Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog
10 janvier 2014 5 10 /01 /janvier /2014 01:46

Oui, le titre peut faire hausser les sourcils, c'est un peu le but.

Cherchant des articles que le fameux Ivanlef0u avait écrit, je suis passé sur ce qui avait été un de ses sites officiels : http://ivanlef0u.fr/

Le lien ivanlef0u.fr venant du site tuxfamily :

ivanlef0u.tuxfamily.org_100114.JPG

 

Sauf que dès l'accès à la page d'accueil, hop, surcouche forcée qui apparaît et me dit "qu'il faut Flash pour pouvoir visualiser la page". Hmmm cela sent un peu le VX heu roussi.

ivanlef0u_Flash_avertissement_100114-copie-1.PNG

 

La passion me pique. Je clique !

Bon alors déjà, mes protections AV ne disent rien (sic, je taira la liste...). Essayons plus fort : VT. Bilan : 0 pointé !!

https://www.virustotal.com/en/file/52ceb98a4f035fba3163a7e5d96fd7d095bd374ceaecb7cc60ae707ed0179f0b/analysis/1389314203/

VT_flashplayer_100114.PNG

 

En gros, seuls ClamAV remonte une "PUA" et Symantec un "Suspicious.Insight". Pas brillant.

 

Etape suivante : analyse dynamique. Allez, prenons malwr.com avec du Cuckoobox. Là, c'est déjà mieux !

https://malwr.com/analysis/NTI4M2E3ZjczMzUyNGNkNWI2OWVmOWE0ZTZmMDU3Nzk/

 

Vieux réflexe, je passe assez vite à la partie comportement réseau. Intéressant !

malwr.com_flahsplayer_domaines_100114.PNG

- accès à 

http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt

waou, le code malin télécharge la mise à jour du magasin des autorités racines et intermédiaires, de la PKI Windows... alors que bon nombre d'entités ne le font pas ! (bonjour les impacts sur toutes les fonctions de crypto, mais c'est un autre chapitre).

Soit. On a bien vu des codes télécharger des Service Packs...

- accès à

 http://skydrive.live.com/download.aspx?cid=a688a826ff19b912&resid=A688A826FF19B912%21114  

qui en fait redirige sur w9kz0w.bn1303.livefilestore.com

(NB : petit bogue pour malwr.com : ce domaine apparaît bien dans la liste des domaines, mais pas dans les détails des requêtes HTTP...)

malwr.com_flahsplayer_HTTP_100114.JPG

Bingo ! (et une détection par mes propres outils, ouf :) )

Le test VT montre que l'échantillon n'a jamais été envoyé encore... très frais potentiellement. https://www.virustotal.com/en/file/9eb462a7d77437969d5b26172e00ea87005169337146014b189b63878a3aae81/analysis/ 

4 moteurs détectent (+ Clam PUA, et Symantec Reputation) :

VT_flashplayer2_100114-copie-1.PNG

 

Ohhhh du AutoIT ! cela faisait un bail, et encore plus, appliqué au monde VX !

 

Maintenant, pour revenir au site lui-même, le code source de la page est assez parlant :

ivanlef0u.fr_source_.JPG100114.JPG

 

En jouant un peu avec la logique de script pour l'URL qui propose le fichier, il ne semble pas qu'il y ait un certain dynamisme.

Voici l'URL d'où vient le fichier EXE :

https://w9norw.bn1303.livefilestore. com/y2muoADUmAic2ch-kWgo6AGHtYhSLMe0sq_gwBirHjXqoGrdQSIgx2li2ulOliNBuhd9wqV-QDaDqkJZO1ecTue3-I8tkma6wzsPW5myco_JCU/flashplayer.exe?download&psid=1

Et donc oui, c'est du HTTPS... en d'autres termes, sans décontamination au niveau du proxy périmétrique (même le NIDS ne devrait pas voir grand chose ici), le niveau de sécurité sera celui du poste/serveur au bout de la ligne...

 

Autre chose, la façon dont est codé l'ensemble JavaScript ici semble aussi avoir pour but de complexifier les analyses statiques de code (ie: sans interpréter le JavaScript, qui reconstruit ici l'URL en dynamique), ceci pouvant se faire avec par ex un Lynx ou un wget, et un proxy (squid).

Voici donc l'erreur qui apparaît dans un Squid3, quand on tente d'accéder à une des URL de "téléchargement", depuis un Lynx:

squid_showofftravelbags.com_error_100114.JPG

 

Je crois bien qu'il y a eu un souci quelque part... mais le "flashplayer" reste pour moi un cas d'école intéressant (je ne publierai pas tout ici, pour diverses raisons).

Un petit coup d'oeil aux requêtes HTTP du coup ?

trafic_showofftravelbags.com_headers_100114.JPG

 

Une configuration apparemment bien sécurisée sur c.statcounter.com avec Apache 2.2.3 (obolète ?) / PHP 5.2.17 (obsolète/vulnérable), pourrait être un des points clés de l'histoire.

Au passage et dernier point, c'est le site http://www.showoffstravelbags.com/images/imgfiles/b.html qui (héberge) est la page HTML "DOWNLOAD NOW" en surcouche, y est hébergée...

D'après webinspector, tout va bien... :(

webinspector_showofftravelbags.com_100114.JPG

MàJ 1 : correction de faute de frappe, merci Estelle :)

Partager cet article

Repost0

commentaires