Malvertising & Nuclear Exploit Kit

ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 19:39

Malvertising & Nuclear Exploit Kit

Message par ѠOOT » 28 janv. 2014 20:26

Bonjour,

Voici des observations réalisées sur plusieurs jours à partir de liens hypertextes renseignés dans le sujet intitulé [en] Zbot/Dorkbot malvertising. Malekal_morte note au jour le jour ce qu'il observe ce qui rends difficile la compréhension du sujet. Néanmoins ses notes permettent de regrouper des données et de mettre en évidence certains éléments. Je vais tenter de vous relater quelques uns de ces mécanismes.

Vulgarisation : les régies publicitaires "piratées" ( ou de fausses régies aux mains de pirates ) diffusent des publicités piégées ( ex: des animations Flash (SWF) ) ce que l'on nomme des http://en.wikipedia.org/wiki/Malvertising sur des sites à fortes influences. Les internautes estiment généralement que ces sites sont de confiance, ce qui est peut être le cas, mais ils ignorent que des régies ont été préalablement piégées. L'obéissant navigateur redirige vers des kits d'exploits qui se chargent dans un premier temps d'inspecter silencieusement la configuration de la machine du visiteur. Si le système d'exploitation ou des logiciels sont vulnérables alors des programmes malveillants seront téléchargés et installés : la machine devient "vérolée".

Alors... comment ça fonctionne au juste ?

Les malvertising commencent par rediriger vers des noms en *.SU
→ EU.HAK.SU ( 178.218.210.188 )
→ DEDE.HAK.SU ( 178.218.210.188 )
→ KASIMOV.KAN.SU ( 178.218.210.188 )

→ ...

Qui vont alors générer des iframes avec des destinations différentes. Mais ces destinations ont des caractéristiques récurrentes. Tous les noms de domaines sont enregistrés au bureau REG.RU ; pointent toutes vers des IPs chez LeaseWeb ; et tous ont des serveurs de noms chez Kubez.biz

GAMESBEST7.NET ( 95.211.52.50 ~ cp4.kubez.biz )
http://gamesbest7.net/eu.php

VUBETW.COM ( 95.211.52.50 ~ cp4.kubez.biz )
http://vubetw.com/eu.php

DDDKB.COM ( 95.211.234.33 ~ cp9.kubez.biz )
http://dddkb.com/eu.php

NEW229.COM ( 94.75.214.166 ~ cp7.kubez.biz )
http://new229.com/eu.php

... Le script qui génère les iframes utilise la géolocalisation.
Ainsi, la page "eu.php" est proposée aux visiteurs européens.

[!] Ce qu'il faut bien comprendre, c'est que les programmes malveillants : les charges utiles ( payload ) qui sont délivrés aux uns ne sont pas systématiquement les mêmes que ceux délivrés aux autres. Les attaquants peuvent, en fonction des demandes du marché, répondre à des besoins, remplir des commandes, voir... à mener des attaques plus ciblées, simplement en spécifiant des charges précises sur des plages d'adresses spécifiques.

Un allemand a la page "de.php", un canadien la page "ca.php" et ainsi de suite...
Le contenu de ces pages sont, encore une fois, une iframe avec une longue URL.

Un script va modifier la page toutes les 30 sec pour générer une nouvelle URL. Les anciennes URLs expirent peu de temps après et le but est de rendre plus difficiles les traçages des incidents. Le script php va lire un fichier texte ( ex: → http://new229.com/de.txt ), la première ligne contient le timestamp (date+heure qui sert d'indicateur pour rafraichir la page et la deuxième ligne indique la nouvelle destination.

Le .pw est le ccTLD de la République des Palaos. C'est une des caractéristiques de ces iframes, elles sont toutes forgées ainsi. Les noms de domaines sont construits par concaténation de mots clés. ( ex: football+bunt ; baseball+relay | medal+running | polo+pool | club+boomerang | competitor+riding | boomerang+jump | skate+biathlon | ... ) Les aliases. ( la partie en gras s217c.footballbunt.pw ) sont générés aléatoirement toutes les 5 minutes.

Pour résumer, l'iframe redirige vers un lien qui est généré toutes les 30 secondes et n'est valide que pendant une très courte période. L'alias, le nom canonique (CNAME) est régénéré toutes les 5 minutes et n'est valide que pendant une courte période. Le nom de domaine a une durée de vie inférieure à 24h, max 48h. Rien n'est laissé au hasard, jusqu'aux A & MX qui pointent sur Google pour leurrer certaines catégories de robots.

Si l'on s'en tient uniquement aux infrastructures, voici ce qui ressort après 4 jours.

Image

Les IPs de tous les aliases, des serveurs de noms, ...
Il n'y a que des machines hébergées chez OVH.

De petits "lots" d'IPs achetés par "Private Customer, 30000 Penziatki, Russie"
Autres plages d'adresses enregistrées le 24 janvier 2014 susceptibles être utilisées.
☂ OVH-CUST-406612 ( 198.50.178.144 - 198.50.178.159 )
☂ OVH-CUST-406675 ( 192.95.42.160 - 192.95.42.175 )
☂ OVH-CUST-406707 ( 198.50.252.64 - 198.50.252.79 )
OVH-CUST-411280 ( 192.95.6.112 - 192.95.6.127 )
☂ OVH-CUST-411746 ( 198.50.178.232 - 198.50.178.235 )
☂ OVH-CUST-411750 ( 192.95.42.112 - 192.95.42.127 )
OVH-CUST-413973 ( 192.95.10.208 - 192.95.10.223 )
☂ OVH-CUST-414082 ( 192.95.7.224 - 192.95.7.239 )
OVH-CUST-414436 ( 192.95.43.160 - 192.95.43.175 ) *NEW* 2014-02-03
☂ OVH-CUST-414559 ( 192.95.43.144 - 192.95.43.159 )
☂ OVH-CUST-414627 ( 192.95.0.236 - 192.95.0.239 )
OVH-CUST-414634 ( 198.50.131.0 - 198.50.131.15 ) *NEW* 2014-02-05
OVH-CUST-416954 ( 198.50.242.120 - 198.50.242.123 )
☂ OVH-CUST-399263 ( 198.50.197.48 - 198.50.197.51 )
☂ OVH-CUST-399266 ( 198.50.197.52 - 198.50.197.55 )
OVH-CUST-399268 ( 198.50.197.56 - 198.50.197.59 )
OVH-CUST-399276 ( 198.50.197.60 - 198.50.197.63 )
☂ OVH-CUST-403117 ( 198.50.204.240 - 198.50.204.243 )
☂ OVH-CUST-403254 ( 198.50.204.244 - 198.50.204.247 )
OVH-CUST-403026 ( 192.95.47.232 - 192.95.47.235 )
☂ OVH-CUST-403050 ( 192.95.47.236 - 192.95.47.239 )

Le cocktail de programmes malveillants téléchargé et installé est:
Zeus ( vols de données bancaires, siphonner des identifiants )
Andromeda ( la machine zombie rejoins un botnet, obtention
d'un shell (3232/tcp),... en clair : les pirates pilotent la machine )
→ Autres...

Une idée précise du nombre de victimes ?
Combien d'identifiants, données volés ?
Qu'est-ce que ça finance derrière ?
Depuis quand ce manège a lieu ?

- No comment -
Dernière édition par ѠOOT le 05 févr. 2014 19:38, édité 4 fois.


‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ


Malekal_morte
Site Admin
Site Admin
Messages : 96166
Inscription : 10 sept. 2005 13:57
Contact :

Re: Malvertising & Nuclear Exploit Kit

Message par Malekal_morte » 30 janv. 2014 09:07

Je tiens à préciser qu'OVH a été contacté plusieurs fois .......... PDT_007
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Malekal_morte
Site Admin
Site Admin
Messages : 96166
Inscription : 10 sept. 2005 13:57
Contact :

Re: Malvertising & Nuclear Exploit Kit

Message par Malekal_morte » 03 févr. 2014 18:51

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Malekal_morte
Site Admin
Site Admin
Messages : 96166
Inscription : 10 sept. 2005 13:57
Contact :

Re: Malvertising & Nuclear Exploit Kit

Message par Malekal_morte » 10 févr. 2014 10:16

Il semblerait qu'OVH ait fait du ménage, car l'IP du kit est maintenant en Ukraine
https://twitter.com/malekal_morte/statu ... 5374938112
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Malekal_morte
Site Admin
Site Admin
Messages : 96166
Inscription : 10 sept. 2005 13:57
Contact :

Re: Malvertising & Nuclear Exploit Kit

Message par Malekal_morte » 19 févr. 2014 16:19

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Tech, Tips & Tricks »