Le blog sécurité de Philippe Vialle / Phil Vialle's blog

Oui, le titre peut faire hausser les sourcils, c'est un peu le but.

Cherchant des articles que le fameux Ivanlef0u avait écrit, je suis passé sur ce qui avait été un de ses sites officiels : http://ivanlef0u.fr/

Le lien ivanlef0u.fr venant du site tuxfamily :

Sauf que dès l'accès à la page d'accueil, hop, surcouche forcée qui apparaît et me dit "qu'il faut Flash pour pouvoir visualiser la page". Hmmm cela sent un peu le VX heu roussi.

La passion me pique. Je clique !

Bon alors déjà, mes protections AV ne disent rien (sic, je taira la liste...). Essayons plus fort : VT. Bilan : 0 pointé !!

https://www.virustotal.com/en/file/52ceb98a4f035fba3163a7e5d96fd7d095bd374ceaecb7cc60ae707ed0179f0b/analysis/1389314203/

En gros, seuls ClamAV remonte une "PUA" et Symantec un "Suspicious.Insight". Pas brillant.

Etape suivante : analyse dynamique. Allez, prenons malwr.com avec du Cuckoobox. Là, c'est déjà mieux !

https://malwr.com/analysis/NTI4M2E3ZjczMzUyNGNkNWI2OWVmOWE0ZTZmMDU3Nzk/

Vieux réflexe, je passe assez vite à la partie comportement réseau. Intéressant !

- accès à 

http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt

waou, le code malin télécharge la mise à jour du magasin des autorités racines et intermédiaires, de la PKI Windows... alors que bon nombre d'entités ne le font pas ! (bonjour les impacts sur toutes les fonctions de crypto, mais c'est un autre chapitre).

Soit. On a bien vu des codes télécharger des Service Packs...

- accès à

 http://skydrive.live.com/download.aspx?cid=a688a826ff19b912&resid=A688A826FF19B912%21114  

qui en fait redirige sur w9kz0w.bn1303.livefilestore.com

(NB : petit bogue pour malwr.com : ce domaine apparaît bien dans la liste des domaines, mais pas dans les détails des requêtes HTTP...)

Bingo ! (et une détection par mes propres outils, ouf :) )

Le test VT montre que l'échantillon n'a jamais été envoyé encore... très frais potentiellement. https://www.virustotal.com/en/file/9eb462a7d77437969d5b26172e00ea87005169337146014b189b63878a3aae81/analysis/ 

4 moteurs détectent (+ Clam PUA, et Symantec Reputation) :

Ohhhh du AutoIT ! cela faisait un bail, et encore plus, appliqué au monde VX !

Maintenant, pour revenir au site lui-même, le code source de la page est assez parlant :

En jouant un peu avec la logique de script pour l'URL qui propose le fichier, il ne semble pas qu'il y ait un certain dynamisme.

Voici l'URL d'où vient le fichier EXE :

https://w9norw.bn1303.livefilestore. com/y2muoADUmAic2ch-kWgo6AGHtYhSLMe0sq_gwBirHjXqoGrdQSIgx2li2ulOliNBuhd9wqV-QDaDqkJZO1ecTue3-I8tkma6wzsPW5myco_JCU/flashplayer.exe?download&psid=1

Et donc oui, c'est du HTTPS... en d'autres termes, sans décontamination au niveau du proxy périmétrique (même le NIDS ne devrait pas voir grand chose ici), le niveau de sécurité sera celui du poste/serveur au bout de la ligne...

Autre chose, la façon dont est codé l'ensemble JavaScript ici semble aussi avoir pour but de complexifier les analyses statiques de code (ie: sans interpréter le JavaScript, qui reconstruit ici l'URL en dynamique), ceci pouvant se faire avec par ex un Lynx ou un wget, et un proxy (squid).

Voici donc l'erreur qui apparaît dans un Squid3, quand on tente d'accéder à une des URL de "téléchargement", depuis un Lynx:

Je crois bien qu'il y a eu un souci quelque part... mais le "flashplayer" reste pour moi un cas d'école intéressant (je ne publierai pas tout ici, pour diverses raisons).

Un petit coup d'oeil aux requêtes HTTP du coup ?

Une configuration apparemment bien sécurisée sur c.statcounter.com avec Apache 2.2.3 (obolète ?) / PHP 5.2.17 (obsolète/vulnérable), pourrait être un des points clés de l'histoire.

Au passage et dernier point, c'est le site http://www.showoffstravelbags.com/images/imgfiles/b.html qui (héberge) est la page HTML "DOWNLOAD NOW" en surcouche, y est hébergée...

D'après webinspector, tout va bien... :(

MàJ 1 : correction de faute de frappe, merci Estelle :)

Comme souvent, un point de départ totalement hors sujet antivirus... En navigant sur : www.mediapart.fr !

Et notamment : http://www.mediapart.fr/journal/france/070513/sarkozy-black-out-sur-son-compte-de-campagne

SquidClamAV déclenche différentes alertes mais qui ne sont pas visibles durant la navigation. Il doit s’agir de composants imbriqués dans la page globale visitée, et seule l’analyse des journaux (snif) lève le lièvre.

<snip>

1368390567.284    582 192.168.XXX.YYY TCP_MISS/301 567 GET http://level3.cedexis.com/r15/32/r15.html? - DIRECT/207.123.33.126 text/html

1368390567.427    108 192.168.XXX.YYY TCP_MISS/200 896 GET http://192.168.XXX.ZZZ/cgi-bin/clwarn.cgi.fr_FR? - DIRECT/192.168.XXX.ZZZ text/html

<snip>

1368390575.246    296 192.168.XXX.YYY TCP_MISS/301 566 GET http://sfr.cedexis.com/r15/102/r15.html? - DIRECT/93.17.156.250 text/html

1368390575.387     99 192.168.XXX.YYY TCP_MISS/200 894 GET http://192.168.XXX.ZZZ/cgi-bin/clwarn.cgi.fr_FR? - DIRECT/192.168.XXX.ZZZ text/html

<snip>

1368390584.019    820 192.168.XXX.YYY TCP_MISS/200 530 GET http://ec2-ap-northeast-1a.cedexis.com/r15/r15lgc.js? - DIRECT/175.41.250.60 application/x-javascript

1368390584.460    387 192.168.XXX.YYY TCP_MISS/301 578 GET http://ec2-ap-northeast-1a.cedexis.com/r15/r15.html? - DIRECT/175.41.250.60 text/html

1368390584.601     84 192.168.XXX.YYY TCP_MISS/200 902 GET http://192.168.XXX.ZZZ/cgi-bin/clwarn.cgi.fr_FR? - DIRECT/192.168.XXX.ZZZ text/html

1368390600.699    156 192.168.XXX.YYY TCP_MISS/200 646 GET http://static.mediapart.fr/cedexis/cdx10b.js? - DIRECT/95.131.141.3 application/javascript

1368390600.843    114 192.168.XXX.YYY TCP_MISS/200 646 GET http://static.mediapart.fr/cedexis/cdx10b.js? - DIRECT/95.131.141.3 application/javascript

1368390602.150   1276 192.168.XXX.YYY TCP_MISS/200 100548 GET http://static.mediapart.fr/cedexis/cdx10b-100KB.js? - DIRECT/95.131.141.3 application/javascript

1368390602.385    214 192.168.XXX.YYY TCP_MISS/200 349 GET http://report.init.cedexis-radar.net/f1/aqfQCW4caFOOaaaaJpUpuqxUksGaCJgjW49raiZ7J1hqrsipaaaaaaaaaaaaaaaaaZDjafspaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaagZGaaaaaaaaa/1/10490/1986/1/0/179/0 - DIRECT/178.33.229.168 application/x-javascript

1368390602.450    227 192.168.XXX.YYY TCP_MISS/200 349 GET http://report.init.cedexis-radar.net/f1/aqfQCW4caFOOaaaaJpUpuqxUksGaCJgjW49raiZ7J1hqrsipaaaaaaaaaaaaaaaaaZDjafspaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaagZGaaaaaaaaa/1/10490/1986/0/0/139/0 - DIRECT/178.33.229.168 application/x-javascript

1368390602.473    250 192.168.XXX.YYY TCP_MISS/200 349 GET http://report.init.cedexis-radar.net/f1/aqfQCW4caFOOaaaaJpUpuqxUksGaCJgjW49raiZ7J1hqrsipaaaaaaaaaaaaaaaaaZDjafspaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaagZGaaaaaaaaa/1/10490/1986/14/0/619/0 - DIRECT/178.33.229.168 application/x-javascript

1368390603.341    367 192.168.XXX.YYY TCP_MISS/200 296 GET http://ping.chartbeat.net/ping? - DIRECT/184.73.194.227 image/gif

1368390604.311    119 192.168.XXX.YYY TCP_MISS/200 359 GET http://probes.cedexis.com/? - DIRECT/37.59.8.25 application/javascript

En prenant la requête http juste avant celle où le poste est redirigé sur la bannière d’alerte, voici la vraie l’alerte qui devrait apparaître :

<html>

<head>

<meta charset="utf-8"/>

<title></title>

<script>

function cdxt(){this.a=function(){this.c=/rnd=(\d+)-(\d+)-(\d+)-(\d+)-(\d+)-(\d+)-(\w+)-(\d+)/.exec(window.location.search);this.b({s:"l"})};this.b=function(d){var c=window,b=this.c;if(c!==c.parent){d.p={z:b[2],c:b[3],i:b[6]};d.r={z:b[4],c:b[5]};d.m=b[1];c.parent.postMessage(JSON.stringify(d),"*")}};this.d=function(){setTimeout(this.e(),0)};this.e=function(){var a=this;return function(){a.f()}};this.f=function(){var b,j,h,g,m,a,l=0,k,f=[],c="abcdefghijklmnopqrstuvwxyz0123456789",d={};try{j=document.childNodes[1].outerHTML;h=this.c;g=parseInt(h[8],10);for(a=0;a<h[7].length;a++){l+=h[7].charCodeAt(a)}k=Math.floor(l/h[7].length);m=Math.floor(j.length/g);for(a=m;a<j.length;a+=m){f.push(c.charAt((j.charCodeAt(a)^k)%c.length))}b=window.performance.timing;d={s:"s",h:f.join("")};for(a in b){if("number"===typeof b[a]){d[a]=b[a]}}this.b(d)}catch(i){this.b({s:"e"})}}}if("undefined"===typeof cdxu){(function(){var g=window,f=new cdxt(),e=function(){f.d()},i="addEventListener",h="attachEvent";f.a();if(g[i]){g[i]("load",e,false)}else{if(g[h]){g[h]("onload",e)}}}())};

</script>

</head>

<body>

        <!-- Copyright 2012 Cedexis Inc. -->

</body>

</html>

OK, il y a bien du Javascript, qui n’a pas l’air très lisible à première vue.

Première hypothèse : le site ou la page ont été compromis, c’est une vraie bannière virale… (avec redirection ailleurs, code d’exploitation, ou pire préparation de la mémoire avant de lancer l’attaque…).

On pourrait espérer qu’au moins un des moteurs antiviraux les plus utilisés, déclenche… que nenni (résultats VT) :

Oups… ClamAV ne remonte pas de détection mais ha oui c’est vrai, « c’est un PUA donc pas affiché en page principale des résultats ». Soit.

Ne nous désarmons pas, vérifions aussi niveau URL :

Là par contre, ça en devient un peu frustrant…

Seconde hypothèse ( L ), c’est un faux positif… Il me reste à remonter l’échantillon à ClamAV.

After my previous article (in French) regarding a ZBot variant analysis on VirusTotal, which gave no result for ClamAV while Clam does detect the sample, somebody from Google VirusTotal left comments on my Twitter account:

 As you can see, there seems to be a confusion here between PUA (Potentially Unwanted Application) and malware (Win.Trojan.Spy.Zbot)...

To me, Clam's results should definitely be displayed in the "main report" as it is not PUA, since ZBot is not (not at all, I can tell :) ).

HTH.

La capture d'écran parle toute seule à mon avis :

Ne pas cliquer sur tout ce qui bouge / clignote, comme toujours.

 L'exemple, réel, m'a tellement plu que je n'ai pas pu m'empêcher de le publier :) (oui, ça faisait un moment que je n'avais pas publié, je sais...).

Tout commence par une mise en relation, via Internet... ami d'ami, sites d'événementiel, etc Bref, tout commence bien.

C'est alors qu'une demoiselle (je pense ! ) vous approche. Très vite, elle vous demande votre adresse MSN. Pourquoi pas. Bon, je passerai sur le niveau en Français, catastrophique pour ne pas dire honteux. Tellement que cela en deviendrait suspect...   Juste un petit exemple :

le chapeau je t'envoierais çela en france sa serrais un cadeau pour toi

La demoiselle donc pose des questions, et monte son scénario. Elle indique être actuellement en Afrique, pour "raisons personnelles", temporaires... et plus précisément en Côte d'Ivoire. Pour ceux qui traînent un peu dans la veille sécurité, le "tilt" du Scam 419 pourrait ne pas être loin, mais bon passons (pour le moment).

Bref, la demoiselle indique ne pas avoir de sous, mais par contre souhaiterait... qu'on lui paye le billet (aller-simple, mais bien sûr) pour Paris...! là ça commence à devenir louche.

Commençons donc les vérifications.

Déjà, petit rappel, MSN étant une forme de P2P, il est facile de renifler le trafic (avec Wireshark ou autre), et trouver l'IP de la personne avec qui l'on cause (hé oui, désolé si un mythe s'effondre...).

on voit bien du trafic MSN, pur, avec le serveur (l'IP appartenant à MSFT), et le trafic MSN qui l'encadre. Voici donc l'IP de la fameuse personne : 213.136.125.178

Bon, un petit tour sur RIPE pour voir ?

https://apps.db.ripe.net/search/query.html?searchtext=213.136.125.178&search%3AdoSearch=Search#resultsAnchor

Localisation : Côté d'Ivoire, ça semblerait cohérent...

Mais ce n'était qu'une première étape. Que disent nos chers moteurs de recherche ? oups....

Déjà, le même pseudo est pris, sur d'autres sites : http://www.jecontacte.com/profil/Florencebonheur  dont le thème est clairement affiché... (non, je ne me mettrai pas de capture d'écran :[ ) pas franchement discret de prendre le même pseudo entre sites différents. D'autant plus que Google, lui, indexe tout, et a de la mémoire !

Pour confirmer le tout, en 10 min à peine de parlotte, la "damoiselle" se laisse convaincre d'envoyer un email avec une "photo d'elle" (puisqu'elle tient absolument à faire une conversation vidéo... alors qu'elle n'a pas de webcam, elle...)

Bingo, merci les entêtes de messages dans tout bon client de messagerie standard. L'IP émettrice  est:

Qu'en dit-on sur le Net ? le couperet tombe assez vite : 

 https://apps.db.ripe.net/search/query.html?searchtext=213.136.125.178&search%3AdoSearch=Search#resultsAnchor

Un scam 419, dont l'IP émettrice est la même... et qui date de juin 2012... la coïncidence est troublante, non ?

Et encore un signalement, parmi d'autres :

http://www.projecthoneypot.org/ip_213.136.125.178

NB : Pas de commentaire sur la pub à gauche, je n'y suis pour rien :(

Bref, continuons !

J'avais oublié : mais qu'elle a l'air jolie la "damoiselle" en photo ! Voyons cela d'un peu plus près....

Déjà, sa photo MSN... utilisons une petite banque de données d'images !

 Hum... bon voyons maintenant les autres photos qu'elle envoie (très facilement) via MSN :

  Bon, je crois que tout est clair.

La photo est en plus utilisée sur plusieurs sites, encore moins discret (et malin).

De même, grâce à Google cette fois-ci, dans sa fonction de recherche par image, je suis tombé sur :

https://www.google.com/search?tbs=sbi:AMhZZiseBWnNUan0Bu33pd9jnJl89jrg0VmCdRgBftuz42b_1D_153Mw6naW9jnRqOxvvywJGI3e309JjfmqZA9tbQzDOp34vorFDy9jdfQyUWhSC9S9F9jvYG44WexqcFZ-uNci9gUAF0aekjoVMJfqoXiTC7cW0o-51EMdZABw3OJBmDPkTcDhealO6nx5W9QJNJz36iK7wzxnKoC3lifk72fSg5fK0wOVzi37_1fyyvlpkl-u0FvcQs29-1HPFImZSf7PDkM41Ya3FME_1NTKuuND0lIx8DhdOGe6Dh5nKqP0OKw6WHST5hvOO25u0OsOcd6uRUBv8Q2hYpIqRl-Dj2Rild3Iyy7zdmMUb5_1esOXssT6qwUf5gibiBDRa-KOoWRwCyK0M5sjLaxreoyit-B9TGeMBnupaQEmphLf02zHAmr-NHj8qVyVCDTlnZblWQdakDIAa2Y6FWKQrfAyCUHJahTZFwLTnO-CBBu0sOLE6fGSKsJ4LXcGcU8MNT50V950YjnFUr0sd8OaNxFRwC0l1hLFyKEluetDbX9Qg1z_1ylGiVUc2evMNyPB3Lc5v7o0SzZqQIkebznZ1B5NnPItxw4-rM6Qtazmjh3m6XG-EkdPsmtQOf89EuzT1fQx_1Q_1HNOf5-9fKZO3cHsdg9UDK-8bmfmFv14el6FhL4pwlO6L9sznKRwagrR59GZQH7BgfDO8T80AM9Ipxqa4aurpPFi1SzPVbXcN5_1w_1sURkwOP6WNjmIj6kc75sS85m0-hKHFz5UM4ztyt9ukdlfnR_127mIUQfsVx0EedHN10xbVMURNU3q81poniLgoDLCn_1AH2tznrKo7mbFXTl-RJJNmTBkqO6R31izNfWcNwxKScWCCKws09YYhP1lMiaxctWUbKAZU6L7I9k67vgfdw5qNjL5PkWw4_1klCtU8-uurt95uGcwysPV3_1VgGPED15Fyl1A_1eJVeh5Py1YsqsR5Kh2Ow_1g5eA6OA17w6IoJySnpUvhdF_1JMGlcKuNMHlFqEUu5jeeC_1G-rnsCVak_1HvaZ4JBJLI1s099wzbxpCIkLfRc0QCEfGzivyRJ_1L3NWuhGXbPjs-Ecr0WIwhVjmUV3N6smFDZ0NoDCgZpgJXXpr1HbEiR7nVtQFyr5OFYTDLfBR0HZo9B1b4vxWUKJAaI3w8vsnP64aq9rW4jxMiuXbpfvuF-bimidUVwysdsDmH-rRA7D6lVnB8bKfYQZgKTkR6gB3A5fIZy_1gUiCjlPgqTBzh5Cjy80MUtVEmER1ufIOubcxXj_1rv6HzkzkI1hgmLm996cUJ7gtH4po52dJcKQt0Mjhd1sfgH3HOcQQJDqSi8pffy8d8PlGfM&num=10&hl=en&bih=934&biw=1680

Petit échantillon de résultats:

http://www.romancescam.com/forum/viewtopic.php?p=5708

Bref, le phénomène ne serait pas nouveau (et j'ai même de nouvelles photos en prime :( ).

Qu'oubliais-je... ha oui, le fin du fin. Avec le même site (TinEye), et une autre photo, je suis remonté à... ça : http://gallerydbase.com/mm/mm-lakergame/pichunter.html

Et là, je n'ose même pas mettre de capture d'écran ! On notera au passage qu'il ne s'agit vraisemblablement pas de la même personne...

 Bref, internautes, vous voilà prévenus.

Plus sérieusement :

- encore une raison de réfléchir au contrôle de l'accès aux réseaux sociaux en entreprise

- encore une raison de pousser des campagnes de sensibilisation

- encore une raison de contribuer à la sécurité globale en signalant ce qui est suspect !

Mise à jour, 17/07/12:

Merci à la PLCC d'avoir bien voulu prendre en compte mon signalement.