkare, tra l'altro questo file flash
(img sul blog)
che con VT dimostra tutta la sua pericolosita' (presumibile exploit ai danni di versioni non aggiornate del player flash) ed anche il fatto di essere poco conosciuto ai softwares antivirus
(img sul blog)
Questo e' solo uno dei circa 950 files sorgenti sospetti di malware scaricati in circa un'ora di funzionamento del tool e che porta ad un report finale di files filtrati, per evitare di elaborare anche file di siti bonificati, di circa 150 files sorgenti di pagine web sicuramente riconducibili a pagine con javascript o comunque links a pagine malware.
(img sul blog)
Come si vede, e considerando che la scansione era filtrata anche solo per domini .IT e non piu' di 100 links risultato per singola chiave di ricerca, il rischio di 'beccarsi' un malware navigando in rete su 'normali' siti diventa ogni giorno piu' attuale.
Edgar :D
fonte: http://edetools.blogspot.com/