Edgar Bangkok
11-10-2008, 11:41
sabato 11 ottobre 2008
Esaminiamo qualche caso interessante sia per la tipologia di attacco che per la natura stessa dei siti che appartengono ad Amministrazione Pubblica o comunque ad Enti noti.
Il primo caso riguarda un problema gia' da tempo presente in rete e cioe' l'utilizzo di una pratica anche definita “links spam injection” ai danni, tra l'altro, ai blogs Wordpress
Questa volta , pero', il sto colpito e di altro genere; si tratta infatti di :
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/links%20e%20inclusioni%2011%20ott%202008/homeconlinksnascosti.jpg
anche se ad una prima analisi non sembrerebbe presentare problemi di sorta.
Se infatti andiamo a visionare il contenuto sia della homepage che delle altre pagine che compongono il sito non rileviamo nulla di anormale.
Anche una analisi del codice sorgente, non evidenzia links inseriti
Proviamo adesso a modificare l'User Agent inviato dal browser al momento di consultare una pagina sostituendolo con questo
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/links%20e%20inclusioni%2011%20ott%202008/uagent.jpg
In pratica simuliamo una visita al sito da parte di Google. o meglio dello spider del noto motore di ricerca, che verifica periodicamente i contenuti della rete per creare ed aggiornare gli indici da utilizzare nelle ricerche.
Ancora una volta apparentemente la pagina e' sempre la stessa ma proviamo a riesaminare il codice sorgente confrontandolo con quello precedente:
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/links%20e%20inclusioni%2011%20ott%202008/userageent12008-10-10_231944.jpg
Da questo confronto si evidenzia subito la comparsa nel codice di una lunghissima serie di links a pagine che a loro volta redirigono sui 'soliti' siti con malware, con falsi Av , pharmacy ecc...
La quantita la possiamo valutare bene guardando le barre di scorrimento delle due finestre che contengono il source prima e dopo l'attivazione dell'user agent Googlebot.
Inoltre possiamo anche vedere che in testa alla lista dei collegamenti e' aggiunta l'istruzione che permettera' di rendere nascosti i links sulla pagina anche dopo la loro attivazione e relativa presenza nel codice sorgente.
Al momento il numero dei links supera abbondantemente il migliaio e di questi un certo numero e' attivo e linka ad esempio a:
(img sul blog)
con il solito falso player e codec in realta' malware.
(img sul blog)
Il secondo caso riguarda una pagina di sito ufficiale di Regione del Nord Italia (questo un whois)
(iwhois sul blog)
Questo e' quello che succede seguendo il links presente in una ricerca in rete:
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/links%20e%20inclusioni%2011%20ott%202008/youtubeincluso1.jpg
Ci troviamo questa volta di fronte ad una inclusione che sfrutta l'inserimento nella url della pagina di un riferimento ad altro sito, che verra' caricato e visualizzato dal browser all'interno di un nuovo frame.
Dato poi che il link incluso e' a sito porno di falso Youtube che varia in continuo la pagina caricata avremo anche ad ogni click sul link differenti immagini visualizzate
(img sul blog)
Chiaramente basta alterare l 'url per poter visualizza qualunque pagina; ecco un esempio
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/links%20e%20inclusioni%2011%20ott%202008/edetoolsincluso.jpg
Il sito in questione utilizza ampiamente questo procedimento per visualizzare le sue pagine, come vediamo in questo screenshot che evidenzia l'url.
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/links%20e%20inclusioni%2011%20ott%202008/utilizzo.jpg
C'e' da dire che il problema visto ora si presta bene non tanto per proporre pagine porno ma piuttosto per creare un sito di phishing che potrebbe ingannare chi lo visita facendogli credere di essere sul sito della Regione invece che su un sito di phishing creato appositamente allo scopo.
Ricordo che un sistema simile era gia' stato utilizzato, ad esempio, per il phishing ai danni della Banca Pop.del Lazio (questo il post) (http://edetools.blogspot.com/search?q=banca+popolare+del+lazio) con inclusione di frame contenente la pagina di phishing visualizzata contemporaneamente a parte del sito reale
Edgar :D
fonte: http://edetools.blogspot.com/
Esaminiamo qualche caso interessante sia per la tipologia di attacco che per la natura stessa dei siti che appartengono ad Amministrazione Pubblica o comunque ad Enti noti.
Il primo caso riguarda un problema gia' da tempo presente in rete e cioe' l'utilizzo di una pratica anche definita “links spam injection” ai danni, tra l'altro, ai blogs Wordpress
Questa volta , pero', il sto colpito e di altro genere; si tratta infatti di :
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/links%20e%20inclusioni%2011%20ott%202008/homeconlinksnascosti.jpg
anche se ad una prima analisi non sembrerebbe presentare problemi di sorta.
Se infatti andiamo a visionare il contenuto sia della homepage che delle altre pagine che compongono il sito non rileviamo nulla di anormale.
Anche una analisi del codice sorgente, non evidenzia links inseriti
Proviamo adesso a modificare l'User Agent inviato dal browser al momento di consultare una pagina sostituendolo con questo
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/links%20e%20inclusioni%2011%20ott%202008/uagent.jpg
In pratica simuliamo una visita al sito da parte di Google. o meglio dello spider del noto motore di ricerca, che verifica periodicamente i contenuti della rete per creare ed aggiornare gli indici da utilizzare nelle ricerche.
Ancora una volta apparentemente la pagina e' sempre la stessa ma proviamo a riesaminare il codice sorgente confrontandolo con quello precedente:
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/links%20e%20inclusioni%2011%20ott%202008/userageent12008-10-10_231944.jpg
Da questo confronto si evidenzia subito la comparsa nel codice di una lunghissima serie di links a pagine che a loro volta redirigono sui 'soliti' siti con malware, con falsi Av , pharmacy ecc...
La quantita la possiamo valutare bene guardando le barre di scorrimento delle due finestre che contengono il source prima e dopo l'attivazione dell'user agent Googlebot.
Inoltre possiamo anche vedere che in testa alla lista dei collegamenti e' aggiunta l'istruzione che permettera' di rendere nascosti i links sulla pagina anche dopo la loro attivazione e relativa presenza nel codice sorgente.
Al momento il numero dei links supera abbondantemente il migliaio e di questi un certo numero e' attivo e linka ad esempio a:
(img sul blog)
con il solito falso player e codec in realta' malware.
(img sul blog)
Il secondo caso riguarda una pagina di sito ufficiale di Regione del Nord Italia (questo un whois)
(iwhois sul blog)
Questo e' quello che succede seguendo il links presente in una ricerca in rete:
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/links%20e%20inclusioni%2011%20ott%202008/youtubeincluso1.jpg
Ci troviamo questa volta di fronte ad una inclusione che sfrutta l'inserimento nella url della pagina di un riferimento ad altro sito, che verra' caricato e visualizzato dal browser all'interno di un nuovo frame.
Dato poi che il link incluso e' a sito porno di falso Youtube che varia in continuo la pagina caricata avremo anche ad ogni click sul link differenti immagini visualizzate
(img sul blog)
Chiaramente basta alterare l 'url per poter visualizza qualunque pagina; ecco un esempio
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/links%20e%20inclusioni%2011%20ott%202008/edetoolsincluso.jpg
Il sito in questione utilizza ampiamente questo procedimento per visualizzare le sue pagine, come vediamo in questo screenshot che evidenzia l'url.
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/links%20e%20inclusioni%2011%20ott%202008/utilizzo.jpg
C'e' da dire che il problema visto ora si presta bene non tanto per proporre pagine porno ma piuttosto per creare un sito di phishing che potrebbe ingannare chi lo visita facendogli credere di essere sul sito della Regione invece che su un sito di phishing creato appositamente allo scopo.
Ricordo che un sistema simile era gia' stato utilizzato, ad esempio, per il phishing ai danni della Banca Pop.del Lazio (questo il post) (http://edetools.blogspot.com/search?q=banca+popolare+del+lazio) con inclusione di frame contenente la pagina di phishing visualizzata contemporaneamente a parte del sito reale
Edgar :D
fonte: http://edetools.blogspot.com/