Overblog
Suivre ce blog Administration + Créer mon blog
18 mars 2014 2 18 /03 /mars /2014 00:29

Tout commence avec un outil assez connu : Advanced Task Manager. La plateforme est un Android 4, Galaxy SII.

Etant "gratuit mais financé par la pub", il affiche des bannières publicitaires en bas de l'écran lors de l'utilisation.

Et un jour, la bannière suivante apparâit :

WP_20140310_026.jpg

 

Alors, évidemment, un utilisateur non averti peut appuyer sur la bannière. Et voici alors ce qu'il se passe : Le navigateur s'ouvre et...

WP_20140310_008-copie-1.jpg

 

(Le téléphone est protégé par 1 antivirus temps réel, plus 1 autre à la demande, et des mises à jour régulières...)

L'avertissement ressemble de plus en plus au coup classique du faux antivirus sous Windows (ou Mac !!), qui crie partout "attention vous êtes o=infecté", cliquez ici pour réparer !".

On aura noté la traduction hasardeuse... encore une fois certains ne savent toujours pas parler Français :(

A date, aucun logiciel de sécurité pour mobile ne bloquait l'URL droid-safety.com (d'après mes tests).

Cliquons donc sur OK.

WP_20140310_013.jpg

Hmmm un scan antivirus ?

WP_20140310_014.jpg

 

Et bam, le résultat... (NB : il s'agit d'une rediction "forcée" dans le navigateur, qu'on ne peut pas annuler malgré mes tentatives).

WP_20140310_020.jpg

 

Haha de plus en plus conforme aux "rogue" antivirus, comme dit l'anglicisme.

Mais l'écran suivant est encore mieux :

WP_20140310_023.jpg

Ca y est ! je suis infecté !! :)

WP_20140310_006.jpg

 

Et si je veux suivre les conseils et désinfecter ?

WP_20140310_002.jpg

Zoom sur l'URL de la bannière de l'"antivirus" :

WP_20140310_005.jpg

 

(wap.fumblo.com)


Le tout pointe en fait sur un système de facturation mensuelle, qui s'ajoute à la facture mobile (ici SFR). 

L'URL est sur le domaine : im-echopass.hcnx.eu.

D'après mes tests, aucun logiciel de sécurité pour mobile ne bloque cette URL en date du 11/03.

WP_20140310_024.jpg

 

Moralité : non, l'antivirus sur mobile n'est pas de la science fiction, mais un réel besoin !

Partager cet article

Repost0
10 janvier 2014 5 10 /01 /janvier /2014 01:46

Oui, le titre peut faire hausser les sourcils, c'est un peu le but.

Cherchant des articles que le fameux Ivanlef0u avait écrit, je suis passé sur ce qui avait été un de ses sites officiels : http://ivanlef0u.fr/

Le lien ivanlef0u.fr venant du site tuxfamily :

ivanlef0u.tuxfamily.org_100114.JPG

 

Sauf que dès l'accès à la page d'accueil, hop, surcouche forcée qui apparaît et me dit "qu'il faut Flash pour pouvoir visualiser la page". Hmmm cela sent un peu le VX heu roussi.

ivanlef0u_Flash_avertissement_100114-copie-1.PNG

 

La passion me pique. Je clique !

Bon alors déjà, mes protections AV ne disent rien (sic, je taira la liste...). Essayons plus fort : VT. Bilan : 0 pointé !!

https://www.virustotal.com/en/file/52ceb98a4f035fba3163a7e5d96fd7d095bd374ceaecb7cc60ae707ed0179f0b/analysis/1389314203/

VT_flashplayer_100114.PNG

 

En gros, seuls ClamAV remonte une "PUA" et Symantec un "Suspicious.Insight". Pas brillant.

 

Etape suivante : analyse dynamique. Allez, prenons malwr.com avec du Cuckoobox. Là, c'est déjà mieux !

https://malwr.com/analysis/NTI4M2E3ZjczMzUyNGNkNWI2OWVmOWE0ZTZmMDU3Nzk/

 

Vieux réflexe, je passe assez vite à la partie comportement réseau. Intéressant !

malwr.com_flahsplayer_domaines_100114.PNG

- accès à 

http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt

waou, le code malin télécharge la mise à jour du magasin des autorités racines et intermédiaires, de la PKI Windows... alors que bon nombre d'entités ne le font pas ! (bonjour les impacts sur toutes les fonctions de crypto, mais c'est un autre chapitre).

Soit. On a bien vu des codes télécharger des Service Packs...

- accès à

 http://skydrive.live.com/download.aspx?cid=a688a826ff19b912&resid=A688A826FF19B912%21114  

qui en fait redirige sur w9kz0w.bn1303.livefilestore.com

(NB : petit bogue pour malwr.com : ce domaine apparaît bien dans la liste des domaines, mais pas dans les détails des requêtes HTTP...)

malwr.com_flahsplayer_HTTP_100114.JPG

Bingo ! (et une détection par mes propres outils, ouf :) )

Le test VT montre que l'échantillon n'a jamais été envoyé encore... très frais potentiellement. https://www.virustotal.com/en/file/9eb462a7d77437969d5b26172e00ea87005169337146014b189b63878a3aae81/analysis/ 

4 moteurs détectent (+ Clam PUA, et Symantec Reputation) :

VT_flashplayer2_100114-copie-1.PNG

 

Ohhhh du AutoIT ! cela faisait un bail, et encore plus, appliqué au monde VX !

 

Maintenant, pour revenir au site lui-même, le code source de la page est assez parlant :

ivanlef0u.fr_source_.JPG100114.JPG

 

En jouant un peu avec la logique de script pour l'URL qui propose le fichier, il ne semble pas qu'il y ait un certain dynamisme.

Voici l'URL d'où vient le fichier EXE :

https://w9norw.bn1303.livefilestore. com/y2muoADUmAic2ch-kWgo6AGHtYhSLMe0sq_gwBirHjXqoGrdQSIgx2li2ulOliNBuhd9wqV-QDaDqkJZO1ecTue3-I8tkma6wzsPW5myco_JCU/flashplayer.exe?download&psid=1

Et donc oui, c'est du HTTPS... en d'autres termes, sans décontamination au niveau du proxy périmétrique (même le NIDS ne devrait pas voir grand chose ici), le niveau de sécurité sera celui du poste/serveur au bout de la ligne...

 

Autre chose, la façon dont est codé l'ensemble JavaScript ici semble aussi avoir pour but de complexifier les analyses statiques de code (ie: sans interpréter le JavaScript, qui reconstruit ici l'URL en dynamique), ceci pouvant se faire avec par ex un Lynx ou un wget, et un proxy (squid).

Voici donc l'erreur qui apparaît dans un Squid3, quand on tente d'accéder à une des URL de "téléchargement", depuis un Lynx:

squid_showofftravelbags.com_error_100114.JPG

 

Je crois bien qu'il y a eu un souci quelque part... mais le "flashplayer" reste pour moi un cas d'école intéressant (je ne publierai pas tout ici, pour diverses raisons).

Un petit coup d'oeil aux requêtes HTTP du coup ?

trafic_showofftravelbags.com_headers_100114.JPG

 

Une configuration apparemment bien sécurisée sur c.statcounter.com avec Apache 2.2.3 (obolète ?) / PHP 5.2.17 (obsolète/vulnérable), pourrait être un des points clés de l'histoire.

Au passage et dernier point, c'est le site http://www.showoffstravelbags.com/images/imgfiles/b.html qui (héberge) est la page HTML "DOWNLOAD NOW" en surcouche, y est hébergée...

D'après webinspector, tout va bien... :(

webinspector_showofftravelbags.com_100114.JPG

MàJ 1 : correction de faute de frappe, merci Estelle :)

Partager cet article

Repost0
17 juillet 2013 3 17 /07 /juillet /2013 16:20

 

Un de mes collègues m'a remonté l'URL suivante, concernant une "alerte Flash Player pas à jour" :

 

http://watchnow.vehnix.com/?sov=255929006&hid=ckigcicqckgs&ctrl1=noiframe&id=aROS-verid60

 

Faux_FlashP_texte_170713.PNG

 

 Une autre URL menant au même endroit est la suivantehttp://watchnow.vehnix.com/?sov=217006002&hid=bljljlhbljljbjfr&ctrl1=noiframe&id=XNSX.fr%7C%7Cron02.com

 

Au niveau filtrage sur URL, c'est pas top :  https://www.virustotal.com/en/url/52f4f154396f9cc4a76950d4943007a02a50fe50579948712bd9da90a7f3ef94/analysis/1374070465/

 

Normalized URL: http://watchnow.vehnix.com/?sov=217006002&hid=bljljlhbljljbjfr&ctrl1=noiframe&id=XNSX.fr%7C%7Cron02.
Detection ratio: 0 / 39
Analysis date: 2013-07-17 14:14:25 UTC ( 1 minute ago

 

Et le système Web Inspector passe totalement à côté, malheureusement :

Faux_FlashP_webinspect_170713.PNG

 

 

En fait, le téléchargement à proprement parler se fait à partir de :  downloads.getsoftfree.com/get/click/4ff96d73/?uid=yk103C6NWl&filename=Flash%20Player%2012

 

 

1 moteur (Fortinet) sur VT le détecte actuellement :  https://www.virustotal.com/en/url/3bf0bd076801d6464d08dc331a63d9249f87a51af3dc5b00e2a73fbaafdc895d/analysis/1374070751/

 

Normalized URL: http://downloads.getsoftfree.com/get/click/4ff96d73/?uid=yk103C6NWl&filename=Flash%20Player%2012
Detection ratio: 1 / 39
Analysis date: 2013-07-17 14:19:11 UTC ( 1 minute ago )
Fortinet Malware site

Pour être encore plus précis, il faudrait ajouter à cela le moteur de Forefront TMG (car il le boque aussi).

 

 

 Puis, 7 moteurs AV sur 47 semblent détecter le fichier exécutablehttps://www.virustotal.com/en/file/d4b19779b88c99552b2524eb1fee2312ff11c6a95f28437dd65abef95d4071f9/analysis/1374070866/

SHA256: d4b19779b88c99552b2524eb1fee2312ff11c6a95f28437dd65abef95d4071f9
File name: setup.exe"; filename*=utf-8''Flash%20Player%2012.exe
Detection ratio: 7 / 47
Analysis date: 2013-07-17 14:21:06 UTC ( 4 minutes ago )

Agnitum 20130717
AhnLab-V3 20130717
AntiVir 20130717
Antiy-AVL 20130717
Avast Win32:Installer-L [PUP] 20130717
AVG 20130717
BitDefender 20130717
ByteHero 20130613
CAT-QuickHeal 20130717
ClamAV 20130717
Commtouch 20130717
Comodo Application.Win32.AirAdInstaller.A 20130717
DrWeb 20130717
Emsisoft 20130717
eSafe 20130714
ESET-NOD32 a variant of Win32/AirAdInstaller.A 20130717
F-Prot 20130717
F-Secure 20130717
Fortinet 20130717
GData 20130717
Ikarus not-a-virus:AdWare.Win32.AirAdInstaller 20130717
Jiangmin 20130717
K7AntiVirus 20130716
K7GW 20130716
Kaspersky 20130717
Kingsoft Win32.Troj.Generic.a.(kcloud) 20130708
Malwarebytes 20130717
McAfee 20130717
McAfee-GW-Edition 20130717
Microsoft 20130717
MicroWorld-eScan 20130717
NANO-Antivirus 20130717
Norman 20130716
nProtect 20130717
Panda 20130717
PCTools 20130717
Rising 20130717
Sophos AirInstaller 20130717
SUPERAntiSpyware 20130717
Symantec 20130717
TheHacker 20130717
TotalDefense 20130717
TrendMicro 20130717
TrendMicro-HouseCall 20130717
VBA32 20130717
VIPRE AirInstaller (fs) 20130717
ViRobot 20130717

 

Certes, ClamAV est à rajouter dans cette liste, bien qu'il n'y apparaisse pas, car il le détecte en PUA.

 

Moralité, l'approche de défense en profondeur est encore une fois nécessaire ! Il ne va pas être simple à mon avis d'expliquer aux utilisateurs lambdas ici qu'il s'agit d'une vraie-fausse alerte, aux mêmes couleurs que la vraie...!  

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Partager cet article

Repost0
23 mai 2013 4 23 /05 /mai /2013 18:35

Comme souvent, un point de départ totalement hors sujet antivirus... En navigant sur : www.mediapart.fr !

Et notamment : http://www.mediapart.fr/journal/france/070513/sarkozy-black-out-sur-son-compte-de-campagne

SquidClamAV déclenche différentes alertes mais qui ne sont pas visibles durant la navigation. Il doit s’agir de composants imbriqués dans la page globale visitée, et seule l’analyse des journaux (snif) lève le lièvre.

<snip>

1368390567.284    582 192.168.XXX.YYY TCP_MISS/301 567 GET http://level3.cedexis.com/r15/32/r15.html? - DIRECT/207.123.33.126 text/html

1368390567.427    108 192.168.XXX.YYY TCP_MISS/200 896 GET http://192.168.XXX.ZZZ/cgi-bin/clwarn.cgi.fr_FR? - DIRECT/192.168.XXX.ZZZ text/html

<snip>

1368390575.246    296 192.168.XXX.YYY TCP_MISS/301 566 GET http://sfr.cedexis.com/r15/102/r15.html? - DIRECT/93.17.156.250 text/html

1368390575.387     99 192.168.XXX.YYY TCP_MISS/200 894 GET http://192.168.XXX.ZZZ/cgi-bin/clwarn.cgi.fr_FR? - DIRECT/192.168.XXX.ZZZ text/html

<snip>

1368390584.019    820 192.168.XXX.YYY TCP_MISS/200 530 GET http://ec2-ap-northeast-1a.cedexis.com/r15/r15lgc.js? - DIRECT/175.41.250.60 application/x-javascript

1368390584.460    387 192.168.XXX.YYY TCP_MISS/301 578 GET http://ec2-ap-northeast-1a.cedexis.com/r15/r15.html? - DIRECT/175.41.250.60 text/html

1368390584.601     84 192.168.XXX.YYY TCP_MISS/200 902 GET http://192.168.XXX.ZZZ/cgi-bin/clwarn.cgi.fr_FR? - DIRECT/192.168.XXX.ZZZ text/html

1368390600.699    156 192.168.XXX.YYY TCP_MISS/200 646 GET http://static.mediapart.fr/cedexis/cdx10b.js? - DIRECT/95.131.141.3 application/javascript

1368390600.843    114 192.168.XXX.YYY TCP_MISS/200 646 GET http://static.mediapart.fr/cedexis/cdx10b.js? - DIRECT/95.131.141.3 application/javascript

1368390602.150   1276 192.168.XXX.YYY TCP_MISS/200 100548 GET http://static.mediapart.fr/cedexis/cdx10b-100KB.js? - DIRECT/95.131.141.3 application/javascript

1368390602.385    214 192.168.XXX.YYY TCP_MISS/200 349 GET http://report.init.cedexis-radar.net/f1/aqfQCW4caFOOaaaaJpUpuqxUksGaCJgjW49raiZ7J1hqrsipaaaaaaaaaaaaaaaaaZDjafspaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaagZGaaaaaaaaa/1/10490/1986/1/0/179/0 - DIRECT/178.33.229.168 application/x-javascript

1368390602.450    227 192.168.XXX.YYY TCP_MISS/200 349 GET http://report.init.cedexis-radar.net/f1/aqfQCW4caFOOaaaaJpUpuqxUksGaCJgjW49raiZ7J1hqrsipaaaaaaaaaaaaaaaaaZDjafspaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaagZGaaaaaaaaa/1/10490/1986/0/0/139/0 - DIRECT/178.33.229.168 application/x-javascript

1368390602.473    250 192.168.XXX.YYY TCP_MISS/200 349 GET http://report.init.cedexis-radar.net/f1/aqfQCW4caFOOaaaaJpUpuqxUksGaCJgjW49raiZ7J1hqrsipaaaaaaaaaaaaaaaaaZDjafspaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaagZGaaaaaaaaa/1/10490/1986/14/0/619/0 - DIRECT/178.33.229.168 application/x-javascript

1368390603.341    367 192.168.XXX.YYY TCP_MISS/200 296 GET http://ping.chartbeat.net/ping? - DIRECT/184.73.194.227 image/gif

1368390604.311    119 192.168.XXX.YYY TCP_MISS/200 359 GET http://probes.cedexis.com/? - DIRECT/37.59.8.25 application/javascript

 

En prenant la requête http juste avant celle où le poste est redirigé sur la bannière d’alerte, voici la vraie l’alerte qui devrait apparaître :

squidclamav_alerte_130513-copie-1.png

D’après le nom de la détection, « Xored », quiconque suivant un peu les modes du monde souterrain VX, hausserait les sourcils. XOR est couramment utilisé pour obfusquer, embrouiller, bref dissimuler du code qui normalement serait « attrapé » par de la recherche de motifs.

Voici le code de la page en question :

 

 

<html>

<head>

<meta charset="utf-8"/>

<title></title>

<script>

function cdxt(){this.a=function(){this.c=/rnd=(\d+)-(\d+)-(\d+)-(\d+)-(\d+)-(\d+)-(\w+)-(\d+)/.exec(window.location.search);this.b({s:"l"})};this.b=function(d){var c=window,b=this.c;if(c!==c.parent){d.p={z:b[2],c:b[3],i:b[6]};d.r={z:b[4],c:b[5]};d.m=b[1];c.parent.postMessage(JSON.stringify(d),"*")}};this.d=function(){setTimeout(this.e(),0)};this.e=function(){var a=this;return function(){a.f()}};this.f=function(){var b,j,h,g,m,a,l=0,k,f=[],c="abcdefghijklmnopqrstuvwxyz0123456789",d={};try{j=document.childNodes[1].outerHTML;h=this.c;g=parseInt(h[8],10);for(a=0;a<h[7].length;a++){l+=h[7].charCodeAt(a)}k=Math.floor(l/h[7].length);m=Math.floor(j.length/g);for(a=m;a<j.length;a+=m){f.push(c.charAt((j.charCodeAt(a)^k)%c.length))}b=window.performance.timing;d={s:"s",h:f.join("")};for(a in b){if("number"===typeof b[a]){d[a]=b[a]}}this.b(d)}catch(i){this.b({s:"e"})}}}if("undefined"===typeof cdxu){(function(){var g=window,f=new cdxt(),e=function(){f.d()},i="addEventListener",h="attachEvent";f.a();if(g[i]){g[i]("load",e,false)}else{if(g[h]){g[h]("onload",e)}}}())};

</script>

</head>

<body>

        <!-- Copyright 2012 Cedexis Inc. -->

</body>

</html>

 

 

 

OK, il y a bien du Javascript, qui n’a pas l’air très lisible à première vue.

Première hypothèse : le site ou la page ont été compromis, c’est une vraie bannière virale… (avec redirection ailleurs, code d’exploitation, ou pire préparation de la mémoire avant de lancer l’attaque…).

On pourrait espérer qu’au moins un des moteurs antiviraux les plus utilisés, déclenche… que nenni (résultats VT) :

 

SHA256:

894f4863798eaf050021d0220e0ecdc5cb0c737622cd2b9c201974026f24f0df

Nom du fichier :

r15.html

Ratio de détection :

0 / 46

Date d'analyse:

2013-05-12 20:38:03 UTC

 

Antivirus

Résultat

Mise à jour

Agnitum

20130512

AhnLab-V3

20130512

AntiVir

20130512

Antiy-AVL

20130512

Avast

20130512

AVG

20130512

BitDefender

20130512

ByteHero

20130510

CAT-QuickHeal

20130510

ClamAV

20130512

Commtouch

20130512

Comodo

20130512

DrWeb

20130512

Emsisoft

20130512

eSafe

20130509

ESET-NOD32

20130512

F-Prot

20130512

F-Secure

20130512

Fortinet

20130512

GData

20130512

Ikarus

20130512

Jiangmin

20130512

K7AntiVirus

20130510

K7GW

20130510

Kaspersky

20130512

Kingsoft

20130506

Malwarebytes

20130512

McAfee

20130512

McAfee-GW-Edition

20130512

Microsoft

20130512

MicroWorld-eScan

20130512

NANO-Antivirus

20130512

Norman

20130512

nProtect

20130512

Panda

20130512

PCTools

20130512

Sophos

20130512

SUPERAntiSpyware

20130512

Symantec

20130512

TheHacker

20130509

TotalDefense

20130512

TrendMicro

20130512

TrendMicro-HouseCall

20130512

VBA32

20130510

VIPRE

20130512

ViRobot

20130512

 

 

 

Oups… ClamAV ne remonte pas de détection mais ha oui c’est vrai, « c’est un PUA donc pas affiché en page principale des résultats ». Soit.

Ne nous désarmons pas, vérifions aussi niveau URL :

 

 

URL Scanner

Résultat

URL normalisée :

http://netdna.cedexis.com/r15/275/r15.html

Ratio de détection :

0 / 39

Date d'analyse :

2013-05-12 20:36:56 UTC (il y a 3 minutes)

Analyse de fichier :

Le contenu de la réponse de l'URL ne peut pas être récupéré ou il s'agit d'un format texte (HTML, XML, CSV, TXT, etc.), cela n'a donc pas été ajouté à la file d'attente.

ADMINUSLabs

Clean site

AlienVault

Clean site

Antiy-AVL

Clean site

Avira

Clean site

BitDefender

Clean site

C-SIRT

Clean site

CLEAN MX

Clean site

Comodo Site Inspector

Clean site

CyberCrime

Unrated site

Dr.Web

Clean site

ESET

Clean site

Fortinet

Unrated site

G-Data

Clean site

Google Safebrowsing

Clean site

K7AntiVirus

Clean site

Kaspersky

Unrated site

Malc0de Database

Clean site

Malekal

Clean site

MalwareDomainList

Clean site

MalwarePatrol

Clean site

Minotaur

Clean site

Netcraft

Clean site

Opera

Clean site

ParetoLogic

Clean site

Phishtank

Clean site

Quttera

Clean site

SCUMWARE.org

Clean site

SecureBrain

Unrated site

Sophos

Unrated site

SpyEyeTracker

Clean site

Sucuri SiteCheck

Clean site

URLQuery

Unrated site

VX Vault

Clean site

Websense ThreatSeeker

Clean site

Wepawet

Unrated site

Yandex Safebrowsing

Clean site

ZDB Zeus

Clean site

ZeusTracker

Clean site

zvelo

Clean site

 

 

Là par contre, ça en devient un peu frustrant…

Seconde hypothèse ( L ), c’est un faux positif… Il me reste à remonter l’échantillon à ClamAV.

 

Partager cet article

Repost0
12 avril 2013 5 12 /04 /avril /2013 00:44

Un petit point pour les francophones, pour ceux qui ont maille à partir avec ZBot/ZeuS.

 

Quelques rappels :

 

- ZBot utilise dans beaucoup de variantes le %appdata%, là où tout utilisateur a le droit en écriture et lecture

 

- ZBot se propage par des failles de sécurité applicatives, notamment Oracle Java et Acrobat Reader.

 

- ZBot peut se propager via les services de Bureau à distance (RDS) : une machine cliente infectée peut infecter un serveur en s'y connectant en RDS

 

 

 

Plan d'action ?

 

- revoir vos inventaires logiciels : il vous faut savoir les versions de logiciels qui sont présents : navigateurs, mais aussi Oracle Java, et Acrobat Reader, etc.

 

- Déployer au maximum possible les mises à jour de sécurité, et pas uniquement celles de Microsoft. Un antivirus n'est pas là pour pallier à la non application des correctifs ! Cibler en priorité les postes d'administration du parc et les machines critiques. Pour rappel, Java 6 n'est plus supporté par Oracle depuis février 2013.

 

- S'assurer de la présence et de la mise à jour d'un antivirus sur tous les environnements Windows connectés au LAN

 

- Soumettre à votre éditeur antivirus tout échantillon trouvé et non détecté

 

- Lancer un nettoyeur sur le parc : au minimum le MSRT (Malicious Software Removal Tool) qui a d'ailleurs été mis à jour ce mois-ci pour ZBot d'après mes tests, voire si possible le MSERT (Safety Scanner, qui peut se scripter). Toutes les stations d'administration devraient être vérifiées avec un outil supplémentaire que l'antivirus déjà présent.

 

- Vérifier vos équipements proxies, sondes NIPS, pare-feux, pour toute détection pouvant s'apparenter à du trafic ZBot : infection initale, remontée au C&C, voire exfiltration des données volées.

 

- prendre connaissance des fiches descriptives de ZBot, telles que publiées par les éditeurs antiviraux, pour les souches détectées sur votre parc. Exemple : http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Win32%2fZbot . Ces caractéristiques techniques des variantes doivent impérativement être prises en compte pour affiner votre plan d'action de réponse à la menace virale. Il y est notamment dit que les codes d'exploitation suivants sont connus pour être utilisés afin d'implanter ZBot sur les machines : Exploit:Java/CVE-2012-0507, Exploit:Java/CVE-2012-1723, Exploit:Java/CVE-2013-0422, Exploit:Win32/Pdfjsc. Exploit:Win32/CplLnk.B. Je peux attester que c'est le cas !

 

- redémarrer les machines infectées après détection afin d'être sûr de l'éradication en mémoire.

 

- utiliser des doubles facteurs d'authentification pour les comptes administrateurs : ZBot intercepte les frappes au clavier, or la carte à puce protège contre ce type d'attaque (et non pas contre le pass the hash, par défaut...).

 

- renforcer la surveillance réseau en ajoutant des éléments caractéristiques à ZBot, en alerte voire en blocage : https://zeustracker.abuse.ch/blocklist.php   

 

 

Bon courage :)

 

Mise à jour du 23/07/13 :

 

Petit exemple de courriels indésirables reçus plus d'une fois, et contenant un ZBot en pièce jointe :

 

 

zbot_spam_170713.PNG

 

Et petite confirmation :

zbot_detect_170713.PNG

 

 

Partager cet article

Repost0
1 avril 2013 1 01 /04 /avril /2013 00:29

After my previous article (in French) regarding a ZBot variant analysis on VirusTotal, which gave no result for ClamAV while Clam does detect the sample, somebody from Google VirusTotal left comments on my Twitter account:

 

ph-V_twitter_VirusTotal_ZBot_PUA_010413.PNG

 

 As you can see, there seems to be a confusion here between PUA (Potentially Unwanted Application) and malware (Win.Trojan.Spy.Zbot)...

To me, Clam's results should definitely be displayed in the "main report" as it is not PUA, since ZBot is not (not at all, I can tell :) ).

 

HTH.

 

 

Partager cet article

Repost0
30 mars 2013 6 30 /03 /mars /2013 16:59

En tentant de télécharger des outils de développement WMI ("WMI administrative tools", pour faire des requêtes directement), j'ai eu un petit problème avec Immunet :

 FP_WMI_SDK_230313.PNG

 

Un vrai "faux positif" W32.Spero.Cosmu... sur le setup.exe.

 

C'est l'un des effets de bord du nuage pour les antivirus, à ne pas oublier : l'analyse en dynamique des échantillons peut produire des faux positifs et je n'ai pas pu évaluer leur correction comparé au cas classique de faux positif par une signature nouvellement créée.

 

Dans la version gratuite de Immunet 2.0.17.31, je n'ai eu d'autre choix que de désactiver le service (dans services.msc) pour arriver à télécharger et utiliser l'outil WMI Admin Tools, pourtant récupéré directement sur la TechNet. Je ne pense pas que la TechNet héberge beaucoup de codes malveillants ;)

 

Avis donc pour ceux qui utilisent la technologie du Nuage pour certaines solutions antivirus : s'ils souhaitent faire une action automatique sur détection, je leur commande de ne pas supprimer ce qui est détecté, mais de mettre en quarantaine. Sinon, le mieux à mon sens est de se limiter à la détection, et de faire confirmer chaque échantillon manuellement.

 

Partager cet article

Repost0
13 septembre 2012 4 13 /09 /septembre /2012 16:55

La capture d'écran parle toute seule à mon avis :

 

fausse_barre_IE_RFG_130912.png 

 

 

Ne pas cliquer sur tout ce qui bouge / clignote, comme toujours.

Partager cet article

Repost0
8 août 2012 3 08 /08 /août /2012 23:21

Sur une machine perso, sans prendre de risques particuliers...

 

Capture.PNG

 

 

Comment peut-on prétendre qu'on peut faire sans antivirus sur un poste, après ça ?

Partager cet article

Repost0
17 juillet 2012 2 17 /07 /juillet /2012 00:02

 L'exemple, réel, m'a tellement plu que je n'ai pas pu m'empêcher de le publier :) (oui, ça faisait un moment que je n'avais pas publié, je sais...).

 

Tout commence par une mise en relation, via Internet... ami d'ami, sites d'événementiel, etc Bref, tout commence bien.

 

C'est alors qu'une demoiselle (je pense ! ) vous approche. Très vite, elle vous demande votre adresse MSN. Pourquoi pas. Bon, je passerai sur le niveau en Français, catastrophique pour ne pas dire honteux. Tellement que cela en deviendrait suspect...   Juste un petit exemple :

le chapeau je t'envoierais çela en france sa serrais un cadeau pour toi

 

La demoiselle donc pose des questions, et monte son scénario. Elle indique être actuellement en Afrique, pour "raisons personnelles", temporaires... et plus précisément en Côte d'Ivoire. Pour ceux qui traînent un peu dans la veille sécurité, le "tilt" du Scam 419 pourrait ne pas être loin, mais bon passons (pour le moment).

 

Bref, la demoiselle indique ne pas avoir de sous, mais par contre souhaiterait... qu'on lui paye le billet (aller-simple, mais bien sûr) pour Paris...! là ça commence à devenir louche.

 

Commençons donc les vérifications.

 

Déjà, petit rappel, MSN étant une forme de P2P, il est facile de renifler le trafic (avec Wireshark ou autre), et trouver l'IP de la personne avec qui l'on cause (hé oui, désolé si un mythe s'effondre...).

wireshark_msn.png

 

on voit bien du trafic MSN, pur, avec le serveur (l'IP appartenant à MSFT), et le trafic MSN qui l'encadre. Voici donc l'IP de la fameuse personne : 213.136.125.178

 

Bon, un petit tour sur RIPE pour voir ?

https://apps.db.ripe.net/search/query.html?searchtext=213.136.125.178&search%3AdoSearch=Search#resultsAnchor

 

Localisation : Côté d'Ivoire, ça semblerait cohérent...

 

Mais ce n'était qu'une première étape. Que disent nos chers moteurs de recherche ? oups....

 

Déjà, le même pseudo est pris, sur d'autres sites : http://www.jecontacte.com/profil/Florencebonheur  dont le thème est clairement affiché... (non, je ne me mettrai pas de capture d'écran :[ ) pas franchement discret de prendre le même pseudo entre sites différents. D'autant plus que Google, lui, indexe tout, et a de la mémoire !

 

Pour confirmer le tout, en 10 min à peine de parlotte, la "damoiselle" se laisse convaincre d'envoyer un email avec une "photo d'elle" (puisqu'elle tient absolument à faire une conversation vidéo... alors qu'elle n'a pas de webcam, elle...)

Bingo, merci les entêtes de messages dans tout bon client de messagerie standard. L'IP émettrice  est:

 

email_entetes.JPG

 

Qu'en dit-on sur le Net ? le couperet tombe assez vite : 

 https://apps.db.ripe.net/search/query.html?searchtext=213.136.125.178&search%3AdoSearch=Search#resultsAnchor

 

Un scam 419, dont l'IP émettrice est la même... et qui date de juin 2012... la coïncidence est troublante, non ?

 

Et encore un signalement, parmi d'autres :

http://www.projecthoneypot.org/ip_213.136.125.178

 

 

 ip honeypot spam

 

NB : Pas de commentaire sur la pub à gauche, je n'y suis pour rien :(

 

Bref, continuons !

 

J'avais oublié : mais qu'elle a l'air jolie la "damoiselle" en photo ! Voyons cela d'un peu plus près....

 

Déjà, sa photo MSN... utilisons une petite banque de données d'images !

recherche_photo_msn.JPG

 

 Hum... bon voyons maintenant les autres photos qu'elle envoie (très facilement) via MSN :

 

recherche_photo1.JPG

 

  Bon, je crois que tout est clair.

 

La photo est en plus utilisée sur plusieurs sites, encore moins discret (et malin).

 

De même, grâce à Google cette fois-ci, dans sa fonction de recherche par image, je suis tombé sur :

https://www.google.com/search?tbs=sbi:AMhZZiseBWnNUan0Bu33pd9jnJl89jrg0VmCdRgBftuz42b_1D_153Mw6naW9jnRqOxvvywJGI3e309JjfmqZA9tbQzDOp34vorFDy9jdfQyUWhSC9S9F9jvYG44WexqcFZ-uNci9gUAF0aekjoVMJfqoXiTC7cW0o-51EMdZABw3OJBmDPkTcDhealO6nx5W9QJNJz36iK7wzxnKoC3lifk72fSg5fK0wOVzi37_1fyyvlpkl-u0FvcQs29-1HPFImZSf7PDkM41Ya3FME_1NTKuuND0lIx8DhdOGe6Dh5nKqP0OKw6WHST5hvOO25u0OsOcd6uRUBv8Q2hYpIqRl-Dj2Rild3Iyy7zdmMUb5_1esOXssT6qwUf5gibiBDRa-KOoWRwCyK0M5sjLaxreoyit-B9TGeMBnupaQEmphLf02zHAmr-NHj8qVyVCDTlnZblWQdakDIAa2Y6FWKQrfAyCUHJahTZFwLTnO-CBBu0sOLE6fGSKsJ4LXcGcU8MNT50V950YjnFUr0sd8OaNxFRwC0l1hLFyKEluetDbX9Qg1z_1ylGiVUc2evMNyPB3Lc5v7o0SzZqQIkebznZ1B5NnPItxw4-rM6Qtazmjh3m6XG-EkdPsmtQOf89EuzT1fQx_1Q_1HNOf5-9fKZO3cHsdg9UDK-8bmfmFv14el6FhL4pwlO6L9sznKRwagrR59GZQH7BgfDO8T80AM9Ipxqa4aurpPFi1SzPVbXcN5_1w_1sURkwOP6WNjmIj6kc75sS85m0-hKHFz5UM4ztyt9ukdlfnR_127mIUQfsVx0EedHN10xbVMURNU3q81poniLgoDLCn_1AH2tznrKo7mbFXTl-RJJNmTBkqO6R31izNfWcNwxKScWCCKws09YYhP1lMiaxctWUbKAZU6L7I9k67vgfdw5qNjL5PkWw4_1klCtU8-uurt95uGcwysPV3_1VgGPED15Fyl1A_1eJVeh5Py1YsqsR5Kh2Ow_1g5eA6OA17w6IoJySnpUvhdF_1JMGlcKuNMHlFqEUu5jeeC_1G-rnsCVak_1HvaZ4JBJLI1s099wzbxpCIkLfRc0QCEfGzivyRJ_1L3NWuhGXbPjs-Ecr0WIwhVjmUV3N6smFDZ0NoDCgZpgJXXpr1HbEiR7nVtQFyr5OFYTDLfBR0HZo9B1b4vxWUKJAaI3w8vsnP64aq9rW4jxMiuXbpfvuF-bimidUVwysdsDmH-rRA7D6lVnB8bKfYQZgKTkR6gB3A5fIZy_1gUiCjlPgqTBzh5Cjy80MUtVEmER1ufIOubcxXj_1rv6HzkzkI1hgmLm996cUJ7gtH4po52dJcKQt0Mjhd1sfgH3HOcQQJDqSi8pffy8d8PlGfM&num=10&hl=en&bih=934&biw=1680

 

Petit échantillon de résultats:

http://www.romancescam.com/forum/viewtopic.php?p=5708

Bref, le phénomène ne serait pas nouveau (et j'ai même de nouvelles photos en prime :( ).

 

Qu'oubliais-je... ha oui, le fin du fin. Avec le même site (TinEye), et une autre photo, je suis remonté à... ça : http://gallerydbase.com/mm/mm-lakergame/pichunter.html

Et là, je n'ose même pas mettre de capture d'écran ! On notera au passage qu'il ne s'agit vraisemblablement pas de la même personne...

 

 Bref, internautes, vous voilà prévenus.

 

Plus sérieusement :

- encore une raison de réfléchir au contrôle de l'accès aux réseaux sociaux en entreprise

- encore une raison de pousser des campagnes de sensibilisation

- encore une raison de contribuer à la sécurité globale en signalant ce qui est suspect !

 

Mise à jour, 17/07/12:

Merci à la PLCC d'avoir bien voulu prendre en compte mon signalement.

Partager cet article

Repost0