Analisi Antivir dei sources web generati dal tool Autoit Webscanner

Premetto che non si tratta di un post per testare l'efficienza di uno specifico antivirus rispetto ad altri, ma si tratta piuttosto di un particolare utilizzo di un noto, ed a mio parere, buon antivirus anche in versione free il cui nome risulta spesso presente ad esempio in reports Virus Total dove altri software AV di note aziende non compaiono.(tenendo sempre conto delle possibili differenti risposte di un Av quando eseguito in ambiente come quello di VT e con scansione on-line on-demand ).

L'utilizzo del tool Webscanner creato in Autoit per scaricare i sorgenti delle pagine web da un elenco di indirizzi ottenuto con un reverse IP, e' certamente utile per poter analizzare grosse quantita' di source di html che sarebbe molto difficoltoso scaricare manualmente.

Basti pensare che in circa due ore e mezza di 'lavoro' il tool Webscanner a scaricato quasi 5.000 sorgenti di homepage in formato testo relativi ai possibili domini colpiti da inclusione di javascript offuscato Torpig ed analizzati nel post precedente.

A questo punto, essendo disponibile gratuitamente in rete il noto antivirus Avira AntiVir Personal FREE ho voluto testarne il comportamento scansionando i folder contenenti i sorgenti html in formato txt risultanti da una scansione webscanner.

Ecco i risultati che si dimostrano in linea con quanto ottenuto ricercando manualmente la stringa relativa allo script java offuscato nei sources delle pagine scaricate





Il numero dei siti compromessi trovato e' praticamente lo stesso di quello ottenuto analizzando manualmente i sources delle pagine e dimostra come in questi casi l'uso di un antivirus possa aiutare, chi naviga in rete, ad individuare eventuali siti compromessi e diventati pericolosi a seguito di attacchi.

Edgar

Siti it compromessi da torpig script; nuovi siti ed anche gia' colpiti su server Aruba, poi bonificati e che ritornano compromessi

I reports presentano questa volta in chiaro le urls dei siti coinvolti per permettere a chi li amministra e visitasse il blog di esserne informato e provvedere alla loro bonifica.

Ricordo che si tratta di script probabilmente attivi e quindi pericolosi e che vanno analizzati solo prendendo tutte le precauzioni del caso.(sandboxie, pc virtuale, noscript ecc....)

Mi pare inoltre utile riportare un avviso presente su www.malwaredomainlist.com che riassume i pericoli per chi visitasse i siti proposti NON essendo a conoscenza del problema :

WARNING: All domains on this website should be considered dangerous. If you do not know what you are doing here, it is recommended you leave right away. This website is a resource for security professionals and enthusiasts.

Il cui significato possiamo riassumere in

ATTENZIONE: Tutti i domini elencati nel presente post devono essere considerati pericolosi. Se non sai cosa stai facendo, evita di aprire le pagine linkate. Questo sito web e' una risorsa per i professionisti e gli appassionati di sicurezza Internet.
--------------------------------------------------------------------------------------------------

Sembra che la compromissione di siti IT attraverso l'inclusione di script offuscati malevoli del genere Torpig sia sempre presente.

Ecco ad esempio alcuni siti IT hostati su

che hanno incluso nella homepage codice javascript offuscato del genere Torpig

Si tratta sia di nomi di dominio acquisiti da elenchi aggiornati di siti compromessi presenti in rete , integrati con una scansione dei risultati di un reverse IP (che comunque potrebbe essere incompleto come elenco di url su quel server) attraverso il tool Webscanner.

ed anche

Questa una delle homepages colpite

dove possiamo notare il collegamento a Twitter utilizzato per generare un nome di dominio malevolo variabile come descritto in questo precedente post

Come possiamo notare, il nome di dominio generato a cui linkare chi visitasse il sito colpito, e' in linea con quello creato dal tool online http://www.unmaskparasites.com/security-tools/torpig-domain-generator.html

Per completezza c'e' da sottolineare che in percentuale il numero di siti con incluso il codice java Torpig sull'IP esaminato ora, rispetto al numero totale dei siti analizzati presenti nella lista di reverse IP, risulta estremamente basso (elenco di reverse IP composto da 4.608 indirizzi web per un totale di una decina di siti compromessi)

Prendiamo ora in esame segnalazioni Torpig precedenti:

Ricorderete senz'altro la notizia, a gennaio, della presenza su decine di siti compromessi hostati su server Aruba di un codice javascript offuscato (Torpig) ed anche del buon numero di siti compromessi rilevati in data 5 marzo (sempre IP Aruba) che facevano pensare ad un nuovo episodio di inclusione di codici pericolosi.

Una analisi odierna del medesimo elenco utilizzato il 5 marzo mostra un particolare risultato che vede i siti listati nel report precedente bonificati ma, in compenso, nuovi siti che parrebbero colpiti e che non risultavano nel report precedente.

Inoltre anche siti che erano presenti nei report a dicembre poi bonificati ritornano con lo script offuscato incluso nella home.

E' il caso ad esempio di harrdito(dot)it positivo a dicembre, poi risultato bonificato nell'analisi del 5 marzo e adesso nuovamente con script incluso

Una delle spiegazioni potrebbe essere quella di siti che bonificati ma nei quali una vulnerabilta' presente non e' stata adeguatamente risolta, nuovamente 'visitati' da chi pratica l'inclusione dei codici malevoli siano stati compromessi ancora una volta.

Edgar

Fake AV distribuiti da ricerche in rete sugli attentati a Mosca e pagina particolare di falsi filmati (Moscow subway explosion SEO)

Come era prevedibile, la notizia degli attentati di ieri alla metropolitana di Mosca, e' stata subito utilizzata in rete , per attuare le consuete pratiche di blackhat search engine optimization (SEO).

Una odierna ricerca porta infatti a questi risultati:

dove possiamo distinguere almeno due differenti tipologie di utilizzo.

Si tratta in genere di siti compromessi che fungono o da redirect a sito di fake av ma anche hostano direttamente un eseguibile malware, in genere falso AV.

Vediamo alcuni dettagli

Questo un falso scanner AV, linkato attraverso redirect, quando clicchiamo sul risultato della ricerca

e che propone un eseguibile visto da VT come


Una differente tipologia di utilizzo dei risultati della ricerca vede invece direttamente coinvolti siti compromessi come in questo caso


(notate anche che si tratta anche di sito HTTPS ad aumentare, se vogliamo, la parvenza di autenticita' della pagina proposta)

In realta' il file proposto come codec da utilizzare per la visione del falso filmato, risulta essere

Una nota particolare merita inoltre questa tipologia di sito compromesso, che sembra ospitare una pagina di falso video, molto versatile come utilizzo.

Se esaminiamo infatti il codice sorgente possiamo vedere come siano presenti decine di righe di testo relative all'evento dell'attenta terroristico


ma cosa piu' interessante e' che il contenuto in questione sembra essere dinamicamente creato a partire dall'argomento proposto nella URL della pagina.

Se proviamo a passare una differente stringa di testo nell'indirizzo web della pagina (es. la stringa 'utilizzo di antivirus') notate come , non solo abbiamo ora una pagina di falso av che propone titolo e link con il testo che abbiamo incluso nella url

ma anche come il source contenga ora decine di righe di testo relative all'argomento digitato nella url

Per effettuare una ulteriore verifica del funzionamento di questo interessante stratagemma, proviamo ad inserire nella url un testo riferito ad una notizia di attualita' italiana (elezioni regionali 2010)

ed ecco il source corrispondente (decine di righe di testo relative all'evento elettorale)

E' probabile che questa tecnica consenta, attraverso una ricerca in rete dei termini digitati in url, di costruire un source dai contenuti ottimizzati al fine aumentare le possibilita' di SEO, garantendo una maggiore visibilita' della pagina e quindi dei possibili links a file malware , fake av ecc....

Edgar

Phishing PosteIT (28 marzo)

Ritorna il bonus Poste.It questa volta con sito di phishing che sfrutta un dominio .LI (Liechtenstein )

La mail utilizza un layout ricco di immagini jpg e png per proporre loghi ed altro in unione al testo del messaggio.

Una analisi della provenienza delle immagini in mail rivela l'uso di un server tedesco per hostare differenti contenuti

tra cui un testo completo di loghi gia utilizzato in layout di mails di phishing.

ma anche

ecc...

Come si puo' notare, anche dalla presenza di loghi di altri istituti bancari, e' probabile che questa raccolta di jpg e png sia stata utilizzata (o lo sara') per phishing ai danni non solo di PosteIT

Il sito di phishing con whois

presenta un layout non recente, come si puo' notare anche dalle date dei files che ne compongono la struttura:

Edgar

Pagine incluse in siti IT (nuovi e vecchi siti)

Continua intensa l'inclusione di pagine all'interno di siti legittimi per creare il maggior numero possibile di links attraverso i risultati di ricerche in rete.

Questo un aggiornamento della situazione relativa all'inclusione di fake blogs su siti IT hostati su server UK (gia' ampiamente documentata in precedenti posts)

Come vediamo da questa ricerca odierna

ci sono numerosi siti 'aggiornati' da poche ore, mentre alcuni sono ora, anche riconosciuti da Google come possibile fonte di problemi se visitati.

Si puo' anche notare come le pagine di blog fake siano create attingendo a differenti nomi di personaggi tv popolari, anche in Italia, come in questo caso (data odierna)

Inutile dire che eseguendo una ricerca in rete, la pagina vista ora e' indicizzata ai primi posti, anche se fortunatamente viene indicata come pericolosa dal motore di ricerca.


Tra l'altro molti dei siti trovati presentano homepages e pagine interne legittime aggiornate,

dimostrando di essere attivi e non 'abbandonati' dopo la loro creazione.

Il fatto che comunque non vengano bonificati da chi li amministra si spiega sia perche' Google blocca (giustamente) la pagina pericolosa ma non la home del sito e quindi non risulta evidente il problema ma anche perche' chi gestisce il sito colpito attualmente presta solo attenzione ad aggiornarne i contenuti senza verificarne eventuali inclusi in maniera nascosta.


Nella pagina e' presente un link a sito con whois

che provvede, tramite javascript

a redirigere su questo fake AV

e relativo eseguibile

Anche in questi casi e' presente un riconoscimento dell'IP del visitatore.


Altro genere di inclusione di pagine e' attualmente questo (ogni giorno una ricerca segnala nuove url)


Si tratta di layout simile a quelli gia' visti nei giorni scorsi con javascript debolmente offuscato


che redirige ad esempio su questo sito bielorusso


In questi casi i siti colpiti sono, a quanto risulta da una ricerca, sempre appartenenti a nuovi indirizzi web e non come nel caso di quelli su server UK, sempre i medesimi anche a distanza di mesi.

Questa la struttura di un sito colpito relativamente ai contenuti inclusi:

Edgar

Siti .IT compromessi (aggiornamento 27 marzo)

La quasi totalita' dei siti hostati su

tra cui questo su dominio .IT, presentano questa mattina ora thai una pagina inclusa con questo layout
Ecco un report webscanner dei numerosi siti colpiti:


Alcuni siti su

hanno invece la homepage sostituita da


Edgar

Siti .it compromessi (aggiornamento 26 marzo)

Un buon numero di siti su server di noto hoster IT

presentano questa mattina, ora thai, una pagina inclusa con questo layout

Ecco un report webscanner dei siti colpiti:

Edgar

Segnalazione Guasti (particolari..............)

Questa la homepage di sito comunale italiano , che dimostra dalle date presenti, che si tratta di sito attualmente attivo.

Sfortunatamente pare che un'area del sito relativa ai servizi on-line, linkata in homepage, sia stata forse dimenticata da chi dovrebbe verificarne il corretto utilizzo

Capita cosi' che la parte del sito dedicata alle segnalazioni, piu' precisamente nel link alla sezione si parla di 'Segnalazione guasti', sia diventata un'area si' di segnalazioni, ma di link porno di tutti i generi


e come si nota, evidentemente non sono sono segnalazioni 'in corso di valutazione' ma comunque continuano ad essere postate con una certa frequenza


Per completezza c'e' da dire che i link presenti parrebbero comunque al momento non funzionare in quanto il sistema automatico che provvede a scaricare sul sito le migliaia di 'segnalazioni porno' non riesce ad associare al testo il relativo link, rendendo di fatto non raggiungibile la pagina proposta.

Si tratta in ogni caso, di una pratica molto diffusa che consiste nel mettere online links utilizzando guestbooks o come in questo caso pagine dove comunque sia possibile editare testo attraverso una connessione internet e che rappresenta una buona opportunita' per chi cerca di proporre links, quasi sempre a pagine dubbie o peggio fake AV o malware

Resta il fatto, che un sito, tra l'altra dal layout molto curato e ben fatto, sia vittima di questa situazione che coinvolge un servizio online, che potrebbe invece essere utilizzato per 'reali' segnalazioni da parte dei cittadini.

Edgar

Siti it compromessi (aggiornamento 23 marzo)

Un buon numero di siti hostati su

presenta questa mattina ora thai una pagina inclusa con questo layout

Ecco un report webscanner dei siti colpiti:

Esaminando il source della pagina, si puo' notare come l'hacking coinvolga sempre ampiamente anche siti governativi di differenti nazioni.

Come si vede la prima immagine sulla pagina e' in realta' quella presente su sito compromesso su dominio cinese governativo e di cui vediamo un whois


e un dettaglio della home

La seconda immagine e' invece hostata su sito USA compromesso, anche in questo caso governativo,con whois

e homepage.

Se non bastasse, sempre nel codice della pagina di hacking c'e' un link a file musicale , hostato su sito .BR, compromesso.

Edgar