Focus sur code JS/HTML utilisé par Angler Exploit Kit

ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 19:39

Focus sur code JS/HTML utilisé par Angler Exploit Kit

Message par ѠOOT » 02 nov. 2014 23:59

Bonjour,

Quasiment quinze jours sans prendre le temps d'écrire une malheureuse ligne dans cette section du forum. Il faut dire que la semaine passée, j'ai dû me coltiner une inspection en règle de dizaines de vieilles biscottes ZIP-100 de feu iomega. Une aventure qui m'a rappelé le bon vieux temps mais qui m'a refourgué un fichu mal de crâne. Si vous n'avez pas connu ces engins, imaginez 4 lecteurs qui émettent simultanément ce type de bruit le temps des acquisitions, soit 3 jours.. x_X

Entre temps, il y a eu à signaler une faiblesse sur un service d'hébergement d'images bien connu des internautes français ; ce n'est pas le premier ni le dernier que nous contactons. En début d'année, nous avions interpelé Kipof, l'administrateur fort sympathique du service imagesup.org pour lui signaler une vulnérabilité critique permettant, en utilisant une double-extension sur les noms de fichiers, d'exécuter du code arbitraire sur le serveur. Deux mois après, c'était au tour d'un autre grand service d'échange de photos, cinq mois après un service de partage de fichiers, .. et là un quatrième tout aussi important que je ne citerai pas ( corrections effectuées, il s'agissait d'HostingPics ) tant que ça ne sera pas correctement corrigé. La faiblesse permet potentiellement de manipuler le navigateur des visiteurs. Moins grave qu'une vulnérabilité sur les services mais à prendre au sérieux dans la mesure où les codes injectés peuvent être discrets et persistants. Les familiers de BeEF | Metasploit doivent comprendre ce que je veux sous-entendre par là. Avec des millions de visiteurs & données / mois, ce type de sites sont des cibles privilégiées - il n'y aurait rien d'étonnant à voir apparaitre des fraudes aux régies, des malvertising ou des codes offensifs sur ces plateformes.

Après quoi, en fin de semaine, j'ai dû éplucher une capture de trafic réseau d'attaquant(s) inspiré(s) pour dissimuler du code JavaScript malveillant dans un extrait de l'œuvre de Jane Austen : "Sense & Sensibility". Ces pratiques ne sont pas rares dans les pays de l'Est ; les codeurs apprécient citer du Shakespeare ou des vers de poésies par exemple. Toujours est-il que le code dissimulé dans cette page d'environ 150 Ko était loin d'être inintéressant. Je ne vais pas commenter sur ce forum le code, il y a des lieux plus appropriés, simplement afficher quelques parties afin d'illustrer les principales idées : les personnes ayant plus d'expériences y dénicheront surement les particularités.

- Obfuscations JS
Image

- Manipulations HTML/JS
Image

- Vérifications de la configuration de la future victime
Image

Kafeine précise que ce code est utilisé par Angler Exploit Kit. ( Title : "[ AnglerEK__Landing_2014-10-11 ]" → http://pastebin.com/a3hFeSeq )

Il est temps de plier bagages, une nouvelle semaine commence.
J'éditerais peut-être cet article pour y apporter quelques précisions.

edit: (03/11/2014) Le service d'hébergement d'images HostingPics a corrigé la faiblesse sur les traitements de métadonnées.
Dernière édition par ѠOOT le 10 nov. 2014 08:07, édité 5 fois.


‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ


Malekal_morte
Site Admin
Site Admin
Messages : 95444
Inscription : 10 sept. 2005 13:57
Contact :

Re: Un code malveillant JS/HTML qui change de l'ordinaire

Message par Malekal_morte » 03 nov. 2014 11:12

Ouin le coup du vmware etc
sympa comme post, merci!
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « Tech, Tips & Tricks »