venerdì 7 novembre 2008

Dopo aver ricevuto da Maverick un avviso al riguardo di un probabile nuovo attacco in massa su server Tiscali, (ne scrive qui nel suo Blog) ho provveduto ad attivare Webscanner per verificare il numero di siti coinvolti
Ecco un primo PARZIALE report al riguardo
http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/tiscali%201/2008-11-07_072523.jpg

dove tra l'altro si noterebbero differenti scripts
(continua)

Edgar :D

fonte: http://edetools.blogspot.com/

Ecco un primo aggiornamento che riguarda il codice script inserito
Da quanto rilevato con Webscanner
(img sul blog)
sembra che alcuni siti abbiano subito un doppio attacco con l'inserimento di due scripts
(img sul blog)
che decodificati danno
(img sul blog)
ed anche
(img sul blog)

Analizzando altri script presenti sui diversi siti si notano differenti IP
(img sul blog)
che corrispondono comunque a pagine simili

(img sul blog)

Il numero di siti colpiti su Tiscali sembra abbastanza alto (circa 60 rilevati al momento per un singolo IP)
(img sul blog)

Continua

Edgar :D

Il file PDF che viene proposto esegundo il link presente nello script
(img sul blog)
viene classificato da VT come, come era facilmente prevedibile
(img sul blog)

Si nota che pochi Av riconoscono il file pdf come pericoloso
(img sul blog)
Un reload della pagina porta ad un redirect su Google (in questo caso Italia visto che l'IP era forzato su range italiano)


Edgar :D

fonte: http://edetools.blogspot.com/

Il contenuto delle pagine linkate dall'attcco a siti Tiscali

Come ipotizzato nel precedente post, l'uso di un User Agent del tipo Internet Explorer in ambiente XP mostra qualche info in piu' al riguardo della pagina linkata dagli scripts anche se si utilizza Firefox.
(img sul blog)
Intanto c'e' da dire che una analisi della pagina con Anubis conferma che oltre al download del falso PDF abbiamo tra l'altro il download di un file eseguibile
(img sul blog)
visto da VT come
(img sul blog)

Inoltre ecco come si presenta il source della pagina, quando usiamo user agent Microsoft Explorer
Si notano 3 scripts offuscati
(img sul blog)
che decodificati rappresentano del codice appartenente ad exploit tra cui
(img sul blog)
che una ricerca in rete cataloga come exploit per una vulnerbilita' di Microsoft Internet Explorer
(img sul blog)
C'e' comunque sempre da tenere conto che chi gestisce l'attacco puo' in ogni momento decidere di modificare il contenuto delle pagine malware linkate dagli script presenti sui siti colpiti, modificando cosi' il tipo di files proposti e relativi codici pericolosi.
(img sul blog)
Per quanto si riferisce al numero di siti web coinvolti al momento su circa un migliaio di siti siamo ad una settantina di questi che presentano lo script.

Edgar :D

segnalato da maipiugromozon.blogspot.com:

http://maipiugromozon.blogspot.com/2008/11/un-nuovo-hack-di-massa-sui-server-di.html

Per correttezza segnalo che e' stato Maverick di http://maipiugromozon.blogspot.com/2...server-di.html
ad informarmi del problema ai siti Tiscali ed io ho fatto qualche indagine al riguardo quindi in pratica sarei io che ho ripreso la notizia :read:

corretto :)

Pubblicato aggiornamento (http://edetools.blogspot.com/) con lista finale dei siti colpiti, per facilitare eventuali verifiche da chi ha un sito web hostato sull'IP colpito.

Edgar :D

Report 08 11

http://i241.photobucket.com/albums/ff186/EdgarBangkok/Edetools/tiscali%201/reportwebscanner2008-11-08_082939.jpg

Edgar :D

Aggiornata scansione e dettagli exploits

http://edetools.blogspot.com/2008/11/aggiornamento-exploits-attacco-siti.html

Edgar :D

Il vantaggio dell'uso di Webscanner consiste nell'avere OFFLINE i codici sorgenti di tutti (o quasi) i siti hostati su uno o piu' IP e sui quali si possono eseguire le piu' varie ricerche.
Dopo questa premessa, vediamo cosa si ricava da ulteriori ricerche sui siti colpiti su server Tiscali.
Fino ad ora si erano prese in considerazione le pagine che presentavano uno script offuscato senza pensare che potevano in effetti esistere altri modi per linkare alle pagine con exploit.
Ecco i risultati con una ricerca in chiaro dell'IP a sito malevolo
(img sul blog)
Abbiamo decine di pagine che presentano questo semplice codice di iframe con IP simile a quelli visti in precedenza, ma in chiaro, che carica la 'solita ' pagina con exploit
(img sul blog)
con ad esempio whois su
Quindi ai numerosi siti visti in precedenza se ne aggiungono altri con questo problema,
(img sul blog)
Lista parziale in quanto ricerca eseguita su un solo IP
(img sul blog)
Da notare anche che alcuni di questi links in lista, per come e' strutturato il sito, se aperti nel normale browser NON mostrano la pagina con il codice che punta all'IP malevolo in quanto una volta caricata la homepage, si viene rediretti automaticamente su altra pagina dello stesso sito che si sta visitando. Solo usando WGET o CURL e' possibile in alcuni casi esaminare il codice pericoloso presente solo sulla prima delle pagine caricate in sequenza.
Edgar :D

Una scansione della stessa lista di siti gia' sottoposto ad analisi qualche giorno fa' dimostra che il numero complessivo di pagine che presentano inserito lo script offuscato o il link in chiaro a servers con exploits e' ancora rilevante

Ecco il report per i siti con inserito javascript offuscato
(img sul blog) 124 siti
ed ecco il report per siti con lo script in chiaro che redirige sui medesimi indirizzi IP
(img sul blog) 35 siti
In pratica rispetto al primo report abbiamo una differenza di una decina di siti bonificati.

Fortunatamente pare pero' che ci siano alcune pagine con exploit adesso OFFLINE come ad esempio quella con whois su sito locato in Turchia.
Appare quindi probabile che ancora prima della completa bonifica dei siti colpiti assisteremo al progressivo OFFLINE di quelle pagine che fino ad ora ospitavano gli exploits e che normalmente non hanno tempi lunghi di permanenza in rete.

Edgar :D

sabato 15 novembre 2008

Questo un ulteriore aggiornamento sulla situazione dei siti web compromessi circa una settimana fa.

Una scansione della stessa lista di siti gia' sottoposto ad analisi dimostra che il numero complessivo di pagine che presentano inserito lo script offuscato o il link in chiaro a servers con exploits e' ancora rilevante
(img sul blog)
Ecco il report del 15 novembre per i siti con inserito javascript offuscato
116 siti con script (report sul blog)
ed ecco il report sempre in data 15 novembre per siti con lo script in chiaro
30 siti con script (report sul blog)
In pratica rispetto al primo report abbiamo una differenza di una ventina di siti bonificati.

Il sito linkato dagli scripts con whois in Turchia appare Offline mentre quelli in Ucraina e Russia appaiono attivi nella distribuzione del malware.

Da segnalare che invece uno degli IP ucraini che puntava a sito (forse compromesso) ora mostra questa pagina:
(img sul blog)
Safe Web di Symantec evidenzia per gli IP pericolosi la presenza degli exploits
(img sul blog)
Il falso file pdf in realta' exploit distribuito dai siti linkati viene ora riconosciuto da questi software AV
(img sul blog)
In definitiva al momento abbiamo ancora piu' di cento siti con script offuscato ed una trentina con quello in chiaro che linkano a pagine con contenuto pericoloso.

Edgar :D

Aggiornamento 29 novembre 08 attacco a siti .IT su server Tiscali

A piu' di 3 settimane dall'attacco portato a centinaia di siti italiani su server Tiscali vediamo la situazione attuale per quanto si riferisce sia alla bonifica delle pagine colpite che all'eventuale pericolo per chi le visitasse.

Al momento di scrivere il post e prendendo come riferimento la lista base dei siti colpiti utilizzata per le precedenti verifiche risultano 121 siti con script offuscato
(report sul blog)
e 19 con ancora incluso nel codice della pagina lo script in chiaro
(report sul blog)
Rispetto ai numeri iniziali ( circa 135 siti con script offuscato e circa 35 con quello in chiaro) si puo' notare che per il momento la bonifica e' ancora molto scarsa.

Si puo' anche notare che risulta una percentuale maggiore di siti bonificati per quelli che presentavano lo script in chiaro mentre per quelli con script offuscato la percentuale di siti 'ripuliti' e' molto minore facendo sorgere il dubbio che chi gestisce i singoli siti web individui piu' facilmente come pericoloso l'indirizzo malevolo se scritto in chiaro che il codice javascript quando inserito in maniera offuscata.
Dei servers che hostavano la pagina degli exploit linkati dagli script almeno uno e' ancora attivo
(img sul blog)
con whois
(Whois sul blog)
rappresentando quindi sempre un pericolo per chi visitasse uno dei siti che ospita lo script.

Edgar :D