Social Engineering In The Wild

הפוסט הזה יהיה קצר, רק רציתי להציג לכם Rouge Attack מוצלחת ביותר, הגעתי אליה דרך משתמש מבולבל ב-IRC :)
אני לא אפרסם פה את הקישור, רק אגיד שנכון לכתיבת שורות אלו שום מנגנון Safe-Browsing (לפחות לא של שלושת
הדפדפנים הגדולים) מזהה את השרת כשרת בעל תוכן זדוני.

בכניסה לאתר מופיע ה-Alert הבא:
  

כמובן שלא משנה מה נלחץ (אישור, ביטול או X) נעבור לעמוד הבא: (שימו לב, לפי דעתי מדובר כאן ביצירת אומנות
של ממש)
  
 
לאחר ש"הסריקה" מגיעה ל-100 אחוז קופץ לנו החלון הבא:
  
וכמובן- לא משנה על מה או מתי נלחץ על החלון- הדפדפן יבקש מאיתנו אישור להוריד קובץ בשם:
"InstallAntuvirus2010.exe"

בניתוח של VirusTotal קיבלתי את ההתרשמות הבאה, אשכרה רק ארבעה אנטי-וירוסים זיהו את הקובץ
כקובץ זדוני:
  




קצת ניתוח של הקוד:
לא מדובר כאן בפלאש, אלה ב-Javascript וב-Ajax מה שלדעתי הופך את החלון לחי ואמין יותר, יש כאן שימוש בספריות
Ajax שיובאו מהשרתים של גוגל.

יש לנו בדיקה באיזה דפדפן המשתמש משתמש ועל פי זה נקבעים הסטנדרטים של התצוגה:
  
 
יש לנו מנגנון למימוש "Token"-ים למנוע הורדה חוזרת ע"י כניסה ישירה ללניק - מבוססת עוגיות:
  
  
עוד לא חקרתי את ה-EXE, אני אבצע זאת במידה ויהיה לי זמן ואעדכן בפוסט הזה/פוסט חדש. 
בקיצור- גלשו בטוח! :)


תגובות על 'Social Engineering In The Wild':



#1 

Exodus (אורח):
מוזר שלא כל האנטי וירוסים מזהים את זה כי זה די מוכר.. כניראה שזו וריאציה יחסית חדשה.
http://din.gy :)
12.08.2010 09:24:19

#2 

DSO (אורח):
אולי הם ניסו לגרום להאקרים לחשוב שהם מצאו פירצת אבטחה (בעיה ב-index.html)
זה מה שחשבתי בהתחלה, אבל אז הופיע ההודעה של האנטי וירוס ובכלל בדיקת וירוסים בתוך תקיה זה נראה מוזר..
אממ, תגלשו בטוח!
12.08.2010 09:34:54

#3 

Dw4rf (אורח):
Exodus - ואו, אתה בחור עתיק!
לפי מה שנכתב רק ארבעה מנגנונים (מתוך 42) זיהו אותו, לפי איך שזה נראה מדובר בוירוס חדש...
12.08.2010 10:13:09

#4 

cp77fk4r:
Exodus אתה מתכוון שהוירוס עצמו קיים הרבה זמן או שהממשק הזה שמציג את הוירוסים קיים הרבה זמן?

לפי איך שזה נראה הוירוס בהחלט חדש (או אולי איזה ורציה של וירוס ישן?) - הממשק עצמו פחות מעניין למרות שהוא עושה את כל ההצגה :)

וכן, יכול להיות שהממשק ישן- הוא מציג שם תצוגה של XP ;)
12.08.2010 10:16:02

#5 

cp77fk4r:
Shrink! ;)
12.08.2010 10:19:29

#6 

סתמאחד (אורח):
מדהים כמה מחשבה ויצירתיות כותבי הוירוסים משקיעים בוירוסים שלהם!
12.08.2010 12:46:37

#7 

greenblast:
דרך מעניינת לשים לב לדברים כאלה, זה לשנות את הtheme של הwindows מהdefault למשהו אחר.

ככה גם הסבתא שיושבת על המחשב וסביר להניח שתיפול בפח תוכל לשים לב שהאתר מציג את החלונות בשונה מהרגיל
12.08.2010 14:47:03

#8 

cp77fk4r:
כן, רעיון מוצלח.

אגב, DSO, לא בדיוק הבנתי מה אמרת לגבי ה-Index.html.  
12.08.2010 15:00:08

#9 

DSO (אורח):
עד כמה שאני מבין אם אין קובץ index.html מה שמוצג בדפדפן זה רשימה של קבצים. היה פעם ב-IExplorer אפשרות "פתח כתקיה" שאמורה לפתוח את התקיה שיש בה את הדף, ואז רואים את כל הקבצים כמו פה, וזה בתנאי שאין קובץ index.html.
אם זה לא נכון, תתעלמו..
בכל מקרה, אפשר לגרום לדף להראות כאילו יש בו פירצה ולשים בו מלכודת לתוקף (מלכודת דבש).
הממ, לגבי הדרך לשים לב לזה, אפשר גם לשנות ערכת נושא או לעבור ללינוקס :)
אם הם היו רוצים להתחכם יותר, הם היו מזהים את המערכת הפעלה של הגולש ולפי זה בונים את הדף.. (אבל משתמשי לינוקס לא היו נופלים בפח..)
12.08.2010 17:17:28

#10 

שלומי (אורח):
כיצד חקרת את הקוד? (באמצעות איזו תוכנה)
תודה מראש.
12.08.2010 21:50:14

#11 

cp77fk4r:
DSO - אם הבנתי אותך נכון, למה שאתה מתכוון קוראים "Directory Listing", כמו למשל בשרת הזה של נאס"א:
http://idlastro.gsfc.nasa.gov/ftp/

לא מדובר כאן בשום "באג" - פשוט מאוד, אפשר להגדיר את התכונה הזאת בשרת- הוא שהיא תציג את הקבצים בתיקיה במקרים בהם אין קובץ דיפולטיבי והמשתמש ניגש לתיקיה (Indexing+) או שתוחזר שגיאה 403 (Forbidden)- או שהמשתמש יופנה לכל עמוד שגיאה אחר.
13.08.2010 07:44:10

#12 

cp77fk4r:
שלומי, שים לב שלא חקרתי את הקוד לעומק, פשוט ביצעתי "View Source" לעמוד, לאחר מכן העתקתי אותו לעורך טקסט בשם Notepad Plus Plus (מומלץ בחום) בכדי להציג אותו באופן ברור וקריא יותר.

אם מעניין אותך חקירה של קוד כזה, תוכל לקרוא את המאמר שכתבתי בשם "ניתוח קוד Web זדוני" ופורסם בגליון השביעי.
13.08.2010 07:46:52

#13 

שלומי (אורח):
תודה רבה, ואני אקרא. אני פשוט רק בגליון החמישי o: סוף שבוע טוב לך.
13.08.2010 14:22:25

#14 

DSO (אורח):
חח אסור לדלג?
13.08.2010 14:50:49

#15 

iTK98:
חשבתי שהחוק של אמא תופס גם לכאן, אל תקבלו סוכריות מזרים...
13.08.2010 18:33:07

#16 

cp77fk4r:
DSO - סדר זה דבר בריא.
חח כן iTK98 - אמא תמיד צודקת... ;)
13.08.2010 19:52:34

#17 

cp77fk4r:
קריאה נעימה שלומי- במידה ויהיו לך שאלות אתה מוזמן לכתוב אותן כאן או בפוסט של הגליון המדובר. בכל אופן, שים לב שגם שם לא השתמשתי בכלים מיוחדים לניתוח קוד אלה רק בקריאה פשוטה...
13.08.2010 19:58:43

#18 

Dw4rf (אורח):
הרצתי חיפוש על הודעת ה-Alert ש-cP קיבל כשנכנס לאתר וראיתי שיש הודעות עליה כבר מ-2007, מה שאומר שכנראה מדובר בחבילה כזאת שכותבי וירוסים קונים ופורסים על השרתים כדי להפיל משתמשים. אולי חלק מ-CrimePack וחברים...
14.08.2010 08:55:05

#19 

cp77fk4r:
Dw4rf- שים לב לתוצאה של nProtect:
W32.Fraudpack

לפי F-Secure (מכאן: http://din.gy/lzL22):

Trojan:W32/Fraudpack refers to a very large family of programs which appear to be antivirus applications, but are either deceptive, non-functional or outrightly malicious. These programs are generally referred to as rogue programs, or rogueware.

ככה שכנראה יש הרבה וריאציות וסוגים- כנראה כבר מ-2007.

תוכל לראות עוד מידע על תוכנות כאלה כאן:
http://din.gy/tIWdH
14.08.2010 09:33:50

#20 

Dw4rf (אורח):
כן ראיתי, תודה רבה!
14.08.2010 16:26:36

#21 

cp77fk4r:
אחרי עדכונים ל-Safe Browsing האתר נכנס אליהם כבר בתחילת הסופ"ש לרשימות והיום בבוקר ראיתי שהוא כבר לא באויר, כנראה שהם עדכנו את בעלי השרת.
15.08.2010 09:56:07

#22 

m1ch43l1014 (אורח):
גם אני ראיתי את זה היום בבוקר חיפשתי בגוגל על התראה וראיתי את המודעה.
תודה על העידכון יום טוב :)
15.08.2010 12:12:56

#23 

cp77fk4r:
לפי איך שזה נראה השרת נופל וקם- קצת מוזר.
בכל אופן, זאת כתובת ה-IP והפורט:

hXXp://95.79.194.8:11066 - זהירות!
17.08.2010 07:22:32

#24 

Dw4rf (אורח):
כשאני נכנס דרך Chrome או FireFox אני אכן מגיע לעמוד שמזהיר אותי על כך שהשרת הזה אירח תוכן זדוני ב-90 ימים האחרונים, אבל כשאני נכנס דרך Internet Explorer (גירסא 8 אם זה משנה) אני סתם מקבל 404.
למה זה?
18.08.2010 08:24:10

#25 

cp77fk4r:
זה מפני שהשרת לא קיים כבר, אבל ההתראה עדיין קיימת בשירות ה-Safe Browsing של גוגל (גם Firefox וגם Chrome משתמשים באותו שירות).

לדעתי ההתראה תהיה קיימת כל עוד השרת לא יקום בלי תוכן זדוני, כל עוד הוא למטה- תקבל את ההתראה הזאת (או שיעברו 90 יום בלי שהאתר יהיה פעיל).
18.08.2010 11:36:05

#26 

m1ch43l1014 (אורח):
cP , הספקת לנתח את הקובץ EXE ?
19.08.2010 19:18:56

#27 

cp77fk4r:
לא, איזה, אבל ברגע שיהיה לי זמן פנוי אני אעשה זאת.
20.08.2010 06:37:55

#28 

Oink (אורח):
נראה מרשים! אני מחכה לראות את הניתוח שלך על הוירוס! תודה רבה!
20.08.2010 15:07:35

#29 

m1ch43l1014 (אורח):
אוקיי אני מחכה לניתוח (הבנתי שזה לוקח זמן)
בהצלחה !!
ושבת שלום
20.08.2010 15:49:57

#30 

cp77fk4r:
אם אתה יודע את המלאכה ויש לך את הכלים הנכונים- זה לא צריך לקחת יותר מדי זמן, הבעיה היא לפנות את הזמן בשביל זה.
21.08.2010 20:05:18

#31 

Oink (אורח):
אגב cP, עשיתי חיפוש קטן וראיתי שבויקיפדיה יש רשימה של כל מני תוכנות כאלה, תוכל/שאר הגולשים לראות את הרשימה תחת הערך בקישור הבא:
http://en.wikipedia.org/wiki/Rogue_security_software

ותחת הכותרת: "Partial list of rogue security software" - תוכלו למצוא אותן.

מוזר שמה שדיווחתם עליו כאן לא מופיע שם!
24.08.2010 12:35:37

#32 

cp77fk4r:
ראיתי את הרשימה, תודה.
ולדעתי אין בזה שום דבר מוזר, אתה לא יכול להשוות את הדינמיות של ערכים בויקיפדיה ושל עולם ה-Vx...
24.08.2010 12:41:34

#33 

Oink (אורח):
צודק :)
24.08.2010 12:58:28

#34 

Dw4rf (אורח):
לפי תוצאות הניתוח של האנטי וירוסים הם זיהו את האריזה של הקובץ ולא את הוירוס עצמו, כך שיכול להיות שהוא כן מופיע ברשימה אבל לא תחת השם שחיפשת (אני מדבר על Oink), תקרא את אחד המאמרים של Zerith מאחד הגליונות הראשונים, על Manual UnPacking ואולי תצליח למצוא את את השם המקורי!
24.08.2010 20:19:31

#35 

TheLeader (אורח):
נראה שאתר ההורדות של Kaspersky נפגע גם הוא:
http://din.gy/SNLEh
20.10.2010 22:20:07

#36 

cp77fk4r:
לחבר'ה האלה יש הומור בריא ;)
21.10.2010 08:11:57



הוסף את תגובתך:
כינוי:
תגובה:
קוד אבטחה:
העתק לכאן את הקוד:
 
Digital Whisper © 2009 - 2014 - כל הזכויות שמורות ל-אפיק קסטיאל ול-ניר אדר.