Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 13/01/2016, à 17:58

Sabina75

Analyse de liens malveillants

Je fais partie d'un club, peu importe le domaine, qui dispose d'une liste de diffusion. 4 personnes ont diffusé des liens malveillants malgré elles sur cette liste de diffusion. Entre temps, je les ai averti du problème et des mesures de base à adopter. Voila les liens :

ATTENTION, LIENS MALVEILLANTS !

qataratalgamal.com/laughed.php
tubemulticouche.fr/sight.php
sdh-asia.net/laugh.php
radek.pomorze.pl/whenever.php

J'y ai jeté un œil, javascript désactivé, et cela revoit vers quelques domaines en Russie, en Ukraine, en Hollande, puis vers un site qui renvoit sur facebook.com. Les 4 liens font, très probablement, parties de la même attaque, et je suppose qu'un s'agit d'un botnet russe ou ukrainien.

Êtes-vous d'accord pour démonter cette attaque ? Nous sommes plusieurs sur ce forum, plusieurs à être intéressés par la sécurité, avec des compétences (ou pas) diverses et variées, et sur Linux qui plus est... smile Alors, ça peut être un bon moyen d'échanger sur la sécurité informatique que de mettre en pièce cette attaque, non ?

Bon, je me lance, je récupère les domaines avec Etherape, et je reviens !

Dernière modification par Sabina75 (Le 14/01/2016, à 17:41)


My Hardened Ubuntu 14.04 LTS 64 bits / Grsecurity & AppArmor / Laptop Dell Latitude.
VirtualBox : Windows 7 32 bits.
Next : Moving to ArchLinux ?

Hors ligne

#2 Le 13/01/2016, à 18:11

nam1962

Re : Analyse de liens malveillants

Déjà, à part le premier qui est en 404, les autres sont bloqués par mon ublock origin avec réglage par défaut.
Conseille ublock origin à ton club ! tongue


[ Modéré ]

Hors ligne

#3 Le 13/01/2016, à 18:17

Sabina75

Re : Analyse de liens malveillants

La première page des 4 liens contient ceci :

<meta http-equiv="refresh" content="2; url=http://threivetrack.com/?utm_source=1&langID=e1f03d&sec=a0553e25c">

L'adresse "threivetrack.com/?utm_source=1&langID=e1f03d&sec=a0553e25c" renvoit sur facebook.com

Le dernier lien, vu par Etherape :

970192etherape1.png

Dernière modification par Sabina75 (Le 14/01/2016, à 17:42)


My Hardened Ubuntu 14.04 LTS 64 bits / Grsecurity & AppArmor / Laptop Dell Latitude.
VirtualBox : Windows 7 32 bits.
Next : Moving to ArchLinux ?

Hors ligne

#4 Le 13/01/2016, à 18:44

nam1962

Re : Analyse de liens malveillants

Cela dit, ils sont globalement repérés.


[ Modéré ]

Hors ligne

#5 Le 13/01/2016, à 19:44

Sabina75

Re : Analyse de liens malveillants

J'ai installé Deobfuscator sur firefox pour essayer d'avoir accès au javascript du dernier lien.

Bon, j'ai trop de truc qui s'affiche, lol.

with(window) {
  try {
    window.toStaticHTML = function toStaticHTML(s) {
      var t = document.createElement("toStaticHTML");
      t.setAttribute("data-source", s);
      document.documentElement.appendChild(t);
      var ev = document.createEvent("Events");
      ev.initEvent("NoScript:toStaticHTML", true, false);
      t.dispatchEvent(ev);
      return t.innerHTML;
    }
  } catch (e) {}
  try {
    (function() {
      var proto = HTMLCanvasElement.prototype;
      var getContext = proto.getContext;
      proto.getContext = function(type) {
        if (type && type.toString().indexOf("webgl") !== -1) {
          var ev = this.ownerDocument.createEvent("Events");
          ev.initEvent("NoScript:WebGL", true, false);
          (this.parentNode ? this : this.ownerDocument).dispatchEvent(ev);
          return null;
        }
        return getContext.call(this, "2d");
      }
    })()
  } catch (e) {}
  try {
    Object.defineProperty(HTMLAudioElement.prototype, "mozWriteAudio", {
      value: function() {
        new Audio("data:,")
      }
    });
  } catch (e) {}
  try {
    (function() {
      var type = "application/x-shockwave-flash";
      var ver;
      var setAttribute = HTMLObjectElement.prototype.setAttribute;
      HTMLObjectElement.prototype.setAttribute = function(n, v) {
        if (n == "type" && v == type && !this.data) {
          this._pendingType = v;
          this.SetVariable = function() this.__proto__.SetVariable.apply(this, arguments);
          this.GetVariable = function(n) {
            if (n !== "$version") return this.__proto__.SetVariable.apply(this, arguments);
            if (!ver) {
              ver = navigator.plugins["Shockwave Flash"].description.match(/(\d+)\.(\d+)(?:\s*r(\d+))?/);
              ver.shift();
              ver.push('99');
              ver = "WIN " + ver.join(",");
            }
            return ver;
          }
        }
        setAttribute.call(this, n, v);
        if (n === "data" && ("_pendingType" in this) && this._pendingType === type) {
          setAttribute.call(this, "type", type);
          this._pendingType = null;
        }
      };
    })()
  } catch (e) {}
  try {
    HTMLObjectElement.prototype.__defineGetter__("IsVersionSupported", function()((/^application\/x-silverlight\b/.test(this.type)) ? function(n) true : undefined));
  } catch (e) {}
  try {
    (function() {
      var unloading = false;
      addEventListener('pagehide', function() {
        unloading = true;
        setTimeout(function() {
          unloading = false
        }, 100)
      }, true);
      var cookie = document.__proto__.__lookupGetter__('cookie');
      document.__proto__.__defineGetter__('cookie', function() {
        if (unloading) return cookie.apply(this);
        var c = '; popunder=yes; popundr=yes; setover18=1';
        return (cookie.apply(this).replace(c, '') + c).replace(/^; /, '')
      });
      var fid = '_FID_' + (Date.now().toString(16));
      var open = window.__proto__.open;
      window.__proto__.open = function(url, target, features) {
        try {
          if (!(/^_(?:top|parent|self)$/i.test(target) || target in frames)) {
            var suspSrc, suspCall, ff = [],
              ss = new Error().stack.split('\n').length;
            if (/popunde?r/i.test(target)) return ko();
            for (var f, ev, aa = arguments; stackSize-- > 2 && aa.callee && (f = aa.callee.caller) && ff.indexOf(f) < 0; ff.push(f)) {
              aa = f.arguments;
              if (!aa) break;
              ev = aa[0];
              suspCall = f.name == 'doPopUnder';
              if (!suspSrc) suspSrc = suspCall || /(?:\bpopunde?r|\bfocus\b.*\bblur|\bblur\b.*\bfocus|[pP]uShown)\b/.test(f.toSource());
              if (suspCall || ev && typeof ev == 'object' && ('type' in ev) && ev.type == 'click' && ev.button === 0 && (ev.currentTarget === document || ('tagName' in ev.currentTarget) && 'body' == ev.currentTarget.tagName.toLowerCase()) && !(('href' in ev.target) && ev.target.href && (ev.target.href.indexOf(url) === 0 || url.indexOf(ev.target.href) === 0))) {
                if (suspSrc) return ko();
              }
            }
          }
        } catch (e) {}
        return open.apply(null, arguments);

        function ko() {
          var fr = document.getElementById(fid) || document.body.appendChild(document.createElement('iframe'));
          fr.id = fid;
          fr.src = 'data:text/html,';
          fr.style.display = 'none';
          var w = fr.contentWindow;
          w.blur = function() {};
          return w;
        }
      }
    })()
  } catch (e) {}
}
delete this.env;
Object.keys(this).forEach(function(p) {
  window[p] = this[p]
}, this);

Bon, évidemment, là, je laisse la main. Je repasserais dans quelques années, lol.


My Hardened Ubuntu 14.04 LTS 64 bits / Grsecurity & AppArmor / Laptop Dell Latitude.
VirtualBox : Windows 7 32 bits.
Next : Moving to ArchLinux ?

Hors ligne

#6 Le 13/01/2016, à 20:01

Compte anonymisé

Re : Analyse de liens malveillants

javascript a écrit :
ver = navigator.plugins["Shockwave Flash"].description.match(/(\d+)\.(\d+)(?:\s*r(\d+))?/);

Tiens, un script qui s'intéresse au plugin Flash du navigateur qui le visite ! ( lol mouarf )

#7 Le 13/01/2016, à 20:10

Sabina75

Re : Analyse de liens malveillants

Oui, c'est la piste que je supposais. Mais là, je suis incapable d'aller plus loin. Mais je suppose que l'exploit, s'il y en a un, sera "obfuscated".


My Hardened Ubuntu 14.04 LTS 64 bits / Grsecurity & AppArmor / Laptop Dell Latitude.
VirtualBox : Windows 7 32 bits.
Next : Moving to ArchLinux ?

Hors ligne

#8 Le 14/01/2016, à 09:33

tiramiseb

Re : Analyse de liens malveillants

Salut,

Par contre, je suis un peu dubitatif quant à la pertinence de mettre clairement ces liens ici.
Le forum Ubuntu-fr est plutôt bien noté par Google, du coup tout lien qui y apparaît voit sa note améliorée.
Donc en postant les adresses ici, tu leurs fais de la "pub".
Ce qui serait cool, c'est de les rendre inopérants, sans balise "[ url ]" et, par exemple, en mettant une espace entre le ":" et les "//"...

Hors ligne

#9 Le 14/01/2016, à 09:54

nam1962

Re : Analyse de liens malveillants

+1 !


[ Modéré ]

Hors ligne

#10 Le 14/01/2016, à 17:52

Sabina75

Re : Analyse de liens malveillants

with(window) {
  try {
    window.toStaticHTML = function toStaticHTML(s) {
      var t = document.createElement("toStaticHTML");
      t.setAttribute("data-source", s);
      document.documentElement.appendChild(t);
      var ev = document.createEvent("Events");
      ev.initEvent("NoScript:toStaticHTML", true, false);
      t.dispatchEvent(ev);
      return t.innerHTML;
    }
  } catch (e) {}
  try {
    (function() {
      var proto = HTMLCanvasElement.prototype;
      var getContext = proto.getContext;
      proto.getContext = function(type) {
        if (type && type.toString().indexOf("webgl") !== -1) {
          var ev = this.ownerDocument.createEvent("Events");
          ev.initEvent("NoScript:WebGL", true, false);
          (this.parentNode ? this : this.ownerDocument).dispatchEvent(ev);
          return null;
        }
        return getContext.call(this, "2d");
      }
    })()
  } catch (e) {}
  try {
    Object.defineProperty(HTMLAudioElement.prototype, "mozWriteAudio", {
      value: function() {
        new Audio("data:,")
      }
    });
  } catch (e) {}
  try {
    (function() {
      var type = "application/x-shockwave-flash";
      var ver;
      var setAttribute = HTMLObjectElement.prototype.setAttribute;
      HTMLObjectElement.prototype.setAttribute = function(n, v) {
        if (n == "type" && v == type && !this.data) {
          this._pendingType = v;
          this.SetVariable = function() this.__proto__.SetVariable.apply(this, arguments);
          this.GetVariable = function(n) {
            if (n !== "$version") return this.__proto__.SetVariable.apply(this, arguments);
            if (!ver) {
              ver = navigator.plugins["Shockwave Flash"].description.match(/(\d+)\.(\d+)(?:\s*r(\d+))?/);
              ver.shift();
              ver.push('99');
              ver = "WIN " + ver.join(",");
            }
            return ver;
          }
        }

Si j'ai bien pigé, le code cherche à détecter quelle est la version de Flash avec :

navigator.plugins["Shockwave Flash"].description.match

Mais par contre, je ne pige pas ce que vient faire les "NoScript". C'est sensé détecter la présence du plugin, ou bien que le javascript est désactivé ?

ev.initEvent("NoScript:toStaticHTML", true, false);
ev.initEvent("NoScript:WebGL", true, false);

On trouve des articles récents traitant des dernières failles Flash touchant Windows, Mac et Linux. Dont un exploit utilisant 2 failles CVE Windows, une Flash, l'autre pour l'élévation de privilèges. La question que je me posais, c'est de savoir si, effectivement, on peut mettre en place un site malveillant qui pourra exploiter Windows, Mac ou Linux en utilisant des exploits différents, et si ça pourra être le cas ici.


My Hardened Ubuntu 14.04 LTS 64 bits / Grsecurity & AppArmor / Laptop Dell Latitude.
VirtualBox : Windows 7 32 bits.
Next : Moving to ArchLinux ?

Hors ligne

#11 Le 14/01/2016, à 19:43

moko138

Re : Analyse de liens malveillants

Merci de ces infos, Sabina75 !
Je viens de bloquer ces noms de domaines et leurs IP dans mon hosts.


%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel :  À la découverte de dcraw

Hors ligne

#12 Le 14/01/2016, à 22:01

Sabina75

Re : Analyse de liens malveillants

Bloquer leurs IP. Car je pense que les noms de domaine sont éphémères et changent dés lors que leur taux de connections baisse (c.a.d qu'ils sont repérés).

C'est pour ça que le premier lien est 404 et les autres vont suivre pour être remplacés par des nouveaux, et ainsi de suite. C'est leur boulot au sens propre.

Quelqu'un aurait-il un livre d'apprentissage du javascript à conseiller, un qui sorte du lot (accessible sans connaissance préalable, suffisamment pointu tout en étant clair et pédagogique, etc) ?


My Hardened Ubuntu 14.04 LTS 64 bits / Grsecurity & AppArmor / Laptop Dell Latitude.
VirtualBox : Windows 7 32 bits.
Next : Moving to ArchLinux ?

Hors ligne

#13 Le 20/01/2016, à 21:08

Sabina75

Re : Analyse de liens malveillants

Je maintiens que la sursécurisation, c'est pas si mal :

http://www.generation-nt.com/linux-ekom … 23911.html

Dernière modification par Sabina75 (Le 20/01/2016, à 21:09)


My Hardened Ubuntu 14.04 LTS 64 bits / Grsecurity & AppArmor / Laptop Dell Latitude.
VirtualBox : Windows 7 32 bits.
Next : Moving to ArchLinux ?

Hors ligne

#14 Le 20/01/2016, à 21:14

tiramiseb

Re : Analyse de liens malveillants

En quoi une sursécurisation ajouterait de la protection ?
Bloquer 50 fois un truc A ne te protègera pas contre un truc B wink
Attention aux illusions de sécurité !

Il vaut mieux correctement et peu sécuriser plutôt que mal sursécuriser.

Dernière modification par tiramiseb (Le 20/01/2016, à 21:15)

Hors ligne

#15 Le 20/01/2016, à 21:16

tiramiseb

Re : Analyse de liens malveillants

Par contre ils ne disent de quelle manière ce trojan se connecte à un serveur tiers, ni comment il se propage...

Hors ligne

#16 Le 20/01/2016, à 21:26

Sabina75

Re : Analyse de liens malveillants

Par contre, ils donnent les prochains partants du PMU de demain.


My Hardened Ubuntu 14.04 LTS 64 bits / Grsecurity & AppArmor / Laptop Dell Latitude.
VirtualBox : Windows 7 32 bits.
Next : Moving to ArchLinux ?

Hors ligne

#17 Le 20/01/2016, à 21:29

tiramiseb

Re : Analyse de liens malveillants

!?

Hors ligne

#18 Le 20/01/2016, à 21:30

Sabina75

Re : Analyse de liens malveillants

http://perception-point.io/2016/01/14/a … 2016-0728/

Pas de shellcode ?

https://gist.github.com/PerceptionPoint … 0f8531ff8f

Dernière modification par Sabina75 (Le 20/01/2016, à 21:31)


My Hardened Ubuntu 14.04 LTS 64 bits / Grsecurity & AppArmor / Laptop Dell Latitude.
VirtualBox : Windows 7 32 bits.
Next : Moving to ArchLinux ?

Hors ligne

#19 Le 20/01/2016, à 21:32

tiramiseb

Re : Analyse de liens malveillants

Tu peux s'il-te-plaît être un peu plus explicite sur ce que tu essaies de dire ?
J'ai l'impression que tu postes juste des liens comme ça en vrac, sans vraiment rapport les uns avec les autres...

Hors ligne

#20 Le 20/01/2016, à 21:35

Sabina75

Re : Analyse de liens malveillants

Ah oui, c'est vrai, tu as l'impression... et ça, c'est vachement important, lol.


My Hardened Ubuntu 14.04 LTS 64 bits / Grsecurity & AppArmor / Laptop Dell Latitude.
VirtualBox : Windows 7 32 bits.
Next : Moving to ArchLinux ?

Hors ligne

#21 Le 20/01/2016, à 21:36

tiramiseb

Re : Analyse de liens malveillants

!?

Hors ligne

#22 Le 20/01/2016, à 21:37

tiramiseb

Re : Analyse de liens malveillants

pourquoi tu parles du PMU ?
quel est le lien entre ce troyen trop peu détaillé et la faille 0-day dont on parle depuis deux-trois jours ?

Hors ligne

#23 Le 20/01/2016, à 21:38

Sabina75

Re : Analyse de liens malveillants

C'est la même différence qu'entre un pigeon :

Il ne sait ni écrire.


My Hardened Ubuntu 14.04 LTS 64 bits / Grsecurity & AppArmor / Laptop Dell Latitude.
VirtualBox : Windows 7 32 bits.
Next : Moving to ArchLinux ?

Hors ligne

#24 Le 20/01/2016, à 21:41

tiramiseb

Re : Analyse de liens malveillants

pourquoi tu écris si c'est pour dire ce genre de conneries ?

Hors ligne

#25 Le 20/01/2016, à 21:43

Sabina75

Re : Analyse de liens malveillants

Et toi, pourquoi tu écris si c'est pour dire ce genre de conneries ?


My Hardened Ubuntu 14.04 LTS 64 bits / Grsecurity & AppArmor / Laptop Dell Latitude.
VirtualBox : Windows 7 32 bits.
Next : Moving to ArchLinux ?

Hors ligne