10:18
17/8/2010

Widżet należący do popularnej w U.S.A. firmy Network Solutions oprócz “oceny sukcesu naszego biznesu” serwował także malware za pomocą ataku drive-by-download…

Znów sprawka Chińczyków?

5 milionów zaatakowanych stron — czy aż tak popularny był ten widżet? Nie do końca… Jego świadomych instalacji było niewiele ponad 5 tysięcy, jednak domyślnie pojawiał się na wszystkich domenach zaparkowanych na serwerach Network Solutions — a to w sumie daje okrągłe 5 milionów zainfekowanych stron.

Atakujący korzystali z darmowych statystyk (51.la i cnzz.com) do pomiaru zakresu swoich ataków — oba serwisy są popularne prawie wyłącznie w Chinach

Jak doszło do włamania?

Na serwer na którym znajowały się skrypty widżetu, dzięki błędowi w skryptach strony WWW, ktoś wstrzyknął web shella o nazwie r57 i przy jego pomocy dodał złośliwy kod do widżetu. Tego typu scenariusze ataków ćwiczymy na naszych szkoleniach z atakowania i ochrony webaplikacji.

Web shell w użyciu

Kilka linków, na które przekierowywał kod widżetu:

http://96.30.16.216:8037/exemple.com/, malicious code
http://96.30.16.216:8037/exemple.com/error.js.php, malicious code
http://208.86.153.68:8067/exemple.com/load.php?spl=mdac, malicious code
http://96.30.16.216:8037/exemple.com/?spl=2&br=MSIE&vers=6.0&s=, malicious code
http://96.30.16.216:8037/exemple.com/error.js.php, malicious code
http://96.30.16.216:8037/exemple.com/992.jar
http://96.30.16.216:8037/exemple.com/cbe.jar

Jeśli ktoś z was zamierza pokusić się o analizę tego malware’u, to musicie wiedzieć że złośliwy kod serwowany jest danemu IP tylko raz, a malware ma wbudowany moduł ochrony przed popularnymi silnikami do analizy złośliwych skryptów (jsunpack i wepawet).

Network Solutions obecnie zablokował stronę z kodem widżetu.

A Ty? Jakie masz widżety?

Wszystkim miłośnikom widżetów i “wklejek” sugerujemy zwrócenie uwagi co zawierają i do kogo należą skrypty i kod HTML, który umieszczacie na swoich stronach.

Kiedyś na Niebezpieczniku rozważaliśmy pokazywanie w sidebarze informacji związanych z bezpieczeńtwem IT zasysanych z zewnętrznych źródeł — odeszliśmy jednak od tego pomysłu, bo podczas analizy ryzyka przedyskutowaliśmy dokładnie taki przykład ataku jak ten, który stanowi myśl przewodnią tego wpisu: właściciel źródła, które automatycznie cytujemy celowo umieszcza złośliwy wpis.

P.S. Żeby być superbezpiecznym pod kątem wstrzyknięcia złośliwego kodu na swoją stronę, należałoby również usunąć skrypty statystyk i reklam Google oraz wklejki PayPala — pytanie, czy to naiwne założenie, że te dwie firmy lepiej dbają o bezpieczeństwo niż Network Solutions i że ataki “wstrzyknięcia złośliwego kodu” im się nie przydarzą?

Przeczytaj także:


8 komentarzy

Dodaj komentarz
  1. Równie dobrze można pozbyć się wszelkiego softu nie napisanego przez siebie.

    Analizowanie każdego nieswojego programu/skryptu mija się z celem, bo już szybciej sobie to samemu napisać.

    • Raczej chodzi o kontrole tych części uzywanego przez Ciebie softu, które ktoś może zdalnie (bez Twojej wiedzy) aktualizowac ;) (btw, automatyczne aktualizacje to nie zawsze dobry pomysl, patrz wpadka mcafee)

  2. Nie znoszę wszelkiego typu widżetów, gadżetów, społecznościowych „lubiejek”, „wykopek” i innego świństwa. Tnę wszystko adblockiem i – jak widać – również ze względów bezpieczeństwa słusznie.

  3. @Piotr Konieczny
    A jaka jest różnica w bezpieczeństwie między niesprawdzoną częścią softu a całym niesprawdzonym softem?

    • Znów źle zadałeś pytanie ;) oczywiście, niesprawdzony kod to ryzyko, ale my tu o kodzie, który sam się aktualizuje…

    • Kontynuując, bo mi wcielo fragment komentarza, nie zawsze opłaca się pisać własny software (bądź robić czasochlonny code review) — nie mówiąc już o tym, ze czasem nawet nie ma takiej możliwości, zamknięte źródła, licencje, logika aplikacji poza naszym obszarem kontroli ;)

  4. @Jurgi Filodendryta
    mógłbyś udostępnić te wpisy z adblocka?

  5. zamknięte źródła, licencje,
    logika aplikacji poza naszym obszarem kontroli
    Trzeba było od razu napisać “Wyrzućcie Windowsa bo to system szpiegowski”

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: