Siete sicuri che il vostro sito web non sia infetto?
Sembra che la nuova moda del momento sia quella di attaccare i siti web, compromettendoli e lasciandoci un javascript offuscato o un iframe che possa reindirizzare i browser in altri lidi non troppo affidabili.
Abbiamo parlato tempo addietro di Mpack e di come migliaia di siti web italiani siano rimasti vittima di un attacco sferrato secondo modalità ancora sconosciute. Ciò che è interessante è che, come già visto su queste pagine, l’attacco ad Aruba non è stato il primo ma almeno altri due hosting provider sono caduti vittima di attacker, i quali hanno iniettato codice malevolo all’interno dei siti ivi ospitati.
Il trend degli ultimi mesi sembra sia questo: compromettere i siti web iniettando codice malevolo. Cosa, dunque, riguardo una delle regole più vecchie riguardo la sicurezza online: “non navigare in siti sconosciuti, solo se navighi su pagine conosciute e sicure sei salvo“? Ok, diciamo che questa regola al momento può essere oggetto di alcune critiche.
Siti web ben noti e affidabili sono stati compromessi, un esempio è il sito web ufficiale di una famosa cantante italiana o, fatto di questi giorni, un famoso sito che approfondisce l’argomento rootkit.
Il punto comune è sempre il solito: il codice malevolo redirige a siti web contenenti una serie di script utilizzati per tentare exploit al fine di trasmettere malware all’interno dei sistemi vittima.
Oltre a compromettere direttamente i siti web, si era diffusa un’altra moda: la creazione di pagine web fittizie ben indicizzate dai motori di ricerca in modo tale che potessero apparire praticamente in ogni ricerca fatta dagli utenti. Poi, dalle pagine web fittizie, si arriva - come detto sopra - a siti web contenenti exploit.
Moda quest’ultima ben conosciuta dagli utenti italiani e, in generale, dall’intera utenza mondiale. È stato il vettore principale di infezione del rootkit Gromozon, è stato il vettore principale di infezione del rootkit DialCall.
Riconoscere quest’ultima infezione era ed è relativamente facile perché fa spesso riferimento allo stesso range di IP. Un’infezione particolarmente dannosa perché spesso installava nei pc attaccati il rootkit Rustock, la cui routine di spam ha preso parte attiva al sovraccarico dell’intera Internet italiana.
Ora abbiamo visto che le vecchie abitudini si sono unite alle nuove, cioè siti web compromessi che reindirizzano ad un’infezione Rootkit.DialCall.
Il sito web della famosissima cantante italiana Carmen Consoli è stato infatti compromesso ed è stato inserito nella home page un iframe che punta ad un sito web esterno.
Dopo che il sistema, non correttamente aggiornato in termini di sistema operativo e software, è stato attaccato con successo, un eseguibile con nome casuale viene installato nel sistema. Una volta eseguito, il malware si copia all’interno della directory di Windows come svchost.exe (attenzione, il malware si trova all’interno di ?:\WINDOWS\ e non all’interno di ?:\WINDOWS\SYSTEM32; quest’ultima, infatti, contiene la copia legale del file svchost.exe di Microsoft). Un’altra dll viene installata nella directory di Windows, denominata svchost.dll, con funzioni di rootkit user mode. Il codice della dll viene iniettato nei processi attivi in modo tale che il processo svchost.exe e alcune chiavi di registro siano nascoste.
Gli hook vengono effettuati attraverso la tecnica dell’inline hooking, modificando i primi bytes della funzione all’interno di ntdll.dll e inserendo l’istruzione push insieme all’indirizzo che punta al codice del rootkit. Le funzioni intercettate sono ZwQuerySystemInformation, ZwEnumerateKey, ZwEnumerateValueKey.
Svchost.exe, immediatamente dopo, tenta di scaricare dallo stesso indirizzo IP usato dall’iframe un altro file. Il file, con estensione .txt, è in realtà un file criptato che contiene informazioni utili al malware per scaricare altre componenti dell’infezione. Una volta decodificato, il malware ottiene dal file gli indirizzi corretti.
Pa_0111.exe è un dialer studiato appositamente per il traffico italiano, prova infatti ad effettuare chiamate verso numeri a pagamento con prefisso 899. La società assegnataria del numero di telefono è Teleunit S.p.A. Se il dialer trova un modem 56k crea una connessione denominata Service e una messagebox potrebbe comparire se la connessione non viene effettuata correttamente. Altrimenti, il dialer apre una pagina web a sfondo sessuale dove le persone sono invitate a chiamare un numero 899 per ottenere le credenziali di accesso.
Spoolsv32.exe mesi fa era utilizzato per installare il rootkit Rustock nel sistema ma, saltuariamente, installava un adware come BHO (Browser Helper Object). È quest’ultimo il caso attuale, un adware viene installato come BHO all’interno della chiave di registro:
HKEY_CURRENT_USER\clsid\{58fb2cbb-c874-45fc-a1c9-b62cc9e3bed9}
Al momento tutte le componenti di questa infezione sono individuate e rimosse da Prevx 2.0. Tuttavia questa tipologia di attacco è ben conosciuta da mesi, soprattutto in Italia, ed è particolarmente variabile. I laboratori di ricerca Prevx hanno registrato diverse varianti di questa infezione, varianti che utilizzano spesso nomi differenti e leggere modifiche del codice.
Abbiamo contattato lo staff del sito web attaccato e, al momento della stesura di questo articolo, l’iframe era ancora presente. Essendo una cantante famosa, considerando quanta gente navighi ancora in Internet senza le adeguate protezioni e senza software aggiornati ma, soprattutto, quanta gente non abbia ancora una connessione a banda larga, i danni di questa infezione possono essere, parlando in termini di denaro, particolarmente evidenti.
In generale, tuttavia, è interessante vedere come l’Italia sia sempre più considerata come una palestra di allenamento per attacker informatici. Diversi hosting provider sono stati attaccati, migliaia di siti web sono stati modificati - inclusi siti web di due famosi cantanti italiani. Sembrerebbe che qualcosa dal punto di vista della sicurezza debba essere rivisto da chi offre un servizio, siano essi hosting provider o semplici webmaster che si dilettano nel mettere online propri server.
Nel caso di un attacco quale quello sopra descritto, non si tratta più di un problema esclusivo dell’hoster o del webmaster che si è visto compromettere il proprio lavoro, diventa un problema reale per ogni utente del web, il quale è sicuro di navigare in un posto sicuro ma rischia di vedere il proprio pc infettato da qualche malware.
Siete sicuri che il vostro sito web non sia infetto?
Alessandro Recchia
Luglio 29th, 2007 at 08:26
Ciao Marco. Il caso “antirootkit.com” è in effetti emblematico. Fa specie vedere coinvolto, suo malgrado, in questa vicenda un sito tanto impegnato sul fronte sicurezza e rootkit.
suc
Luglio 29th, 2007 at 09:32
Alla faccia di chi diceva che linux era sicuro! Tutti questi siti compromessi girano sotto linux.
Teliqalipukt
Luglio 29th, 2007 at 21:04
Marco perdona l’ot, ma non posso non farti i “complimenti” per la foto alla rambo che hai messo.
Ti chiameranno Marco Balboa..
m4v3rick
Luglio 30th, 2007 at 03:23
Parole sante. Del sito di Carmen Consoli me ne sono accorto perche’ un tizio aveva consigliato la lettura del mio blog sul forum di discussione dei fans.Me ne sono occupato subito. La situazione è disastrosa. Hai visto quanti siti infetti ci sono ancora su Hosting Solutions? L’attacco non è recente.
Ed anche seeweb non scherza.
Certo che se questi hanno violato perfino il sito antirootkit.com
siamo veramente in un casino.
Adesso cominciano a partire le denuncie alla Gat ed alla polizia postale.Quando è troppo è troppo
P.s. I siti di colpiti su seeweb giravano sotto linux
Sbronzo di Riace
Luglio 30th, 2007 at 10:13
Così si spaventano anche quelli di gromozon e compagni di merende vari
daniele_dll
Luglio 30th, 2007 at 13:19
@suc:
giusto un flame ci voleva, altrimenti non si stava tranquilli
Dato che non ti informi e non ti acculturi, ti faccio notare delle cose che probabilmente non hai considerato:
- linux è un software, e come tale soggetto a bug, bug che tutti i software hanno … chi più chi meno
- il numero di bug non è rilevamente, è invece importante in quanto tempo questi vengono fixati
- il fatto che l’hoster usasse linux non vuol dire che linux ne sia il responsabile, dato che sopra a questo girano i siti web che, per l’appunto sono stati bucati. Se un sito web, a causa di un errore, fa scrivere sul disco e modificare file non vedo cosa ci colpi il sistema operativo, di qualsiasi tipo esso sia
@marco:
il reale problema è che in termini di sicurezza c’è il buoio completo per il 95% dei webmaster, e chi gestisce i server non bada molto a problematiche relative agli script web per quanto riguarda la sicurezza
antonio
Luglio 30th, 2007 at 18:04
chiacchiere!l’unica cosa da dire è che non si sara’ mai sicuri in rete,punto.il resto e’ aria fritta.
Ercolino
Luglio 30th, 2007 at 18:39
Ciao Marco il sito della Consoli risulta ancora compromesso ,vorrei sapere cosa aspettano a rimuovere l’IFRAME
sampei.nihira
Luglio 30th, 2007 at 21:25
Il sito di ANTIROOTKIT.COM anche se attualmente non è in linea risulta sempre infetto.
Infatti l’exploit è sempre presente funzionante e tenta di infettare il vostro sistema.
Quindi attenzione.
sampei.nihira
Luglio 30th, 2007 at 22:37
Adesso più nessun avviso.
probabilmente la minaccia è stata risolta e il sito sarà nuovamente on line in breve tempo
News su Carmen Consoli ?? Ebbene si c’è un iframe anche per lei !! « The Future Blog
Agosto 2nd, 2007 at 20:23
[…] «Il trend degli ultimi mesi sembra sia questo: compromettere i siti web iniettando codice malevolo»: così PcAlSicuro introduce l’ennesimo caso di un sito web infettato che diviene mina vagante per il web italiano. Non solo: trattasi dell’ennesimo sito dal nome altisonante, il che rende il pericolo oltremodo importante, aggravato ulteriormente dal fatto che in giorni di pubblica notifica nessuno vi abbia ancora messo mano. […]
.:!TuxSoul!:. Mind » C’è un iframe anche per Carmen Consoli
Agosto 24th, 2007 at 22:06
[…] C’è un iframe anche per Carmen Consoli Categoria: TuxSoul «Il trend degli ultimi mesi sembra sia questo: compromettere i siti web iniettando codice malevolo»: così PcAlSicuro introduce l’ennesimo caso di un sito web infettato che diviene mina vagante per il web italiano. Non solo: trattasi dell’ennesimo sito dal nome altisonante, il che rende il pericolo oltremodo importante, aggravato ulteriormente dal fatto che in giorni di pubblica notifica nessuno vi abbia ancora messo mano. […]
PC Al Sicuro » Blog Archive » Seeweb si unisce a Hosting Solutions e Aruba
Ottobre 10th, 2007 at 13:38
[…] L’infezione che ne deriva, in caso si utilizzi software non aggiornato, è la solita Rootkit.DialCall con sample aggiornati per evitare di essere individuati dai software antivirus. Il nuovo indirizzo IP utilizzato dai malware writer è 81.29.241.238, sempre appartenente allo stesso range degli indirizzi IP precedentemente utilizzati per la stessa infezione e facente capo al range generale 81.29.240.0/20 gestito da LLC GlobalWholesaleTrade. […]
Pericolo iframe: molti malware sono in siti ignari di tutto
Ottobre 12th, 2007 at 19:04
[…] Recendosi su uno di questi siti attaccati con antivirus poco aggiornato, c’è alto rischio di infezione da malware Rootkit.DialCall. […]
Seeweb si unisce a Hosting Solutions e Aruba « The Alexsandra Spaces
Ottobre 13th, 2007 at 23:26
[…] L’infezione che ne deriva, in caso si utilizzi software non aggiornato, è il solito Rootkit.DialCall con sample aggiornati per evitare di essere individuati dai software antivirus. Il nuovo indirizzo IP utilizzato dai malware writer è 81.29.241.238, sempre appartenente allo stesso range degli indirizzi IP precedentemente utilizzati per la stessa infezione e facente capo al range generale 81.29.240.0/20 gestito da LLC GlobalWholesaleTrade. […]