Den 14. februar 2009 er det igen Valentinsdag. Traditionen tro betyder det, at it-kriminelle vil udnytte denne specielle dag til at få spredt malware. De er allerede i gang 14 dage før dagen - og benytter malware som kun få scannere kan finde i skrivende stund.
Kun 3 ud af 39 af de antivirusscannere, som VirusTotal benytter, kan finde den malware som spredes på falske Valentinsdag websites. Ved direkte søgning på domænet i Google, kommer det fint frem som indekseret - men Google indikerer endnu ikke at siten er farlig.
Fremgangsmåden er hverken ny eller overraskende. Hvert år dukker der falske websites op i forbindelse med højtider og store mærkedage. Til trods for, at denne viden er kendt af både it-kriminelle og mange computerbrugerne - så rammes ufattelig mange af malware hvert år i disse perioder.
Det er grunden til vi hvert år ser disse angrebssites dukke op under et nyt navn og med den seneste malware klar til angreb. På blot 5-7 minutter blev der fundet to ydrepunkter på skalaen over angrebssites. Det ene var yderst simpelt, nærmest amatøragtigt, og det andet havde alt hvad man kan forvente af et professionelt udviklet website.
Den "forkromede udgave" var langt mere raffineret. Ud over et flot og gennemarbejdet layout - så forsøger man direkte af inficere den besøgende gennem sårbarheder i henholdsvis de Quicktime og Flash plugins som mange browsere har installeret.
Eksempel på et "simpelt" attacksite
Det følgende minitrace er blot data over et af de simple af slagsen. Lidt grafik og et link til en exe-fil indeholdende malwaren. Netop den simple opbygning er nærmest et skoleeksempel i, hvor enkelt det kan gøres. Man behøver ikke det store setup - selvom det naturligvis vil øge chancen for at få de lidt mere garvede brugere i nettet.
Domænet er allerede kendt på listen fra Malware Domain Blocklist og hos Norton Safe Web men Google indikerer endnu ikke dette domæne som værenede farligt:
GET / HTTP/1.1
Host: waleprojekt.com (88.174.191.30)
HTTP/1.1 200 OK
Server: nginx/0.6.34
Date: Sun, 01 Feb 2009 11:28:45 GMT
Content-Type: text/html
Connection: keep-alive
Content-Length: 245
Last-Modified: Sun, 01 Feb 2009 11:28:06 GMT
Accept-Ranges: bytes
[!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"]
[html]
[head]
[title]Love...[/title]
[/head]
[body]
[center]
[h4]Guess, which one is for you?[/h4]
[a href="meandyou.exe"][img border="0" src="img.jpg"][/a][/center]
[/body]
[/html]
Et nærmere kig på IP-adressen afslører den tilhører følgende:
Free SAS / ProXad
8, rue de la Ville L'Eveque
75008 Paris
+33 1 73 50 20 00
+33 1 73 92 25 69
Information: http://www.proxad.net/
Spam/Abuse requests: mailto:abuse@proxad.net
Websitet er helt ukompliceret. Der benyttes ikke avanceret scripts til at angribe den besøgende på andre sårbarheder. Det interessante var herefter at få en idé om, hvilken type malware dette website spredte. Derfor blev den angivne exe-fil hentet ned til videre analyse:
GET /meandyou.exe HTTP/1.1
Host: waleprojekt.com (221.124.70.181)
HTTP/1.1 200 OK
Server: nginx/0.6.34
Date: Sun, 01 Feb 2009 11:30:01 GMT
Content-Type: application/octet-stream
Connection: keep-alive
Content-Length: 392704
Last-Modified: Sun, 01 Feb 2009 11:29:06 GMT
Accept-Ranges: bytes
Download Complete (meandyou.exe, 392704 bytes recieved)
Cirka et minut efter at siden første gang blev kontaktet, har IP-adressen ændret sig. Malware filen hentes nu fra en helt anden adresse - men domænet er stadig det samme. Dette er bestemt ikke normal opførsel for et website 'med rent mel i posen'.
Filen blev kort efter oploadet til VirusTotal.com for at få en indikator på, hvad det er vi har med at gøre. Resultatet var ikke overraskende, at kun 3 ud af 39 antivirusscannere fandt noget mistænkeligt. Af de tre produkter der råber vagt i gevær, er Sophos den eneste som indikerer et navn - nemlig W32/Waled-W.
Se VirusTotal analysen her:
http://www.virustotal.com/analisis/fd128c0d200607a9b1f1ae86d140b501
Den nye IP-adresse blev også tjekket. Fra først at have været en tur i Frankrig - blev selve malware filen nu hentet i Hong Kong. Men stadig med reference til samme domæne:
ITMM HGC
Hutchison Telecom Tower,
9/F Low Block,
99 Cheung Fai Rd, Tsing Yi,
HONG KONG
phone: +852-21229555
fax-no: +852-21239523
e-mail: hgcnetwork@hgc.com.hk
Blot for at få en idé om hvad dette angrebssite egentlig viste sine besøgende, blev den benyttede JPG grafikfil også hentet:
GET /img.jpg HTTP/1.1
Host: waleprojekt.com (80.98.203.215)
HTTP/1.1 200 OK
Server: nginx/0.6.34
Date: Sun, 01 Feb 2009 11:38:37 GMT
Content-Type: image/jpeg
Connection: keep-alive
Content-Length: 60457
Last-Modified: Fri, 23 Jan 2009 04:22:14 GMT
Accept-Ranges: bytes
Download Complete (img.jpg, 60457 bytes recieved)
Endnu engang ændrede IP-adressen sig for domænet. Denne gang blev vejen lagt forbi Ungarn - nærmere bestemt Budapest:
Tamas Mogyorosi
UPC Magyarorszag Kft.
Kinizsi 30-36.
H-1092 Budapest
address: Hungary
phone: +3614562600
fax-no: +3612160058
e-mail: mogyoros@broadband.hu
På blot 3 forespørgsler, henholdsvis på siden, malwaren og et grafikbillede - ændrede IP-adressen sig for hver gang. Blot for sjov blev siden hentet flere gange med cirka et minuts interval. Hver gang var det en ny IP-adresse der svarede fra en ny lokalitet i verden.
Dette, og flere andre faktorer (det er en nginx/0.6.34 webserver der svarer hver gang) indikerer, at Sophos har ret i, at dette er malware tilhørende Waledac botnettet: http://www.sophos.com/security/analyses/viruses-and-spyware/w32waledw.html
Anden information:
Amerikanerne er det land i verden der sender flest lykønskningskort. Hele 7 milliarder kort om året ifølge The Greeting Card Association. Hver amerikansk husholdning køber cirka 30 lykønskningskort om året - og hver borger i USA modtager i gennemsnit 20 kort om året.
Der er i praksis et kort til enhver given lejlighed, men julekort kommer ind på en sikker førsteplads (60 procent). På en lige så sikker andenplads kommer Valentinsdag (25 procent). Efterfølgende kommer Mors Dag (4 procent), Påske (3 procent) og Fars Dag (3 procent). De sidste 5 procent dækker over brylluper, fødselsdag, udnævnelser og lignende.
Der bliver med andre ord blive sendt omkring 1.75 milliarder Valentinsdagskort, hvoraf cirka 200 millioner sendes elektronisk. Dette tal er i stigning, men amerikanerne foretrækker stadig et fysisk lykønskningskort. Men 200 millioner er da en slat :o/
Tanker, betragtninger og holdninger i forbindelse med it-sikkerhed med fokus på sårbarheder, exploits, malware, hacking, cracking, tools, trends og strategier. Bloggens indhold er subjektiv og kan ikke lægges andre til last.
Opslag
Blog-arkiv
-
▼
2009
(34)
-
▼
februar
(14)
- LorteMail - medaljen har to sider
- Englands nationale lotteri website hacked
- Mere sårbart Adobe software - denne gang i Flash
- Wikileaks: Skype VoIP i Asterisk open source PBX s...
- EU vil undersøge VoIP aflytningsteknikker
- Humor: New Stupid Piece Of Shit
- Ny kritisk Adobe Reader/Acrobat sårbarhed
- Krisen truer også it-sikkerheden
- Kaspersky rydder op
- Tre på stribe
- Sikkerhedsfirmaer med sløset web-sikkerhed
- Begrænsede brugerrettigheder afhjælper sårbarheder
- Zombies i området - LØB!
- Malware og angrebssites klar til Valentinsdag
-
▼
februar
(14)
Offentlige links jeg benytter:
- robtex
- SANS Internet Storm Center
- XSSed
- Microsoft Sysinternals
- Wired News
- Security Focus
- Hackin9.org
- The Register - Security
- Secunia Advisories
- Packet Storm
- The Dark Visitor
- Dancho Danchev's Blog
- ThreatExpert Blog
- Malware Domain Blocklist
- The Full-Disclosure Archives
- Offensive Computing
- Shadowserver Foundation
- Astalavista Security News
- 1337 day