Già in passato vi ho parlato di questa tipologia di pericoli: siti legittimi (più o meno noti) che vengono attaccati, sfruttando vulnerabilità di vario tipo del server che lo ospita o del sito stesso, cosi da inserire tecnicamente degli “script” nel sito legittimo, che portano al download di file che si rilevano essere malware.

Viene così sfruttata la legittimità del sito, cosi da non generare timore nel visitatore, il quale quindi sarà portato ad accettare il download del file che crede legittimo.

Poi vi sono moltisssimi casi in cui l’infezione tecnicamente avviene tramite la tecnica “drive-by download”: in questi casi non c’è nemmeno l’interazione dell’utente, il malware viene inserito nel sistema dell’utente che visita il sito in maniera del tutto automatica e silente, senza nessun avviso o finestra di alcun tipo.

Anche in questo caso, ciò avviene perchè si sfruttano vulnerabilità del sito o del server che lo ospita, nonchè dei browser e di altri programmi che possono interagire con il web.

Oggi vi riporto un esempio concreto: in particolare il sito ufficiale di un istituto comprensivo di Viterbo.

NB: NON VISITATELO, E’ ASSOLUTAMENTE PERICOLOSO, NON FATE ALCUNA PROVA, SE NON A VOSTRO RISCHIO E PERICOLO, IBA’S BLOG NON SI ASSUME ALCUNA RESPONSABILITA’

A distanza di 3 giorni dalla scoperta, Google blocca l’accesso al sito. A tal proposito, vorrei far notare come se si accede direttamente al sito digitando direttamente l’indirizzo tramite Internet Explorer (non importa quale versione), si entra senza problemi; invece se si digita il sito con Firefox, compare immediatamente l’avviso di google che ne blocca l’accesso.

Dopo una settimana, il sito risulta ancora infetto.

Tralasciando questo particolare non indifferente, vi riporto le singole esperienze a seconda del tipo di browser utilizzato.

Premessa: si tratta in estrema sintesi di un exploit che riguarda in primis Acrobat, ad esclusione dell’ultima versione, la 9.X, ma che vede la complicità di Internet Explorer (tutte le versioni, anche la 8).

Ho anche fatto la prova con altri browser.

Ho utilizzato per potervi mostrare i dettagli dell’attacco, il Defence + di Comodo 3, che sostanzialmente rappresenta un modulo HIPS: con tale termine si ci riferisce ad una tecnologia che mira a tenere sotto controllo ciò che avviene nel pc, controllando la creazione di file, l’avvio di eseguibili, di programmi, chiedendo l’intervento dell’utente, che cosi ha il pieno controllo di ciò che avviene nel suo pc (non a caso questi programmi richiedono una certa conoscenza del sistema).

Ecco i dettagli:

Internet Explorer 6:

Nel momento in cui si visita questo sito, il browser incomincia ad occupare sempre più risorse (in alcuni casi va in “overflow”, cioè in sovraccarico, a volte crashando, cioè si blocca: in tali casi si parla di Buffer Overflow).

Dopo un po compare questo avviso

Come ho constatato più volte, acconsentire o meno a questo avviso è del tutto inifluente ( a volte non mi è nemmeno apparso).

Sta di fatto che IE richiama Acrobat, e cosi sfruttando una sua vulnerabilità, viene eseguito quello che in gergo si dice “codice malevolo da remoto”, cioè in maniera del tutto automatica avviene che internet explorer apre una vulnerabilità di Acrobat, il quale cosi crea un nuovo file

in particolare un nuovo eseguibile in system32 (cartella fondamentale del sistema), nel caso di specie si tratta del seguente trojan

http://www.virustotal.com/it/analisis/96a4d1e4554b1dbba7008812e3e0d972

Credo che il trojan in questione inserisce il pc in una botnet, non arrecando quindi alcun danno apparente al sistema.

In un’altra macchina, con IE6 nudo e crudo, senza aggiornamenti di sicurezza, visitando il sito vengono sfruttate altre vulnerabilità, cosicché in questa altra macchina ritroviamo questi due trojan

In ogni caso, una volta che viene creato il malware, lo stesso procede alla chiusura forzata del browser: con questo termina la procedura di infezione.

In una macchina il trojan si è rieseguito al riavvio di windows.

In entrambi i casi, l’utente non si poteva accorgere di nulla: il trojan si sarebbe installato, e nel caso di specie, avrebbe operato in maniera del tutto silente; l’utente si sarebbe solo accorto di un rallentamento del sistema e di IE.

In alcuni casi è stato richiesto il consenso per il download di un file (il malware: tecnicamente un pdf maligno)

Ma questo avviso non è comparso sempre.

NB: RIBADISCO CHE IL SITO E’ ANCORA INFETTO E PERICOLOSO, NON VISITATELO!!!

Internet Explorer 7:

Anche in questo caso la procedura è identica, con il particolare che più volte mi è stato chiesto l’installazione del Microsoft Data Access (un controllo Activex)

Inoltre anche IE7 è andato in overflow, rallentando il sistema, occupando sempre più risorse.

E anche in questo caso, se non avessi avuto Comodo con il suo modulo Hips, non mi sarei accorto assolutamente di nulla, ad eccezione del rallentamento.

Internet Explorer 8

Sinceramente speravo che l’exploit non partisse, ma non è stato cosi: l’esito è stato esattamente lo stesso, installazione di un malware attraverso l’exploit di Acrobat.

Anche in questo caso, la prima volta che ho visitato il sito, mi è stato chiesto l’installazione del controllo Activex (ma ciò non è legato all’exploit)

Firefox 3.0.8

Con l’ultima versione del browser di casa Mozilla non è partito nulla: l’exploit non ha avuto successo.

Non ho registrato nemmeno un rallentamento del sistema: solo un continuo traffico con gli indirizzi inseriti nella pagina ( quelli da cui parte l’exploit)

Con l’utilizzo dell’estensione di No Script, che blocca di defult tutti gli script contenuti in una pagina web, non si sarebbe notato nemmeno questo: questi indirizzi malevoli sono contenuti in degli script, quindi a meno di un consenso da parte dell’utente, non si sarebbe avuto nemmeno una lontana comunicazione con questi indirizzi IP

Firefox 2.XX

Purtroppo con questa vecchia versione del Panda Rosso, l’exploit riesce con successo.

In questo caso si puo vedere meglio il processo di attuazione dell’exploit, in particolare si vede perfettamente il file pdf maligno sfruttato per l’esecuzione dell’exploit di Acrobat

Chrome

Posso solo dirvi che mi sono ritrovato la macchina piena di trojan e malware di tutti i generi.

Questo è il log di Hijackthis (un programma di sicurezza per l’analisi del sistema) dopo che ho visitato il sito

Le croci in rosso indicano i malware: devo dire che c’è molta varietà di malware

Ecco i dettagli di alcuni:

http://www.prevx.com/filenames/X930247081595103602-X1/SDRA64.EXE.html

http://www.bleepingcomputer.com/startups/services.exe-23284.html

http://www.bleepingcomputer.com/startups/svchost.exe-18154.html

E questo è il risultato dopo un minuto di navigazione con un sito infetto anche in modo abbastanza banale: esistono siti che vengono compromessi con tecniche ben più avanzate.

Credo sia chiaro il mio giudizio assolutamente negativo su questo browser: un giudizio che trova la conferma di ben più lustri pareri, basta che girate qualche forum italiano e internazionale.

Ma purtroppo l’elemento “velocità” nella navigazione induce la maggior parte degli utenti a utilizzare questo pericoloso colabrodo: se poi venite infettati, non cercatemi…..ve la siete cercata!!!

Riguardo il sito, ancora compromesso ad oggi, questa è l’analisi compiuta da un noto sito di sicurezza che si occupa di questa materia:

http://wepawet.iseclab.org/view.php?hash=b6e947ce126e738a935950819154928e&t=1239892220&type=js

Come viene specificato nell’analisi, il sito di per sé non contiene alcun exploit: il sito è compromesso dall’inserimento di alcuni script nascosti

In conclusione tutto ciò insegna diverse cose:

1. Utilizzare software aggiornati, in particolare tutti quei programmi che in un modo o nell’altro possono comunicare con il web (Acrobat, Real Player, Flash Player, Java, e ovviamente i nostri browser)
2. Utilizzare browser alternativi a Internet Explorer, come Firefox che ad esempio puo essere affiancato da un estensione come Noscript (fondamentale in questo caso)
3. Ciò dimostra come un semplice antivirus non è in grado di proteggerci (di questi exploit ce ne sono a migliaia, e i malware che vengono scaricati sono altrettanti, e spesso gli antivirus, qualsiasi antivirus, non riesce a tenere il passo: la rilevazione in base alle firme virali è una tecnica oramai più che obsoleta)
4. Un software come Comodo, con il suo HIPS, rappresenta l’unico vero software di sicurezza in grado di proteggerci
5. L’utilizzo di software che virtualizzano il browser oppure di Sandbox che recintano l’area intorno al browser, sono soluzioni semprè più fondamentali e anche sempre più alla portata di tutti.

Vuoi tutti gli aggiornamenti di IbA's Blog in tempo reale? Abbonati ai nostri Feed RSS.