Focus sur code JS/HTML utilisé par Angler Exploit Kit

ѠOOT

Focus sur code JS/HTML utilisé par Angler Exploit Kit

par ѠOOT »

Bonjour,

Quasiment quinze jours sans prendre le temps d'écrire une malheureuse ligne dans cette section du forum. Il faut dire que la semaine passée, j'ai dû me coltiner une inspection en règle de dizaines de vieilles biscottes ZIP-100 de feu iomega. Une aventure qui m'a rappelé le bon vieux temps mais qui m'a refourgué un fichu mal de crâne. Si vous n'avez pas connu ces engins, imaginez 4 lecteurs qui émettent simultanément ce type de bruit le temps des acquisitions, soit 3 jours.. x_X

Entre temps, il y a eu à signaler une faiblesse sur un service d'hébergement d'images bien connu des internautes français ; ce n'est pas le premier ni le dernier que nous contactons. En début d'année, nous avions interpelé Kipof, l'administrateur fort sympathique du service imagesup.org pour lui signaler une vulnérabilité critique permettant, en utilisant une double-extension sur les noms de fichiers, d'exécuter du code arbitraire sur le serveur. Deux mois après, c'était au tour d'un autre grand service d'échange de photos, cinq mois après un service de partage de fichiers, .. et là un quatrième tout aussi important que je ne citerai pas ( corrections effectuées, il s'agissait d'HostingPics ) tant que ça ne sera pas correctement corrigé. La faiblesse permet potentiellement de manipuler le navigateur des visiteurs. Moins grave qu'une vulnérabilité sur les services mais à prendre au sérieux dans la mesure où les codes injectés peuvent être discrets et persistants. Les familiers de BeEF | Metasploit doivent comprendre ce que je veux sous-entendre par là. Avec des millions de visiteurs & données / mois, ce type de sites sont des cibles privilégiées - il n'y aurait rien d'étonnant à voir apparaitre des fraudes aux régies, des malvertising ou des codes offensifs sur ces plateformes.

Après quoi, en fin de semaine, j'ai dû éplucher une capture de trafic réseau d'attaquant(s) inspiré(s) pour dissimuler du code JavaScript malveillant dans un extrait de l'œuvre de Jane Austen : "Sense & Sensibility". Ces pratiques ne sont pas rares dans les pays de l'Est ; les codeurs apprécient citer du Shakespeare ou des vers de poésies par exemple. Toujours est-il que le code dissimulé dans cette page d'environ 150 Ko était loin d'être inintéressant. Je ne vais pas commenter sur ce forum le code, il y a des lieux plus appropriés, simplement afficher quelques parties afin d'illustrer les principales idées : les personnes ayant plus d'expériences y dénicheront surement les particularités.

- Obfuscations JS
Image

- Manipulations HTML/JS
Image

- Vérifications de la configuration de la future victime
Image

Kafeine précise que ce code est utilisé par Angler Exploit Kit. ( Title : "[ AnglerEK__Landing_2014-10-11 ]" → http://pastebin.com/a3hFeSeq )

Il est temps de plier bagages, une nouvelle semaine commence.
J'éditerais peut-être cet article pour y apporter quelques précisions.

edit: (03/11/2014) Le service d'hébergement d'images HostingPics a corrigé la faiblesse sur les traitements de métadonnées.
Dernière modification par ѠOOT le 10 nov. 2014 08:07, modifié 5 fois.
Malekal_morte
Messages : 116304
Inscription : 10 sept. 2005 13:57

Re: Un code malveillant JS/HTML qui change de l'ordinaire

par Malekal_morte »

Ouin le coup du vmware etc
sympa comme post, merci!
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Tech, Tips & Tricks »