In un post pubblicato all’inizio di questo mese abbiamo analizzato una tipologia di infezione molto frequente che colpisce CMS e piattaforme di blogging. Stiamo parlando delle iniezioni iframe. Le iniezioni iframe hanno come obiettivo portali e siti web vulnerabili e lo scopo dell’attacco è solitamente quello di infettare le pagine web del sito con link malevoli collegati a catena con domini dediti alla distribuzione di malware. Il risultato di queste infezioni è molto spesso quello di provocare l’esecuzione di malware sul pc desktop dell’ignaro visitatore. Il sintomo principale di un’infezione, iframe o di altro tipo è la segnalazione di “Sito web malevolo” da parte di Google.
Il vettore principale dell’infezione è molto spesso da ricercare nell’ambito di terminali desktop infetti che vengono utilizzati per collegarsi alle aree amministrative dei siti web ed in vulnerabilità presenti all’interno dei CMS che consentono l’esecuzione di codice malevolo proveniente da sorgenti remote.
L’ultima campagna di infezione ha visto la diffusione di iframe collegati ai domini indometastan.in, fors4523.cz.cc e forsw4.cz.cc. I siti web colpiti in Italia hanno fatto registrare numeri importanti.
Nel caso in cui il vostro sito web sia stato colpito da questa campagna iframe la semplice bonifica manuale dei file infetti potrebbe essere insufficiente, ecco perchè. Gli iframe malevoli iniettati sui siti web possono presentarsi completamente in chiaro, come in figura :
Con l’utilizzo di grep è possibile individuare ricorsivamente la presenza del pattern indometastan all’interno dei file che compongono il sito web per poi procedere con l’opera di pulitura. Accanto alla modalità “in chiaro” però l’iframe può essere iniettato con uno o più livelli di codifica. Negli anni passati i blackhat hanno utilizzato molto spesso la funzione base64 per nascondere la reale natura dei link malevoli all’interno delle pagine web infette ma con una frequenza sempre maggiore vengono utilizzati oggigiorno livelli multipli di offuscamento basati sulle funzioni str_rot13 e gzip_encode. Nella figura seguente possiamo vedere lo stesso iframe analizzato sopra ma camuffato attraverso le codifiche base64 ed str_rot13 :
L’offuscamento consente di nascondere l’infezione ai più comuni antivirus per Unix e Linux e ad evadere i metodi di rilevamento più comuni.
Pingback: Sicurezza : Mysql.com compromesso – Inmotion hosting vittima di un defacing di massa | Servizi managed e gestione server – Il blog di Servermanaged.it