Edgar Bangkok
02-05-2009, 04:42
sabato 2 maggio 2009
Ricordo sempre che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti in questione se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!!
Su questo IP appartenente ad hoster italiano
(whois sul blog)
troviamo, al momento di scrivere il post, diversi siti che presentano la homepage sostituita da pagine di hacking con i soliti proclami, ma anche un sito con codice offuscato sia nella home che nelle altre pagine e che punta ad exploit attivo.
Ecco un report Webscanner che evidenzia nei sorgenti scaricati dal server la presenza di codici di hacking di varia provenienza e probabilmente frutto di attacchi eseguiti in tempi diversi
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/hacking%20e%20java%202%204/reporthacked.jpg
Ed ecco alcune delle pagine visualizzate, che sostituiscono la homepage dei siti in questione
(img sul blog)
(img sul blog)
(img sul blog)
Estendendo poi la ricerca per verificare la presenza di codici pericolosi sotto forma di javascripts offuscati abbiamo alcune sorprese.
Ad esempio viene rilevato questo sito
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/hacking%20e%20java%202%204/1homescript2009-05-02_084058.jpg
di cui vediamo il source nella parte relativa al codice offuscato
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/hacking%20e%20java%202%204/1source.jpg
Da una prima decodifica otteniamo
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/hacking%20e%20java%202%204/1decoded.jpg
che punta a questa pagina, con ulteriore codice offuscato
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/hacking%20e%20java%202%204/1secondapaginada1decoded.jpg
e con whois
(whois sul blog)
Ad una analisi con Wepawet abbiamo la conferma della presenza di exploit
(img sul blog)
con link a questo file eseguibile
(img sul blog)
Interessante notare che cambiando il valore numerico dell'indirizzo web della pagina che ospita l'eseguibile malware si ottengono files sia con diverso nome che codice
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/hacking%20e%20java%202%204/files.jpg
e che vengono variamente riconosciuti da VT
(img sul blog)
Ancora una volta vulnerabilita' evidenziate da siti compromessi solo con pagine di hacking, sono molto spesso utilizzate anche per azioni ben piu' pericolose quali ad esempio la distribuzione di malware attraverso script java offuscati come nel caso visto ora.
Edgar :D
fonte: http://edetools.blogspot.com/2009/05/siti-compromessi-su-servers-italiani.html
Ricordo sempre che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti in questione se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!!
Su questo IP appartenente ad hoster italiano
(whois sul blog)
troviamo, al momento di scrivere il post, diversi siti che presentano la homepage sostituita da pagine di hacking con i soliti proclami, ma anche un sito con codice offuscato sia nella home che nelle altre pagine e che punta ad exploit attivo.
Ecco un report Webscanner che evidenzia nei sorgenti scaricati dal server la presenza di codici di hacking di varia provenienza e probabilmente frutto di attacchi eseguiti in tempi diversi
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/hacking%20e%20java%202%204/reporthacked.jpg
Ed ecco alcune delle pagine visualizzate, che sostituiscono la homepage dei siti in questione
(img sul blog)
(img sul blog)
(img sul blog)
Estendendo poi la ricerca per verificare la presenza di codici pericolosi sotto forma di javascripts offuscati abbiamo alcune sorprese.
Ad esempio viene rilevato questo sito
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/hacking%20e%20java%202%204/1homescript2009-05-02_084058.jpg
di cui vediamo il source nella parte relativa al codice offuscato
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/hacking%20e%20java%202%204/1source.jpg
Da una prima decodifica otteniamo
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/hacking%20e%20java%202%204/1decoded.jpg
che punta a questa pagina, con ulteriore codice offuscato
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/hacking%20e%20java%202%204/1secondapaginada1decoded.jpg
e con whois
(whois sul blog)
Ad una analisi con Wepawet abbiamo la conferma della presenza di exploit
(img sul blog)
con link a questo file eseguibile
(img sul blog)
Interessante notare che cambiando il valore numerico dell'indirizzo web della pagina che ospita l'eseguibile malware si ottengono files sia con diverso nome che codice
http://i241.photobucket.com/albums/ff186/EdgarBangkok/edetools%202009%201/hacking%20e%20java%202%204/files.jpg
e che vengono variamente riconosciuti da VT
(img sul blog)
Ancora una volta vulnerabilita' evidenziate da siti compromessi solo con pagine di hacking, sono molto spesso utilizzate anche per azioni ben piu' pericolose quali ad esempio la distribuzione di malware attraverso script java offuscati come nel caso visto ora.
Edgar :D
fonte: http://edetools.blogspot.com/2009/05/siti-compromessi-su-servers-italiani.html