10:18
17/8/2010

Widżet należący do popularnej w U.S.A. firmy Network Solutions oprócz “oceny sukcesu naszego biznesu” serwował także malware za pomocą ataku drive-by-download…

Znów sprawka Chińczyków?

5 milionów zaatakowanych stron — czy aż tak popularny był ten widżet? Nie do końca… Jego świadomych instalacji było niewiele ponad 5 tysięcy, jednak domyślnie pojawiał się na wszystkich domenach zaparkowanych na serwerach Network Solutions — a to w sumie daje okrągłe 5 milionów zainfekowanych stron.

Atakujący korzystali z darmowych statystyk (51.la i cnzz.com) do pomiaru zakresu swoich ataków — oba serwisy są popularne prawie wyłącznie w Chinach

Jak doszło do włamania?

Na serwer na którym znajowały się skrypty widżetu, dzięki błędowi w skryptach strony WWW, ktoś wstrzyknął web shella o nazwie r57 i przy jego pomocy dodał złośliwy kod do widżetu. Tego typu scenariusze ataków ćwiczymy na naszych szkoleniach z atakowania i ochrony webaplikacji.

Web shell w użyciu

Kilka linków, na które przekierowywał kod widżetu:

http://96.30.16.216:8037/exemple.com/, malicious code
http://96.30.16.216:8037/exemple.com/error.js.php, malicious code
http://208.86.153.68:8067/exemple.com/load.php?spl=mdac, malicious code
http://96.30.16.216:8037/exemple.com/?spl=2&br=MSIE&vers=6.0&s=, malicious code
http://96.30.16.216:8037/exemple.com/error.js.php, malicious code
http://96.30.16.216:8037/exemple.com/992.jar
http://96.30.16.216:8037/exemple.com/cbe.jar

Jeśli ktoś z was zamierza pokusić się o analizę tego malware’u, to musicie wiedzieć że złośliwy kod serwowany jest danemu IP tylko raz, a malware ma wbudowany moduł ochrony przed popularnymi silnikami do analizy złośliwych skryptów (jsunpack i wepawet).

Network Solutions obecnie zablokował stronę z kodem widżetu.

A Ty? Jakie masz widżety?

Wszystkim miłośnikom widżetów i “wklejek” sugerujemy zwrócenie uwagi co zawierają i do kogo należą skrypty i kod HTML, który umieszczacie na swoich stronach.

Kiedyś na Niebezpieczniku rozważaliśmy pokazywanie w sidebarze informacji związanych z bezpieczeńtwem IT zasysanych z zewnętrznych źródeł — odeszliśmy jednak od tego pomysłu, bo podczas analizy ryzyka przedyskutowaliśmy dokładnie taki przykład ataku jak ten, który stanowi myśl przewodnią tego wpisu: właściciel źródła, które automatycznie cytujemy celowo umieszcza złośliwy wpis.

P.S. Żeby być superbezpiecznym pod kątem wstrzyknięcia złośliwego kodu na swoją stronę, należałoby również usunąć skrypty statystyk i reklam Google oraz wklejki PayPala — pytanie, czy to naiwne założenie, że te dwie firmy lepiej dbają o bezpieczeństwo niż Network Solutions i że ataki “wstrzyknięcia złośliwego kodu” im się nie przydarzą?

Przeczytaj także:

8 komentarzy

Dodaj komentarz
  1. Równie dobrze można pozbyć się wszelkiego softu nie napisanego przez siebie.

    Analizowanie każdego nieswojego programu/skryptu mija się z celem, bo już szybciej sobie to samemu napisać.

    • Raczej chodzi o kontrole tych części uzywanego przez Ciebie softu, które ktoś może zdalnie (bez Twojej wiedzy) aktualizowac ;) (btw, automatyczne aktualizacje to nie zawsze dobry pomysl, patrz wpadka mcafee)

  2. Nie znoszę wszelkiego typu widżetów, gadżetów, społecznościowych „lubiejek”, „wykopek” i innego świństwa. Tnę wszystko adblockiem i – jak widać – również ze względów bezpieczeństwa słusznie.

  3. @Piotr Konieczny
    A jaka jest różnica w bezpieczeństwie między niesprawdzoną częścią softu a całym niesprawdzonym softem?

    • Znów źle zadałeś pytanie ;) oczywiście, niesprawdzony kod to ryzyko, ale my tu o kodzie, który sam się aktualizuje…

    • Kontynuując, bo mi wcielo fragment komentarza, nie zawsze opłaca się pisać własny software (bądź robić czasochlonny code review) — nie mówiąc już o tym, ze czasem nawet nie ma takiej możliwości, zamknięte źródła, licencje, logika aplikacji poza naszym obszarem kontroli ;)

  4. @Jurgi Filodendryta
    mógłbyś udostępnić te wpisy z adblocka?

  5. zamknięte źródła, licencje,
    logika aplikacji poza naszym obszarem kontroli
    Trzeba było od razu napisać “Wyrzućcie Windowsa bo to system szpiegowski”

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.