Analyse de liens malveillants

Sabina75 · Le 13/01/2016, à 17:58

Je fais partie d'un club, peu importe le domaine, qui dispose d'une liste de diffusion. 4 personnes ont diffusé des liens malveillants malgré elles sur cette liste de diffusion. Entre temps, je les ai averti du problème et des mesures de base à adopter. Voila les liens :

ATTENTION, LIENS MALVEILLANTS !

qataratalgamal.com/laughed.php
tubemulticouche.fr/sight.php
sdh-asia.net/laugh.php
radek.pomorze.pl/whenever.php

J'y ai jeté un œil, javascript désactivé, et cela revoit vers quelques domaines en Russie, en Ukraine, en Hollande, puis vers un site qui renvoit sur facebook.com. Les 4 liens font, très probablement, parties de la même attaque, et je suppose qu'un s'agit d'un botnet russe ou ukrainien.

Êtes-vous d'accord pour démonter cette attaque ? Nous sommes plusieurs sur ce forum, plusieurs à être intéressés par la sécurité, avec des compétences (ou pas) diverses et variées, et sur Linux qui plus est... Alors, ça peut être un bon moyen d'échanger sur la sécurité informatique que de mettre en pièce cette attaque, non ?

Bon, je me lance, je récupère les domaines avec Etherape, et je reviens !

Dernière modification par Sabina75 (Le 14/01/2016, à 17:41)

nam1962 · Le 13/01/2016, à 18:11

Déjà, à part le premier qui est en 404, les autres sont bloqués par mon ublock origin avec réglage par défaut.
Conseille ublock origin à ton club !

Sabina75 · Le 13/01/2016, à 18:17

La première page des 4 liens contient ceci :

<meta http-equiv="refresh" content="2; url=http://threivetrack.com/?utm_source=1&langID=e1f03d&sec=a0553e25c">

L'adresse "threivetrack.com/?utm_source=1&langID=e1f03d&sec=a0553e25c" renvoit sur facebook.com

Le dernier lien, vu par Etherape :

Dernière modification par Sabina75 (Le 14/01/2016, à 17:42)

nam1962 · Le 13/01/2016, à 18:44

Cela dit, ils sont globalement repérés.

Sabina75 · Le 13/01/2016, à 19:44

J'ai installé Deobfuscator sur firefox pour essayer d'avoir accès au javascript du dernier lien.

Bon, j'ai trop de truc qui s'affiche, lol.

with(window) {
  try {
    window.toStaticHTML = function toStaticHTML(s) {
      var t = document.createElement("toStaticHTML");
      t.setAttribute("data-source", s);
      document.documentElement.appendChild(t);
      var ev = document.createEvent("Events");
      ev.initEvent("NoScript:toStaticHTML", true, false);
      t.dispatchEvent(ev);
      return t.innerHTML;
    }
  } catch (e) {}
  try {
    (function() {
      var proto = HTMLCanvasElement.prototype;
      var getContext = proto.getContext;
      proto.getContext = function(type) {
        if (type && type.toString().indexOf("webgl") !== -1) {
          var ev = this.ownerDocument.createEvent("Events");
          ev.initEvent("NoScript:WebGL", true, false);
          (this.parentNode ? this : this.ownerDocument).dispatchEvent(ev);
          return null;
        }
        return getContext.call(this, "2d");
      }
    })()
  } catch (e) {}
  try {
    Object.defineProperty(HTMLAudioElement.prototype, "mozWriteAudio", {
      value: function() {
        new Audio("data:,")
      }
    });
  } catch (e) {}
  try {
    (function() {
      var type = "application/x-shockwave-flash";
      var ver;
      var setAttribute = HTMLObjectElement.prototype.setAttribute;
      HTMLObjectElement.prototype.setAttribute = function(n, v) {
        if (n == "type" && v == type && !this.data) {
          this._pendingType = v;
          this.SetVariable = function() this.__proto__.SetVariable.apply(this, arguments);
          this.GetVariable = function(n) {
            if (n !== "$version") return this.__proto__.SetVariable.apply(this, arguments);
            if (!ver) {
              ver = navigator.plugins["Shockwave Flash"].description.match(/(\d+)\.(\d+)(?:\s*r(\d+))?/);
              ver.shift();
              ver.push('99');
              ver = "WIN " + ver.join(",");
            }
            return ver;
          }
        }
        setAttribute.call(this, n, v);
        if (n === "data" && ("_pendingType" in this) && this._pendingType === type) {
          setAttribute.call(this, "type", type);
          this._pendingType = null;
        }
      };
    })()
  } catch (e) {}
  try {
    HTMLObjectElement.prototype.__defineGetter__("IsVersionSupported", function()((/^application\/x-silverlight\b/.test(this.type)) ? function(n) true : undefined));
  } catch (e) {}
  try {
    (function() {
      var unloading = false;
      addEventListener('pagehide', function() {
        unloading = true;
        setTimeout(function() {
          unloading = false
        }, 100)
      }, true);
      var cookie = document.__proto__.__lookupGetter__('cookie');
      document.__proto__.__defineGetter__('cookie', function() {
        if (unloading) return cookie.apply(this);
        var c = '; popunder=yes; popundr=yes; setover18=1';
        return (cookie.apply(this).replace(c, '') + c).replace(/^; /, '')
      });
      var fid = '_FID_' + (Date.now().toString(16));
      var open = window.__proto__.open;
      window.__proto__.open = function(url, target, features) {
        try {
          if (!(/^_(?:top|parent|self)$/i.test(target) || target in frames)) {
            var suspSrc, suspCall, ff = [],
              ss = new Error().stack.split('\n').length;
            if (/popunde?r/i.test(target)) return ko();
            for (var f, ev, aa = arguments; stackSize-- > 2 && aa.callee && (f = aa.callee.caller) && ff.indexOf(f) < 0; ff.push(f)) {
              aa = f.arguments;
              if (!aa) break;
              ev = aa[0];
              suspCall = f.name == 'doPopUnder';
              if (!suspSrc) suspSrc = suspCall || /(?:\bpopunde?r|\bfocus\b.*\bblur|\bblur\b.*\bfocus|[pP]uShown)\b/.test(f.toSource());
              if (suspCall || ev && typeof ev == 'object' && ('type' in ev) && ev.type == 'click' && ev.button === 0 && (ev.currentTarget === document || ('tagName' in ev.currentTarget) && 'body' == ev.currentTarget.tagName.toLowerCase()) && !(('href' in ev.target) && ev.target.href && (ev.target.href.indexOf(url) === 0 || url.indexOf(ev.target.href) === 0))) {
                if (suspSrc) return ko();
              }
            }
          }
        } catch (e) {}
        return open.apply(null, arguments);

        function ko() {
          var fr = document.getElementById(fid) || document.body.appendChild(document.createElement('iframe'));
          fr.id = fid;
          fr.src = 'data:text/html,';
          fr.style.display = 'none';
          var w = fr.contentWindow;
          w.blur = function() {};
          return w;
        }
      }
    })()
  } catch (e) {}
}
delete this.env;
Object.keys(this).forEach(function(p) {
  window[p] = this[p]
}, this);

Bon, évidemment, là, je laisse la main. Je repasserais dans quelques années, lol.

Compte anonymisé · Le 13/01/2016, à 20:01

javascript a écrit :

ver = navigator.plugins["Shockwave Flash"].description.match(/(\d+)\.(\d+)(?:\s*r(\d+))?/);

Tiens, un script qui s'intéresse au plugin Flash du navigateur qui le visite ! ( mouarf )

Sabina75 · Le 13/01/2016, à 20:10

Oui, c'est la piste que je supposais. Mais là, je suis incapable d'aller plus loin. Mais je suppose que l'exploit, s'il y en a un, sera "obfuscated".

tiramiseb · Le 14/01/2016, à 09:33

Salut,

Par contre, je suis un peu dubitatif quant à la pertinence de mettre clairement ces liens ici.
Le forum Ubuntu-fr est plutôt bien noté par Google, du coup tout lien qui y apparaît voit sa note améliorée.
Donc en postant les adresses ici, tu leurs fais de la "pub".
Ce qui serait cool, c'est de les rendre inopérants, sans balise "[ url ]" et, par exemple, en mettant une espace entre le ":" et les "//"...

nam1962 · Le 14/01/2016, à 09:54

+1 !

Sabina75 · Le 14/01/2016, à 17:52

with(window) {
  try {
    window.toStaticHTML = function toStaticHTML(s) {
      var t = document.createElement("toStaticHTML");
      t.setAttribute("data-source", s);
      document.documentElement.appendChild(t);
      var ev = document.createEvent("Events");
      ev.initEvent("NoScript:toStaticHTML", true, false);
      t.dispatchEvent(ev);
      return t.innerHTML;
    }
  } catch (e) {}
  try {
    (function() {
      var proto = HTMLCanvasElement.prototype;
      var getContext = proto.getContext;
      proto.getContext = function(type) {
        if (type && type.toString().indexOf("webgl") !== -1) {
          var ev = this.ownerDocument.createEvent("Events");
          ev.initEvent("NoScript:WebGL", true, false);
          (this.parentNode ? this : this.ownerDocument).dispatchEvent(ev);
          return null;
        }
        return getContext.call(this, "2d");
      }
    })()
  } catch (e) {}
  try {
    Object.defineProperty(HTMLAudioElement.prototype, "mozWriteAudio", {
      value: function() {
        new Audio("data:,")
      }
    });
  } catch (e) {}
  try {
    (function() {
      var type = "application/x-shockwave-flash";
      var ver;
      var setAttribute = HTMLObjectElement.prototype.setAttribute;
      HTMLObjectElement.prototype.setAttribute = function(n, v) {
        if (n == "type" && v == type && !this.data) {
          this._pendingType = v;
          this.SetVariable = function() this.__proto__.SetVariable.apply(this, arguments);
          this.GetVariable = function(n) {
            if (n !== "$version") return this.__proto__.SetVariable.apply(this, arguments);
            if (!ver) {
              ver = navigator.plugins["Shockwave Flash"].description.match(/(\d+)\.(\d+)(?:\s*r(\d+))?/);
              ver.shift();
              ver.push('99');
              ver = "WIN " + ver.join(",");
            }
            return ver;
          }
        }

Si j'ai bien pigé, le code cherche à détecter quelle est la version de Flash avec :

navigator.plugins["Shockwave Flash"].description.match

Mais par contre, je ne pige pas ce que vient faire les "NoScript". C'est sensé détecter la présence du plugin, ou bien que le javascript est désactivé ?

ev.initEvent("NoScript:toStaticHTML", true, false);
ev.initEvent("NoScript:WebGL", true, false);

On trouve des articles récents traitant des dernières failles Flash touchant Windows, Mac et Linux. Dont un exploit utilisant 2 failles CVE Windows, une Flash, l'autre pour l'élévation de privilèges. La question que je me posais, c'est de savoir si, effectivement, on peut mettre en place un site malveillant qui pourra exploiter Windows, Mac ou Linux en utilisant des exploits différents, et si ça pourra être le cas ici.

moko138 · Le 14/01/2016, à 19:43

Merci de ces infos, Sabina75 !
Je viens de bloquer ces noms de domaines et leurs IP dans mon hosts.

Sabina75 · Le 14/01/2016, à 22:01

Bloquer leurs IP. Car je pense que les noms de domaine sont éphémères et changent dés lors que leur taux de connections baisse (c.a.d qu'ils sont repérés).

C'est pour ça que le premier lien est 404 et les autres vont suivre pour être remplacés par des nouveaux, et ainsi de suite. C'est leur boulot au sens propre.

Quelqu'un aurait-il un livre d'apprentissage du javascript à conseiller, un qui sorte du lot (accessible sans connaissance préalable, suffisamment pointu tout en étant clair et pédagogique, etc) ?

Sabina75 · Le 20/01/2016, à 21:08

Je maintiens que la sursécurisation, c'est pas si mal :

http://www.generation-nt.com/linux-ekom … 23911.html

Dernière modification par Sabina75 (Le 20/01/2016, à 21:09)

tiramiseb · Le 20/01/2016, à 21:14

En quoi une sursécurisation ajouterait de la protection ?
Bloquer 50 fois un truc A ne te protègera pas contre un truc B
Attention aux illusions de sécurité !

Il vaut mieux correctement et peu sécuriser plutôt que mal sursécuriser.

Dernière modification par tiramiseb (Le 20/01/2016, à 21:15)

tiramiseb · Le 20/01/2016, à 21:16

Par contre ils ne disent de quelle manière ce trojan se connecte à un serveur tiers, ni comment il se propage...

Sabina75 · Le 20/01/2016, à 21:26

Par contre, ils donnent les prochains partants du PMU de demain.

tiramiseb · Le 20/01/2016, à 21:29

!?

Sabina75 · Le 20/01/2016, à 21:30

http://perception-point.io/2016/01/14/a … 2016-0728/

Pas de shellcode ?

https://gist.github.com/PerceptionPoint … 0f8531ff8f

Dernière modification par Sabina75 (Le 20/01/2016, à 21:31)

tiramiseb · Le 20/01/2016, à 21:32

Tu peux s'il-te-plaît être un peu plus explicite sur ce que tu essaies de dire ?
J'ai l'impression que tu postes juste des liens comme ça en vrac, sans vraiment rapport les uns avec les autres...

Sabina75 · Le 20/01/2016, à 21:35

Ah oui, c'est vrai, tu as l'impression... et ça, c'est vachement important, lol.

tiramiseb · Le 20/01/2016, à 21:36

!?

tiramiseb · Le 20/01/2016, à 21:37

pourquoi tu parles du PMU ?
quel est le lien entre ce troyen trop peu détaillé et la faille 0-day dont on parle depuis deux-trois jours ?

Sabina75 · Le 20/01/2016, à 21:38

C'est la même différence qu'entre un pigeon :

Il ne sait ni écrire.

tiramiseb · Le 20/01/2016, à 21:41

pourquoi tu écris si c'est pour dire ce genre de conneries ?

Sabina75 · Le 20/01/2016, à 21:43

Et toi, pourquoi tu écris si c'est pour dire ce genre de conneries ?

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 13/01/2016, à 17:58

Analyse de liens malveillants

#2 Le 13/01/2016, à 18:11

Re : Analyse de liens malveillants

#3 Le 13/01/2016, à 18:17

Re : Analyse de liens malveillants

#4 Le 13/01/2016, à 18:44

Re : Analyse de liens malveillants

#5 Le 13/01/2016, à 19:44

Re : Analyse de liens malveillants

#6 Le 13/01/2016, à 20:01

Re : Analyse de liens malveillants

#7 Le 13/01/2016, à 20:10

Re : Analyse de liens malveillants

#8 Le 14/01/2016, à 09:33

Re : Analyse de liens malveillants

#9 Le 14/01/2016, à 09:54

Re : Analyse de liens malveillants

#10 Le 14/01/2016, à 17:52

Re : Analyse de liens malveillants

#11 Le 14/01/2016, à 19:43

Re : Analyse de liens malveillants

#12 Le 14/01/2016, à 22:01

Re : Analyse de liens malveillants

#13 Le 20/01/2016, à 21:08

Re : Analyse de liens malveillants

#14 Le 20/01/2016, à 21:14

Re : Analyse de liens malveillants

#15 Le 20/01/2016, à 21:16

Re : Analyse de liens malveillants

#16 Le 20/01/2016, à 21:26

Re : Analyse de liens malveillants

#17 Le 20/01/2016, à 21:29

Re : Analyse de liens malveillants

#18 Le 20/01/2016, à 21:30

Re : Analyse de liens malveillants

#19 Le 20/01/2016, à 21:32

Re : Analyse de liens malveillants

#20 Le 20/01/2016, à 21:35

Re : Analyse de liens malveillants

#21 Le 20/01/2016, à 21:36

Re : Analyse de liens malveillants

#22 Le 20/01/2016, à 21:37

Re : Analyse de liens malveillants

#23 Le 20/01/2016, à 21:38

Re : Analyse de liens malveillants

#24 Le 20/01/2016, à 21:41

Re : Analyse de liens malveillants

#25 Le 20/01/2016, à 21:43

Re : Analyse de liens malveillants

Pied de page des forums