mercoledì 22 maggio 2013

Come si prende un virus con il browser

Un esempio semplice ed istruttivo.

Prima:

Utente che:
Dopo:
  1. Utente ha in esecuzione un nuovo programma, senza saperlo;
  2. Questo programma, che può fare tutto ciò che può fare l'utentericeve comandi da un attaccante esterno.
Prima di procedere nella lettura leggere e rileggere questi due punti in modo da comprenderne le implicazioni (tragedia !!!)

Spiegazione:


Federal News Radio 1500 AM and FederalNewsRadio.com comprise the key source of breaking news, information and analysis for the individuals responsible for carrying out and supporting the missions of federal agencies. Federal News Radio addresses federal agency managers, policy makers and contractors. ...
We cover both the federal government and those who do business with the government concentrating on management, defense, technology, contracting, policy and pay & benefits.


WTOP is an all-news formatted broadcast radio station licensed to Washington, D.C., serving Metropolitan Washington, DC area.

Ieri sera sulla mailing list dell'US-CERT (United States Computer Emergency Readiness Team) è stato inviato un avviso, appunto, semplice ed istruttivo relativo a questi due siti, che nel frattempo sono stati ripuliti:

On May 16, 2013, US-CERT was notified that both www.federalnewsradio[.]com and www.wtop[.]com had been compromised to redirect Internet Explorer users to an exploit kit. The compromised websites were modified to contain a hidden iframe referencing a JavaScript file on a dynamic-DNS host. The file returned from this site was identified as the Fiesta Exploit Kit.
Cioè, gli attaccanti hanno fatto in modo di inserire un paio di linee HTML nel contenuto servito da questi siti. Queste linee dicono al browser "carica il file Javascript F che si trova sul server N ed eseguilo". Il file F è il file maligno generato appositamente dall'attaccante (Fiesta Exploit Kit), mentre il server N è associato ad un indirizzo IP che varia rapidamente (non è essenziale approfondire) e che corrisponde ad un calcolatore su cui l'attaccante ha messo un piccolo server web dal quale prelevare F.
The exploit kit script uses one of several known vulnerabilities to attempt to download an executable:
Any systems visiting running vulnerable versions of Adobe Reader or Acrobat or Oracle Java may have been compromised.

Cioè, il file Javascript eseguito dal browser provoca il download da parte del browser di file PDF e file Java generati opportunamente dall'attaccante. Il contenuto del file PDF sfrutta errori software dei programmi Adobe Reader e Adobe Acrobat per fare eseguire, a questi stessi programmi, un piccolo programma scelto dall'attaccante. Il contenuto del file Java sfrutta errori software di Java 7 per fare la stessa cosa. L'attaccante usa più strategie invece di una sola in modo da aumentare la probabilità di trovare installato uno di questi 3 programmi, nella versione che abbia gli errori a lui necessari---a lui basta che sia installato uno di quei programmi.

Questo piccolo programma scarica e manda in esecuzione sul PC del browser un programma più complicato e molto più pericoloso: 
a known variant of the ZeroAccess Trojan. Additionally, according to open source reporting, the malware also downloads and installs a variant of FakeAV/Kazy malware.
The ZeroAccess Trojan attempts to beacon to one of two hardcoded command-and-control addresses, 194.165.17.3 and 209.68.32.176. The beaconing occurs using an HTTP GET using the Opera/10 user-agent string.
After beaconing, the malware then downloads a custom Microsoft Cabinet file and the malware uses port UDP/16464 to connect to the peer-to-peer network...

Alla fine, il PC dell'utente ha in esecuzione un programma (ZeroAccess Trojan) che si collega ad una network "command and control" ed è quindi controllato da remoto da un attaccante.
Posta un commento