Down The Rabbit Hole

מאז ש-DigitalWhisper עלה לאויר אני מתעניין בכל מני מערכות לניהול תוכן (CMS), בכדי לבחון את האבטחה שלהן. 
כמעט כל חברה שמכבדת את עצמה בנושא, מאפשרת איזה מערכת "DEMO" שהלקוח יוכל לבחון, לסייר, לראות את
ממשקי הניהול וכו'.
 
לאחרונה, נתקלתי במערכת הבאה:
http://limeware-cms.com
 
הלכתי לבדוק את מערכת ה-DEMO שהם מציעים, ביצעתי התחברות עם שם המשתמש והסיסמא שהם הקצו למשתמשי
בדיקה - ושמתי לב שלעמוד ההתחברות לוקח יותר מדי זמן להטען, עשיתי רפרש וראיתי שעדיין- יותר מדי זמן לוקח
לעמוד להטען. הלכתי להסתכל ב-Source כדי לראות מה העניין, ולעזאזל- הדפדפן מסרב לטעון את הקוד מקור של
העמוד, בלי שום הודעת שגיאה או משהו, פשוט ממשיך לטעון אותו..
 
חשבתי לעצמי שיש כאן משהו חשוד, פתחתי ת'CMD, ניגשתי לאתר דרך TELNET כדי להבין מה העניין:
GET /admin/welcome.php HTTP/1.1
Host: limeware-cms.com
 
ושימו לב מה אני רואה בקוד:
 code in telnet
  
 
 
העתקתי את הקוד ל-Notepad++ וסידרתי כדי לראות במה מדובר:
code in notepadpp 
 
  
כותב הקוד השתמש פה Obfuscation פשוט למדי, המשתנה "str" מכיל מחרוזת ערכים מופרדים באמצעות "!" הנטען למערך
לולאות שמחלצות אותו, ממירות כל ערך וערך מהמחרוזת לתו אסקי, מכניסות אותו למשתנה "out" ובסופו של דבר הקוד נזרק
לדפדפן בעזרת "Document.write".
 
בכדי לראות מה תוצאת מערך הפירוש של הלולאות, החלפתי את:
Document.wirte(out)
ב- 
Alert(out)
 
הקוד נראה עכשיו כך:
after edit
 
הרצתי את הקוד, וקיבלתי את תוכן out ב-Alert:
alert error 
 
 
ושוב, הדרך הבטוחה ביותר להכנס לגוב אריות שכזה היא רק דרך TELNET:
GET /index.php HTTP/1.1
Host: yanndex.su
 
והתגובה שקיבלתי כללה Header-Redirection לקובץ אחר בשרת:
redirect1
  
 
אז פניתי אליו:
GET /index.html HTTP/1.1
Host: yanndex.su
 
וגם הוא- הפנה אותי לקובץ על שרת מרוחק, הפעם דרך Javascript:
redirect2 
 
המשכתי לעקוב דרך ה-TELNET וקיבלתי עוד "302 Moved Temporarily", הפעם לקובץ על שרת מרוחק:
redirect3
 
 
לא ויתרתי, וגם השרת החדש הפנה אותי לשרת נוסף:
redirect4
 
בדקתי את השרת החדש, ושוב- הפנייה נוספת:
redirect5 
 
וגם פה, הופנתי לעוד שרת:
redirect6
 
בסוף, כל המרדף הזה נעצר בשרת:
http://www.zaha.ru
 
 
לא יודע עד כמה האתר הזה מעניין, אבל לפי הבדיקות שלי- הוא לא כלל קוד זדוני ולא מפנה לאחד כזה.
אספתי את כל ה-URL שבהם עברתי:
limeware-cms.com
www.epartner.ru
yanndex.su
www.sc-trafflink.com
www.erosklassniki.com
http://tolkosex.com
http://www.zhaba.ru
 
 
חמש מתוך שש החוליות בשרשרת הזאת לא הופיעו בשירות ה-Safebrowsing של גוגל, לעומת זאת, החולשה השלישית
בשרשרת הוגדרה כ:
Site is listed as suspicious - visiting this web site may harm your computer.
 
ואף:
Of the 2 pages we tested on the site over the past 90 days, 0 page(s) resulted in malicious software being downloaded and installed without user consent. The last time Google visited this site was on 2010-01-31,
and the last time suspicious content was found on this site was on 2010-01-31.

  
יכול להיות ש-Zhaba זאת חוליה שבורה- זאת אומרת שגם היא הייתה אמורה לבצע Redirecting לאיזה שרת, אבל בעל האתר 
הרגיש שמשהו מוזר והצליח לשבור את השרשרת. ויכול להיות שלא :) ברמת מה שחוקי לעשות- זה מה שאפשר לפרסם.
 

מה שאני רוצה להגיד זה שתמיד כדאי לפתוח עיניים, אף פעם אי אפשר לדעת מאיפה תבוא המתקפה הבאה, אפילו באתרים
לגיטימיים, ובייחוד בימים כמו אלו- שכל יום מתפרסמות חולשות חדשות בדפדפנים השונים ואפשר להקלע למתקפות Client-Site
מבוססות דפדפן תחת לכל עץ רענן.
 
העברתי דיווח לבעל האתר שפרסם את ה-CMS, בינתיים לא קיבלתי תגובה והאתר עדיין נגוע.
 
המשך גלישה בטוחה :) 
 
 
עריכה:
בדיוק אחרי שפרסמתי את הפוסט הזה, ראיתי את המאמר הבא ב-Threatpost.com:
http://threatpost.com/en_us/blogs/one-every-150-legitimate-sites-infected-malware-020310
 
 


תגובות על 'Down The Rabbit Hole':



#1 

inHaze (הרצל) (אורח):
הייתי אומר שהשם malware יותר מתאים למערכת הזאת מאשר limeware.
מה שמצחיק הוא שאיכשהו תמיד מגיעים לאתר רוסי בסופו של דבר...
03.02.2010 23:38:30

#2 

cp77fk4r:
יש מצב :)
ואני דווקא חשבתי על "lameware" ;)
04.02.2010 00:14:57

#3 

m1ch43l1014 (אורח):
אחלה סיקור אהבתי את ההחלפה בין document.write לalert .
05.02.2010 00:28:28

#4 

iTK98 (אורח):
נראה שמישהו פשוט רוצה להשיג צפיות בפרסומות שלו, או ההפניות שלו.
07.02.2010 15:21:07

#5 

cp77fk4r:
כן, אבל מספיק שהקוד מאוחסן בשרת שלו הוא יכול להכניס לך בדפדפן כל דבר.
07.02.2010 16:38:24

#6 

nullbyte (אורח):
נראה לי שמצאתי פעם באג במערכת הזו.
משהו בסגנון של RFI. היו בה הרבה יותר באגים, פשוט לא פירסמתי :P.
פוסט נחמד.
13.02.2010 02:52:31

#7 

cp77fk4r:
נחמד, כנראה שדרך אחד מהבאגים האלה הכניסו את הקוד.
15.02.2010 11:30:13



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2014 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.