Edgar Bangkok
09-07-2008, 12:24
09 luglio 2008
In un precedente post ho accennato all'uso di TOR per modificare l'IP della nostra connessione al fine di analizzare particolari siti che distribuiscono malware.
Vediamo un esempio pratico approfittando di una recente segnalazione del 'Blog Gromozon e i sui Fratelli' che indicava il sito lineacount(dot)info appartenere a quella particolare tipologia di pagine web che a seconda dell'IP di chi le vista propongo differenti links a malware o comunque a diverse pagine di dubbia affidabilita'.
In questo caso, analizzandone piu' in dettaglio il comportamento, vediamo che la diversa risposta al nostro IP e' attuata da ceroline(dot)info, pagina che viene caricata in maniera automatica appena apriamo lineacount(dot)info.
Nel codice di ceroline(dot)info troviamo questo script offuscato in maniera molto semplice
(img sul blog)
Una volta deoffuscato abbiamo questo link a juncite(dot)com che, a seconda del nostro IP restituisce un diverso script .
Qui vediamo la risposta di juncite.com quando il nostro IP e' quello in uso normalmente per chi naviga dalla Thailandia
(img sul blog)
e questo e' quello che appare su ceroline.info
(img sul blog)
mentre simulando un IP tedesco abbiamo lo script
(img sul blog)
che punta ad un falso antivirus , tra l'altro aggiornato nella versione
(img sul blog)
se poi richiamiamo juncite.com con l'IP
appartenente a connessione dall'Italia:
(img sul blog)
ecco apparire uno script che linka ad una pericolosa pagina che tra le altre cose presenta un falso player
(img sul blog)
in realta' malware come sempre poco riconosciuto dai softwares antivirus
Come si vede, con un semplice utilizzo di Portable Tor abbiamo potuto verificare la risposta di un sito malware simulando la provenienza del visitatore da diverse nazioni e in maniera veramente semplice e veloce.
Ricordo anche che l'analisi dell'IP di provenienza per chi vista siti malware e' spesso utilizzata per filtrare gli accessi a siti pericolosi, ad esempio evitando di proporre lo stesso file malware piu' volte a chi vista la pagina ripetutamente, e cercando cosi' di rendere piu' difficile l'individuazione del codice malevolo.
Edgar :D
fonte: http://edetools.blogspot.com/
In un precedente post ho accennato all'uso di TOR per modificare l'IP della nostra connessione al fine di analizzare particolari siti che distribuiscono malware.
Vediamo un esempio pratico approfittando di una recente segnalazione del 'Blog Gromozon e i sui Fratelli' che indicava il sito lineacount(dot)info appartenere a quella particolare tipologia di pagine web che a seconda dell'IP di chi le vista propongo differenti links a malware o comunque a diverse pagine di dubbia affidabilita'.
In questo caso, analizzandone piu' in dettaglio il comportamento, vediamo che la diversa risposta al nostro IP e' attuata da ceroline(dot)info, pagina che viene caricata in maniera automatica appena apriamo lineacount(dot)info.
Nel codice di ceroline(dot)info troviamo questo script offuscato in maniera molto semplice
(img sul blog)
Una volta deoffuscato abbiamo questo link a juncite(dot)com che, a seconda del nostro IP restituisce un diverso script .
Qui vediamo la risposta di juncite.com quando il nostro IP e' quello in uso normalmente per chi naviga dalla Thailandia
(img sul blog)
e questo e' quello che appare su ceroline.info
(img sul blog)
mentre simulando un IP tedesco abbiamo lo script
(img sul blog)
che punta ad un falso antivirus , tra l'altro aggiornato nella versione
(img sul blog)
se poi richiamiamo juncite.com con l'IP
appartenente a connessione dall'Italia:
(img sul blog)
ecco apparire uno script che linka ad una pericolosa pagina che tra le altre cose presenta un falso player
(img sul blog)
in realta' malware come sempre poco riconosciuto dai softwares antivirus
Come si vede, con un semplice utilizzo di Portable Tor abbiamo potuto verificare la risposta di un sito malware simulando la provenienza del visitatore da diverse nazioni e in maniera veramente semplice e veloce.
Ricordo anche che l'analisi dell'IP di provenienza per chi vista siti malware e' spesso utilizzata per filtrare gli accessi a siti pericolosi, ad esempio evitando di proporre lo stesso file malware piu' volte a chi vista la pagina ripetutamente, e cercando cosi' di rendere piu' difficile l'individuazione del codice malevolo.
Edgar :D
fonte: http://edetools.blogspot.com/