17/8/2010
Widżet należący do popularnej w U.S.A. firmy Network Solutions oprócz “oceny sukcesu naszego biznesu” serwował także malware za pomocą ataku drive-by-download…
Znów sprawka Chińczyków?
5 milionów zaatakowanych stron — czy aż tak popularny był ten widżet? Nie do końca… Jego świadomych instalacji było niewiele ponad 5 tysięcy, jednak domyślnie pojawiał się na wszystkich domenach zaparkowanych na serwerach Network Solutions — a to w sumie daje okrągłe 5 milionów zainfekowanych stron.
Atakujący korzystali z darmowych statystyk (51.la i cnzz.com) do pomiaru zakresu swoich ataków — oba serwisy są popularne prawie wyłącznie w Chinach…
Jak doszło do włamania?
Na serwer na którym znajowały się skrypty widżetu, dzięki błędowi w skryptach strony WWW, ktoś wstrzyknął web shella o nazwie r57 i przy jego pomocy dodał złośliwy kod do widżetu. Tego typu scenariusze ataków ćwiczymy na naszych szkoleniach z atakowania i ochrony webaplikacji.
Kilka linków, na które przekierowywał kod widżetu:
http://96.30.16.216:8037/exemple.com/, malicious code
http://96.30.16.216:8037/exemple.com/error.js.php, malicious code
http://208.86.153.68:8067/exemple.com/load.php?spl=mdac, malicious code
http://96.30.16.216:8037/exemple.com/?spl=2&br=MSIE&vers=6.0&s=, malicious code
http://96.30.16.216:8037/exemple.com/error.js.php, malicious code
http://96.30.16.216:8037/exemple.com/992.jar
http://96.30.16.216:8037/exemple.com/cbe.jar
Jeśli ktoś z was zamierza pokusić się o analizę tego malware’u, to musicie wiedzieć że złośliwy kod serwowany jest danemu IP tylko raz, a malware ma wbudowany moduł ochrony przed popularnymi silnikami do analizy złośliwych skryptów (jsunpack i wepawet).
Network Solutions obecnie zablokował stronę z kodem widżetu.
A Ty? Jakie masz widżety?
Wszystkim miłośnikom widżetów i “wklejek” sugerujemy zwrócenie uwagi co zawierają i do kogo należą skrypty i kod HTML, który umieszczacie na swoich stronach.
Kiedyś na Niebezpieczniku rozważaliśmy pokazywanie w sidebarze informacji związanych z bezpieczeńtwem IT zasysanych z zewnętrznych źródeł — odeszliśmy jednak od tego pomysłu, bo podczas analizy ryzyka przedyskutowaliśmy dokładnie taki przykład ataku jak ten, który stanowi myśl przewodnią tego wpisu: właściciel źródła, które automatycznie cytujemy celowo umieszcza złośliwy wpis.
P.S. Żeby być superbezpiecznym pod kątem wstrzyknięcia złośliwego kodu na swoją stronę, należałoby również usunąć skrypty statystyk i reklam Google oraz wklejki PayPala — pytanie, czy to naiwne założenie, że te dwie firmy lepiej dbają o bezpieczeństwo niż Network Solutions i że ataki “wstrzyknięcia złośliwego kodu” im się nie przydarzą?
Równie dobrze można pozbyć się wszelkiego softu nie napisanego przez siebie.
Analizowanie każdego nieswojego programu/skryptu mija się z celem, bo już szybciej sobie to samemu napisać.
Raczej chodzi o kontrole tych części uzywanego przez Ciebie softu, które ktoś może zdalnie (bez Twojej wiedzy) aktualizowac ;) (btw, automatyczne aktualizacje to nie zawsze dobry pomysl, patrz wpadka mcafee)
Nie znoszę wszelkiego typu widżetów, gadżetów, społecznościowych „lubiejek”, „wykopek” i innego świństwa. Tnę wszystko adblockiem i – jak widać – również ze względów bezpieczeństwa słusznie.
@Piotr Konieczny
A jaka jest różnica w bezpieczeństwie między niesprawdzoną częścią softu a całym niesprawdzonym softem?
Znów źle zadałeś pytanie ;) oczywiście, niesprawdzony kod to ryzyko, ale my tu o kodzie, który sam się aktualizuje…
Kontynuując, bo mi wcielo fragment komentarza, nie zawsze opłaca się pisać własny software (bądź robić czasochlonny code review) — nie mówiąc już o tym, ze czasem nawet nie ma takiej możliwości, zamknięte źródła, licencje, logika aplikacji poza naszym obszarem kontroli ;)
@Jurgi Filodendryta
mógłbyś udostępnić te wpisy z adblocka?
zamknięte źródła, licencje,
logika aplikacji poza naszym obszarem kontroli Trzeba było od razu napisać “Wyrzućcie Windowsa bo to system szpiegowski”