RSS
 

Posts Tagged ‘malware’

Servage hackat för search result hijacking

07 Jan

Search result hijacking kan närmast översättas till sökresultatskapning och innebär att när man klickar på en länk i till exempel Googles sökresultat kommer man inte till den valda sidan utan skickas vidare till en helt annan adress. Det kan vara en adress som försöker sälja Viagra, falska antivirusprogram eller som försöker installera virus på ens dator. Eftersom man endast skickas vidare om man kommer via en sökresultatsida och inte när man anger adressen till sajten manuellt kan det ta tid för ägaren av sajten att upptäcka att något är fel.

Oftast beror kapningen på att ett konto hackats och att en .htaccessfil lagts upp med kommando för att skicka besökare vidare.

De första fem raderna anger att om ett felmeddelande, till exempel för 404 för att angivna adressen inte existerar, ska visas så  ska servern skicka vidare besökaren till http://virtuta.ru/router/index.php. Raderna 6-11 anger att om referer (den sida besökaren senast kom från) innehåller google, ask, yahoo, linkedin eller flickr ska besökaren skickas vidare till adressen angiven på rad 12, http://virtuta.ru/router/index.php. Denna adressen skickar i sin tur vidare till http://villusoftreit.ru/in.cgi?3 som jag inte undersökt närmare men av adressen att döma gissar jag på att den försöker installera malware på besökarens dator.

Den senaste veckan har jag gått genom ett stort antal se-domäner för att se om de är drabbade av search result hijacking. Testet är väldigt enkelt. Jag hämtar sajtens förstasida två gånger, en gång där jag inte anger någon referer och en gång där jag anger google.com som referer. Sedan jämfört jag resultaten. För att snabba upp det hela kör jag kommandot HEAD istället för GET för att hämta sidan. HEAD innebär att servern ska göra exakt som vid en vanlig request, men låta bli att skicka ut själva sidan. Den informationen jag behöver finns i headerinformationen.

I bilden ovan hämtas förstasidan på www.afoco.se. Svaret från servern innehåller ”200 OK” vilket innebär att jag inte fick något felmeddelande och inte heller skickas vidare till någon annan adress. När jag anger http://www.google.com/?q=www.afoco.se som referer blir resultatet annorlunda.

Här får jag istället ”301 Moved Permantently” vilket betyder att adressen jag försöker nå inte är tillgänglig, istället ombeds jag istället hämta sidan som anges vid ”Location:”, i detta fall http://chimeboom.ru/in.cgi?17. Hade jag gjort besöket med en webbläsare hade jag automatiskt skickats vidare.

Av de se-domäner jag undersökte pekade www.domänen.se till ett IP-nummer i 629 817 fall. Av dessa var 149 (0,23 promille) domäner drabbade av search result hijacking. De webbhotell som hade flest kapade domäner är också de som har flest domännamn, One.com, Loopia och Binero.

Men ett företag stack ut från mängden, Servage.

För Servage hittades 30 domäner fördelade på två olika IP-nummer, 77.232.90.107 och 77.232.91.8. Ännu märkligare var att dessa 30 domäner skickade vidare till endast två olika adresser, http://chimeboom.ru/in.cgi?17 och http://zxsoftpromo.ru/in.cgi?5. Jag började undersöka domäner som inte är se-domäner och låg på samma servrar och fick mina misstankar bekräftade. Samtliga domännamn på dessa två IP-nummer är drabbade av search result hijacking. För andra webbhotell är det enskilda kunder som hackats men i det här fallet är det sannolikt att själva servrarna hos Servage hackats. Jag kontaktade Servages abuse omedelbart men har efter ett dygn ännu inte fått svar och problemet kvarstår.

De se-domäner som är drabbade är:
afoco.se
agenteyes.se
chokladgrottan.se
coach4me.se
crystaltrading.se
garnexpo.se
hallsbergstvatt.se
hemsidaprogram.se
ifkstockaryd.se
kommunikationskonst.se
lakritsgrottan.se
lovecyprus.se
martinaskowronska.se
mfwilma.se
mobil-shop.se
monashemochkok.se
negumbolew.se
peaceuniversity.se
perfectshop.se
pizzapicasso.se
ppbox.se
purecase.se
smallshoes.se
sykarsbrunn.se
tendera.se
twinani.se
vasbysmuscout.se
webbeditors.se
webeditors.se
wpthemes.se

Uppdatering 8 januari: Det har nu gått två dygn sen jag kontaktade Servage. På 77.232.91.8 har nu 9 av 14 sajter åtgärdats. För 77.232.90.107 är det värre, samtliga 16 är fortfarande hackade. För 6 sajter har hackers sedan igår uppdaterat så att man numera skickas till zippmonstersoft.ru.

 

Säkerhetshål i Phoenix Exploit Kit 2.3

04 Jan

Phoenix Exploit Kit är ett script som används för att enkelt smitta datorer med malware. Det består dels av filer som attackerar kända säkerhetshål i webbläsare, Adobe Flash och Adobe reader, dels av en kontrollpanel där man enkelt kan ladda upp den fil man vill ska installeras på attackerade datorer och se statistik över attacken.

Ironiskt nog innehåller denna kontrollpanel ett säkerhetshål som rapporterades 2 januari. Säkerhetshålet gör att man kan logga in utan att känna till lösenordet förutsatt att serverns har register_globals aktiverat. Php-koden som hanterar inloggningen ser ut så här:

I rad 9 och 10 kontrolleras dels om något är fel med lösenordet (pw), dels om något är fel med användarnamnet (login). Sistnämnda är intressant, då man på kontrollpanelens inloggningssida endast fyller i lösenord. För att inloggningen ska misslyckas måste både lösenord och användarnamn vara felaktigt.

Variabeln $ADMINLN som kontrolleras på rad 10 sätts aldrig. Det spelar ingen roll för funktionaliteten eftersom en misslyckad inloggning kräver att både lösenordet och användarnamnet är fel. Däremot kan man sätta $ADMINLN, enklast genom att ange det i adressfältet, förutsatt att register_globals är aktiverat. På rad  21 sätts sessioncookie med namnet ‘login’ oavsett om inloggningen lyckats eller inte, rad 22 gör att sidan laddas om och först då kontrolleras att inloggningen är korrekt, via rad 9 och 10.

Vi har alltså möjlighet att kontrollera värdena i både sessioncookien ‘login’ och variabeln $ADMINLN. Eftersom kontrollen på rad 9 och 10 godkänner inloggning om inte både lösenord och användarnamn är fel kan vi nu logga in utan att veta lösenordet, eftersom vi har full kontroll över användarnamnet.

Enklast är att visa med hjälp av ett php-script.

<?php
$ch = curl_init();

curl_setopt($ch, CURLOPT_COOKIEJAR, ”cookie.txt”);
curl_setopt($ch, CURLOPT_URL, ”http://example.org/phoenix/statistics.php”);
curl_setopt($ch, CURLOPT_POST, 1);
curl_setopt($ch, CURLOPT_POSTFIELDS, ‘login=’);
curl_exec($ch);

curl_setopt($ch, CURLOPT_URL, ”http://example.org/phoenix/statistics.php?ADMINLN=da39a3ee5e6b4b0d3255bfef95601890afd80709”);
curl_setopt($ch, CURLOPT_POST, 0);
curl_exec($ch);

curl_close($ch);
?>

I den första curl-requesten postar vi ett formulär till inloggningssidan, i detta fall http://example.org/phoenix/statistics.php. Enda fältet i det postade formuläret är login som lämnas tomt. Sessioncookien ‘login’ kommer nu att sättas med värdet av sha1-hash av en tom sträng. I nästa curl-request hämtar vi sidan igen och denna gången kommer $ADMINLN att sättas via adressen. Den sätts till värdet av sha1-hash av en tom sträng. När inloggningen kontrolleras kommer vi att uppfylla både kravet att sessioncookien ‘login’ är satt och att den har samma värde som variabeln $ADMINLN. Php-scriptet kommer att returnera sen html-kod som visas efter en lyckad inloggning.

 

Gott nytt säkert år!

31 Dec

Vid midnatt kommer fyrverkeri explodera, champagne drickas och malwarescript på 8000000.in sluta fungera. 8000000.in registrerades 12 december och har infekterat minst 70 domäner. Malwarescriptet som körs innehåller denna javascriptkod.

Mh använder på rad 32 javascripts datumobjekt medan variabeln vipt är (och förblir) tom. På rad 34 hämtas årtalet med mh.getFullYear() från vilken 1 subtraheras. Fram till och med midnatt 31 december 2010 får man alltså 2009. Eftersom varibeln vipt är tom sätts variabeln gg till ”e2009al”.

Nästa steg är att i variabeln gg byta ut 2009 mot bokstaven v, och vi får ”eval”, okil är nu en funktion som kör eval(). Detta är ett javascriptkommando som exekverar data som javascriptkod. På rad 36 körs kommandot för strängen ”var kfxb=String.fromCharcode”, vilket sätter en ny variabel. Denna variabel används längre fram för att dekryptera och skriva ut ytterligare javascriptkod.

År 2011 kommer variabeln gg istället att sättas till ”e2010al” och kommer inte att ändras till ”eval”. Javascriptet kommer inte att kunna köra vidare eftersom den försöker använda ett kommando som inte existerar.

Denna post är inspirerad av en post hos Websense.

 

Heihachi bättre än sitt rykte

19 Dec

Wikileaks.info ligger nu på en server hos Heihachi Ltd. Deras IP-serie är blockerad av Spamhaus för ”Hosting and routing for well known cybercriminals who use malware to infect the computers of thousands of Russian citizens.” Beskrivningen avser främst Webalta som man beskriver som värd för Heihachi. Heihachi står dock själva som ägare för ip-serien 92.241.190.0 – 92.241.190.255. Spamhaus berättar också att Heihachis servrar har ”malware, Zeus/SpyEye and other botnet command and control (C&C) servers, phish sites and ”backends”, child pornography sites, and other types of abusive web sites”.

Jag hittade 255 com/net-domäner som ligger hos Heihachi och använder deras DNS-servrar. Av dessa domäner är ingen rapporterad av Google för att ge malware. Två av domänerna rapporteras av Google som phishingsidor, dhl24-servicecenter.com och pixel-banner.com. För ögonblicket går den första domänen inte att nå medan den andra är avstängd. Clean-mx rapporterar fyra adresser som hanteras av Heichachi (övriga på listan ligger på IP-nummer som tillhör Webalta men inte Heihachi). Malwaredomainlist rapporterar om tre adresser på en domän.

Det är alltså svårt att hitta några bevis för att Heihachi är så hemska som Spamhaus menar. Däremot bör man se upp för Webalta som helhet. Enligt Google har åtta procent av de kontrollerade sidorna använts för att sprida malware. Det ser ut som att Webalta gärna hostar företag som vill sprida malware, men Heihachi är inte ett av dessa.

92.241.190.0 - 92.241.190.255
 
 

DDOS mot Spamhaus, en förvirrad attack

19 Dec

Igår blev Spamhaus utsatta för en DDOS-attack efter att ha varnat för wikileaks.info. Eftersom deras hemsida blev svår att nå valde de att skicka ett öppet brev till Nanog.orgs mailinglista där de ber mottagarna att sprida varningen för wikileaks.info.

Attacken mot Spamhaus visar att både personerna bakom attacken och de ansvariga för wikileaks.info saknar en del teknisk kompetens. Wikileaks info har publicerat ett svar på Spamhaus varning där de menar att Spamhaus blockerat wikileaks.info, för att sedan lägga till en uppdatering efter att Spamhaus sagt att de inte blockerar domänen.

Spamhaus blockerar inte några servrar alls. De erbjuder listor över ip-nummer och ip-serier som används för att skicka ut spam. Dessa listor kan administratörer av mailservrar använda för att stoppa spam. Listorna är inte tänkta att användas på något annat sätt, till exempel för att blockera tillgång till hemsidor. Spamhaus har själva inte möjlighet att blockera någon att nå wikileaks.info och försöker inte heller få någon att blockera domänen.

Spamhaus har heller aldrig varnat för att wikileaks.info skulle vara farlig eller innehålla malware just nu. Däremot har de sagt att servern kontrolleras av personer som tidigare hjälpt till att sprida malware och att man därför bör vara försiktig. Attacken mot Spamhaus hjälper inte Wikileaks på något sätt, däremot har företaget som äger ip-serien och har kunder som vill skicka spam mycket att vinna på att Spamhaus misskrediteras.

Man bör även vara försiktig med wikileaks.org, den skickar vidare till mirror.wikileaks.info som ligger på samma server som wikileaks.info.

 
 

Koobface igång igen

11 Dec

Efter att Koobfaces C&C-server stängdes ner i mitten av november har aktiviteten varit låg, men det var bara en fråga om tid innan Koobface skulle börja igen, med nya C&C-servrar. I sin spridning utnyttjar datormasken Koobface hackade FTP-konton (en av Koobface funktioner är just att stjäla inloggningsuppgifter till FTP-konton) för att lägga upp falska Youtube-sidor. Reklam för sidorna görs via Facebook och om man klickar på att visa Youtube-filmen försöker Koobface hämtas hem och installeras. I veckan upptäcktes en del FTP-konton där nya Koobface-script lagts upp och dessa har jag nu undersökt.

Som tidigare laddas filerna upp i en mapp med slumpat namn, till exempel ”72jks5wji”. Den här gången lades även en fil upp i rotmappen, mytest.php.

Mytest.php används för att kontrollera att servern fungerar, kör php och kan ansluta till servern med IP-nummer 94.100.25.58. Eftersom sidan som hämtas för närvarande skriver ut ”sys” kommer scriptet att skriva ut ”php dont working! sys”. IP-numret som testade att hämta mytest.php var just 94.100.25.58. Detta IP-nummer används även för att hämta statistik från sidorna som sprider Koobface och man kan misstänka att det är personerna bakom Koobface som hanterar denna server.

IP-numret är registrerat av företaget King Servers och Nederländerna anges som landskod. Kontaktperson för IP-serien är dock en Vladimir Fomenko med address i Storbritannien. Spamhaus har blockerat hela ip-serien för ”bulletproof cybercrime hosting operation”.

En annan nyhet är att Koobface tydligen sagt upp avtalet med adultfriendfinder.com. Istället skickas besökare som inte kan infekteras med Koobface till rolly.com. Detta visas i funktionen other() som körs om besökaren inte verkar använda Windows. I detta script kan man även notera att loggningen till en extren server kommenterats bort.

 

Virusinstallation i praktiken

02 Dec

I det här inlägget vill jag visa vad som händer i praktiken när man smittas av virus bara genom att gå in på en hemsida man litar på och besökt många gånger tidigare.

Den här gången har hemsidan blivit hackad, en okänd person har ändrat html-koden på startsidan och lagt till nedanstående kod:

Kommandot gör att besökarens webbläsare kommer att hämta hxxp://visions7.net/ och visa den i en ruta som är 1×1 pixel hög och som dessutom ska döljas. Sidan hämtas alltså i bakgrunden av webbläsaren.

visions7.net ser vid första anblick ut att vara en legitim sida som hjälper dig att hitta hantverkare i Kanada. Men det finns många tecken på att det inte är någon seriös person som står bakom sidan och att den skapats enbart för att sprida virus.

– Domänen registrerades för mindre än en månad sen och används redan för att sprida virus
– Domänen registrerades via Privacyprotect för att dölja ägarinformation
– Domänens namn är inte relaterad till hemsidan
– Kontaktuppgifter saknas helt
– Förstasidan passar på att tipsa om ett nätapotek

Mest intressant när vi ska spåra virus är dock denna html-kod som finns på startsidan:

Webbläsaren hämtar alltså hem en ny sida, denna gången från tubd.net. Även denna domän registrerades anonymt med Privacyprotect och ligger på samma webbhotell som visions7.net, Keyweb AG i Tyskland.

hxxp://tubd.net/in.cgi?7 skickar webbläsaren vidare till hxxp://lamix557.co.cc/pic/csxzephrxnguhz.php. Denna sidan är på 21 kilobyte och består av hårt krypterad javascriptkod. Sidan hämtar även java-filen gsbngzhwkmboym.jar från samma server. Denna filen är känd av antivirusprogram som Exploit-ByteVerify.

Resultatet av att java-filen körs är att webbläsaren hämtar hxxp://lamix557.co.cc/pic/cq.php?i=15 och sparar den på datorn som kqhvdqfo1.exe för att sedan köra programmet. Denna filen hittas av endast fyra antivirusprogram och de definierar den som ett misstänkt program, inte ett specifikt virus. Detta program har som enda syfte att hämta hem själva virusprogrammen.

Det första blir hxxp://anub.net/lasc/load.php?file=0 som hämtas som inst.exe. Denna fil hittas av sex antivirusprogram. Ytterligare virus med olika syfte hämtas hem.

Under hela processen har webbläsaren fortsatt att visa den legitima hemsidan besökaren gick in på från början. Möjligen kan besökaren notera att webbläsarens statusfält visar att den fortsätter hämta filer från olika servrar. Ett av programmen som laddar hem och körs avslöjar sig dock genom att visa nedanstående fönster.

Detta är Security Tool, ett falskt antivirusprogram som kommer att rapportera att du har virus och be dig köpa en licens av programmet för att ta bort virus. Men dessa varningar är falska och programmet kommer fullständigt ignorera alla virus som faktiskt finns på datorn.