Vrând-nevrând continui seria articolelor despre securitatea pe web, subiect care spuneam că ne va preocupa în 2008 ceva mai mult decât în anii trecuți. La finele lui 2007 a început să se propage pe Internet (cam 10.000 de site-uri au estimat experții, și asta numai în US, la nivel mondial cifra fiind substanțial mai mare) un progrămel interesant. Cum se manifestă acesta la nivel de utilizator ? Ei bine, un fișier Javascript încearcă descărcarea unui software executabil de Windows – dacă internautul dă click “ok” din reflex sau “din principiu” atunci când i se propune execuția, acesta se va instala frumușel pe sistem. Remarcabil este că softul cu pricina nu este un malware propriu-zis, fiind doar un soi de “avantgardă”. Proaspăt instalatul program va căuta atent sistemul gazdă, uitându-se după breșe care pot fi exploatate pentru a-l lua în stăpânire după care downloadează strict “uneltele” de care are nevoie pentru a se încrusta solid pe gazdă. Softurile sunt scrise după toate regulile artei și se actualizează periodic de pe o rețea relativ masivă de servere aflate toate în Statele Unite în diferite locații. Procesul de “actualizare” asigură că vei avea întotdeauna pe sistemul infectat cea mai nouă versiune de malware, cât mai greu de detectat de softurile antivirus. Remarcați că aidoma cercetătorilor de securitate care studiază troienii, și autorii acestor troieni studiază (într-o “reciprocitate” oarecum hazlie) softurile antivirus de pe piață. Astfel, ei “oferă” continuu upgrade-uri pentru a scăpa nedetectați. Autorii au lucrat ca la carte și se vede că nu discutăm despre un student plictisit din Regie, ci de oameni care fac din această activitate meseria lor de bază.
Mai departe, este clar ce se întâmplă. Parole, numere de card, documente, emailuri, contacte sunt trimise pe o rețea de servere, altele decât cele de suport ale infecției dar situate tot în Statele Unite în multiple locații (Dalas, Chicago, San Diego, etc). Tot spre aceste servere se trimit informări periodice, rapoarte de execuție, statusuri într-un mod foarte metodic și profesionist. Încă o dată se vede nivelul ridicat de tehnicitate și de organizare al autorilor.
Lucru destul de inedit, speciali?tii de la SANS (SysAdmin, Audit, Network, Security) Institute se văd puși în situația de a cere ajutorul publicului pentru a clarifica modul în care softul se propagă si funcționează pe serverele web. La ora actuală, se știe doar că atât Javascript-ul cât și executabilul “avantgardă” sunt generate și obfuscate pe loc (pentru a deruta antivirușii care scanează traficul web), aceste fișiere (aparentă) nefiind stocate undeva pe serverul infectat. Teoria este că mecanismul de răspândire este destul de sofisticat și implică exploatarea uneia dintre vulnerabilitățile (cunoscute au ba) la nivel de server Linux+Apache. Practic asistăm la o premieră, un malware care nu se mulțumește să modifice site-ul penetrat și să adauge câteva fișiere, ci se instalează ca modul de server web, făcând detecția și dezinfecția aproape imposibile pentru un novice. Repet, este doar o teorie, la ora actuală nu se știe precis cum se propagă această infecție pe servere. și nu orice servere, până și unul din subdomeniile site-ului Universității din Berkeley (bgess.berkeley.edu) a fost detectat ca găzduind un astfel de monstrișor. Cine are habar câte din site-urile mai obscure românești (multe găzduite pe hostinguri ieftine de pe servere din US) oferă ca supliment o mică infectare ?
Mai multe detalii la Finjan Software, cei care au descoperit întâmplător toată tărășenia.
Tot o premieră din domeniul infracțiunii pe Internet, nu este vorba de site-uri de această dată ci de ceva mult mai grav. Zilele trecute CIA au confirmat oficial apariția unui nou trend infracțional care mizează pe securizarea în general slabă a sistemelor informatice de la firmele de utilități (distribuție de apă, curent electric, gaze). După penetrare, atacatorii solicită de la firmele administratoare ale utilităților sume de bani consistente pentru a preda controlul serverelor. Pentru a fi mai convingători, ei fac mici demonstrații concrete – CIA a confirmat că mai multe pene de curent au fost semnalate ca fiind parte a unor astfel de acțiuni de șantaj.
La final, să reamintim că se apropie Valentine’s Day și că “producătorii” de malware și viruși vor profita pentru a lansa un val de infectări via spam și site-uri false de felicitări, inimioare, floricele și alte cântecele. Veți primi destul de multe emailuri de iubire și nu numai – în limba engleză au ba – cu linkuri, atașamente, pozulețe frumușele numai bune de clickuit. Să fiți iubiți, dar atenție pe ce dați click și ce instalați de Valentine’s !
Am dat si eu de o problema similara si m-am prins cum se instaleaza scripturile de javascript. Folosesc mici exploituri cu care verifica daca diferite scripturi de php sau alte chestii au diferite vulnerabilitati. Folosesc asta ca sa poata scrie in directorul lui apache, si de acolo e mai usor. Daca sap pot sa gasesc loguri despre asa ceva pe serverul nostru.
@Diana: este un link in articol spre blogul lui Bojan Zdrnja (http://isc.sans.org/diary.html?storyid=3864), acolo ai datele de contact.
Spune el: “Another interesting thing is that the binary seems to be repacked on the compromised system as well. I pulled couple of binaries from different clients and every time received a different sample (and AV detection was pretty poor).
Two main questions are still not answered here: how do those servers get initially compromised and what kind of server side application do the bad guys install?
There has been a lot of speculation about server side stuff. Some sources claim that compromised servers are running a rootkit and an evil Apache module that does this JavaScript injection and random file generation on the fly.
So a call for samples/logs/packets – if you have access to one of the compromised servers we would appreciate any information that can help resolving this.”
Dar, esti sigura ca e vorba de troianul cu pricina ? Scannere de vulnerabilitati PHP/IIS/SQL injection/others sunt cu tonele. Aici vorbim de modificari majore efectuate pe sistemele compromise si nu doar pe fisierele servite.
Am studiat ceva timp tehnicile de exploatare a gaurilor care apar in site`uri si vreau sa spun ca la inceput observam ca se rezolva totul prin patch`uri si update`uri ale scripturilor sau codului utilizat la crearea acelui website. Din pacate numarul paginilor infectate si sparte a crescut, mai ales cele care fac obiectul unor infrastructuri gen utilitati si servicii bancare, financiare. Raspunsul la tot ce se intampla de la un timp de vreme este relativ simplu. Pasionatii de crypting, cracking, si asa mai departe folosesc softuri create de “minti luminate” ale informaticii pe care le modifica ( ex: SINner RAT, C99 & R57 PHP Shells, Poison Ivy , SQL Injectors, RubyRAT, fud Crypter s.a.m.d ) toate bazandu-se pe principiile: LFI = local file included sau RFI = remote file included. Sunt multe de spus….cautati si veti gasi raspunsurile:)
Toate cele bune.
Eu am mai multe site-uri gazduite pe FreeBSD/Apache/PHP. Sunt interesat sa aflu mai multe informatii despre acest subiect. In primul rand, cum detectez atacul descris in articol ?
Nu imi fac griji pentru mine, ci pentru oamenii care vin la mine pe site-uri. Eu am lasat demult grijile astea in spate deoarece lucrez pe un sistem Linux Ubuntu 7.10.
Este greu de detectat pentru ca odata “servit” scriptul unui IP, acesta este scris in memorie pe serverul infectat si pentru o perioada de cateva ore victima va vedea site-ul “curat”.
Cel mai simplu cred ca este sa te conectezi pe un site, o data in 3-4 ore, pe aceeasi pagina, de pe 2 IP-uri si sa faci un diff intre paginile servite. Daca este pus in evidenta un nume de script diferit de la o sursa la cealalta bingo ! infectat.
Nu-i banal sa te prinzi.
Acum ceva vreme, nu stiu in ce mod, am reusit sa ma infectez cu un fel de rootkit pe un winxpsp2 ce nu il detecta decat nod32, asta dupa ce am reusit sa il fac vizibil.
Atat de avansate au ajuns programelele astea incat pot efectiv patchui kernelul. Odata ce se intampla chestia asta, nici un antivirus din lumea asta nu il mai poate nici macar detecta.
Sfatul meu este ca periodic sa se verifice integritatea fisierelor sistemului bootand de pe un cd cu un linux sau un windows pe.
Nu vad insa cat de practica este solutia asta pentru servere mari…
Deocamdat? povestea asta seam?n? cu a Elodiei. Nu exist? nici o dovadă, nimic concret, doar mult? vorb?rie care amestec? idei f?r? nici un fundament real și mult tam-tam din partea unor firme de “securitate” care vor s? vîndă softuri de inspecșie a traficului în timp real.
SANS vand doar certificari si traininguri si nu softuri de inspectie de trafic. Ma indoiesc ca s-ar agita degeaba in lipsa unor dovezi concrete, dupa cum ma indoiesc ca s-ar baga in vreo “conspiratie” de acest gen…
Adrian,
Am citit link-ul pe care mi l-ai dat si imi mentin parerea.
Este suficient sa poti sa injectezi un php ca sa modifici site-ul. Javascript-ul este generat de un php. Am uitat sa precizez, injectia de php se bazeaza pe includerea de module de php gresit (adica gigi.php include mumu.php pentru ca vine o variabila numita mumu intr-un parametru, si nu se verifica ca mumu nu este http://ceva). Asa ca avem urmatoarea situatie:
1. php pe server injectat
2. modifica site-ul initial ca stie la ce sa se astepte si pe unde sa includa ce.
3. genereaza javascript custom pentru masina aia
4. infecteaza vizitatori site-ului
Dracia nu are nevoie sa sparga serverul, drepturile de nobody sunt suficiente.
Apropo eu m-am prins ca am avut problema cu serverul ca idiotul care a intrat s-a apucat sa foloseasca un script de flood, si mi-a infundat reteaua
Diana
P.S. Eu spun doar de ce m-am lovit, nu stiu exact de s-au lovit autori avertismentului.
Apropo, noi am avut problemele astea in vara lui 2006. Atunci am introdus in biblioteca noastra de php protectie
Cum adica ai “introdus protectie” ? Ce vrei sa spui cu asta ? Ai setat drepturile de executie cu “chmod” ?
Si eu am introdus la mine pe servere un circuit energetic cu protectie activa dinamica per IP. Merge de minune.
PS: Am glumit mai sus. Cand dai detalii tehnice incearca sa lasi deoparte cuvinte magice gen “protectie”.
Pingback: cum sa ti se stearga windows ul sinur? - Computer Games Forum
Razvan,
Eu fac vanzari nu sunt programator, ca atare cuvinte de genul protectie sunt potrivite. Pe scurt o mica verificare a parametrilor, inainte de includere.
Vezi acum la ce m? refer? De genul ?sta de comentarii e plin Web-ul cu referire la aceast? presupus? problem? de securitate.
Dac? experșii nu se agit? degeaba atunci o s? apar? ceva concret. În momentul de față nu e nimic clar. Metodele sau mijlocul de propagare pot fi orice. Nu au rost discuțiile în aceste condiții.
@diana: nu s-au gasit surse modificate pe serverele infectate, deci nu se intampla ceea ce spui tu – pasii descrisi de tine corespund unor atacuri “clasice”.
@Skippy: ceea ce nu inseamna neaparat ca este un hoax !
PS am inceput deja sa primesc Valentine spam
care trece de filtre. Oh, joy, sa te tii in vreo 10 zile…