• Acasă
  • Despre noi
  • Autori
  • Mărturii
  • Arhivă
  • Trimite Articol
  • Contact

WORLDIT

Lumea în 1 și 0.

  • Știri
    • Tehnologie
    • Tehnologie mobilă
    • Securitate
    • Developers
    • Știință
    • Benzi desenate
    • Jocuri
    • Intern
  • Tehnic
    • Browser
    • C#
    • C/C++
    • Challenge
    • HTML/CSS
    • Javascript, Ajax, jQuery
    • Open Source
    • PHP
    • Python
    • Securitate IT
    • Socializare
    • WordPress
    • Altele
  • Recenzii
  • Interviuri
  • Evenimente

Hackerii folosesc Twitter pentru a declansa scripturi malitioase

2
  • Publicat de Andrei Avădănei
  • în Securitate · Știri
  • — 11 nov., 2009 at 11:03 pm

483117024_118caa6e15[1]Echipa de pe Unmaskparasites se descurca foarte bine in detectarea site-urilor suspecte. Deasemenea ei analizeaza toate site-urile ce contin linkuri suspecte pentru a descoperi noi virusi ce se raspandesc pe site-uri.In ultima perioada acestea observa ca numarul atacurilor bazate pe virusi devine din ce in ce mai mare precum si faptul ca atacurile devin din ce in ce mai complexe si dau dovada de mult profesionalism.

I have to admit that hackers are very creative and I learn new tricks every week.
[….] Nonetheless, this is probably the most creative malicious script I’ve seen so far. Luckily for us, it was not very well thought out. (BTW, the domain name generation algorithm is buggy – it fails on certain days. Looks like bugs are pretty common for hacker software.)

Azi,acestea au descoperit un nou virus ce se folosesc API-ul de la Twitter pentru a declansa scripturi malitioase.Codul descoperit de acestea arata ceva de genul acesta(este foarte mult scurtat) :

$a="Z64dZ3dZ22q|se|qdu]qwys^e}rub8tqiZ3c0}Z257F~dxZ3c0iuqbZ3c0y~tuh9kbudeb ... }eval(z($a));

Prima inversare a procesului produce un alt cod „mascat”, dar ce contine o parte lizibila.Acest script injecteaza un script ce interogheaza top 30 de pe Twitter folosind API-ul acestora.

<img src='http://search.twitter.com/images/search/rss.png' width=1 height=1 style='visibility:hidden' />
<script language=javascript src='http://search.twitter.com/trends/weekly.json?callback=callback&exclude=hashtags'></script>

Desi aceasta mascare a codului se face de multe ori pentru a crea copyright-ur,a ascunde diverse parti de cod ce nu se doresc sa ajunga in mainile cui nu trebuie, pozitia unde se afla acest cod(dupa tagul </html> i-a facut sa continue analiza codului si demascarea acestuia.

Incercand demascarea procesului de ascundere a codului, acesta ajunge la domeniul „fbcmfir .com” ce Google il are pe lista de domenii suspecte

Rolul API-ului de la Twitter

1. Creaza codul mai putin suspect,dandu-i o noanta de siguranta
2. In codul mascat, practic functia nu este chemata nicaieri. Acest lucru ajuta la prevenirea detectarii codurilor malitioase de catre Antivirusurile clasice.Pentru a apela acea functie, hackerii folosesc functia „callback” ce este pusa la dispozitie de API-ul de la Twitter.Ei paseaza numele functie si rezultat provenit de la Twitter privind lista cautarilor populare ca argument(paramtru al functiei).

…weekly.json?callback=callback…

Twitter returneaza codul Javascript ce apeleaza functia ce trimite informatiile privind trendurile pe Twitter ca paramtru, ce declanseaza o injectie de iframe.
3.Acum vine partea cea mai interesanta(parca pana acum nu ar fi fost).Hackerii pur si simplu ar fi putut ignora tot ce trimite functia callback, dar ei au gasit o metoda creativa de a se folosi de trendurile provenite de la Twitter.Domeniul de mai sus, este folosit ca sursa principala de „lucruri rele”.In acelasi timp, scriptul incearca sa foloseasca un domeniu nou de fiecare data.Ei folosesc un algoritm elaborat pentru a construi domenii noi in fiecare zi, folosind mai multi parametri (ziua,luna,anul) pentru a face predictia dificila.Pentru a pune capat acestor predictii(facandu-le extrem de dificile) ei folosesc si al doilea caracter din cel mai popular rezultat de Twitter din urma cu 2 zile.Astfel, ei au la dispozitie o zi sa inregistreze noul domeniu ce va fi disponibil in urmatoarea zi.

For example, today is November 11, 2009. Two days ago the most popular Twitter search was “Jedward“. The second character is “e” and its code is 101. The hacker’s algorithm will generate the “ghoizwvlev .com” domain name.Here are a few more examples of generated domain names: abirgqvlev .com, fgxhzgvlev .com, abxhcgvlev .com (in November they all end in lev). As you can see, the generated domain names are almost guaranteed to be available for registration.

Din fericire, ceva a mers rau si atacul se pare ca este inactiv in acest moment.Autorul articolului a verificat mai multe domenii si a constatat ca doar unul din ele era inregistrat(iar respectivul avea erori interne).

I guess the approach was too laborious – you have to keep track of Twitter top searches and manually register and configure new domain names every day. At the same time this approach provides the same timeframe for security organizations to blacklist tomorrow’s malicious domain names.

Acesta mi se pare si mie de departe cel mai complex atac prin virusi despre care am citit pana acum si de care am intalnit personal pana acum.Pentru cei care considera ca se pricep la „hacking” le sugerez sa arunce o privire pe acest articol si sa se gandeasca de 2 ori cand mai afirma acest lucru.Desi, sunt adeptul securitatii , acest lucru merita tot respectul pentru cei care au gandit atacul.Stau si ma intreb, ce urmeaza?

Voi ati intalnit atacuri mai complexe? Daca da, ar fi dragut sa lasati un link aici! 😀

Editat mai tarziu :
Se pare ca acest „virus” exista de ceva vreme si este cunoscut ca Mebroot ,Sinowal sau Torpig.

Etichete: apicallback functionhackerhackingiframe injectionsecuritateTwitter

— Andrei Avădănei a scris 1246 articole

Andrei scrie pe worldit.info din vara lui 2011. Este fondatorul Asociatiei Centrul de Cercetare in Securitate Informatica din Romania - CCSIR si coordoneaza DefCamp, cea mai importanta conferinta de securitate informatica & hacking din Europa Centrala si de Est. Andrei ofera in cadrul Bit Sentinel servicii de securitate informatica, penetration testing, security management, recuperarea de pe urma unui atac cibernetic, training-uri si workshop-uri.

  • Articolul anterior Raidurile de phising au schimbat tintele
  • Articolul următor Microsoft ii deconecteaza pe utilizatorii XBox 360 care folosesc jocuri piratate

2 Comentarii

  1. Tweets that mention Hackerii folosesc Twitter pentru a declansa scripturi malitioase | WorldIT -- Topsy.com spune:
    noiembrie 11, 2009 la 11:57 pm

    […] This post was mentioned on Twitter by Avadanei Andrei and Avadanei Andrei, andrei. andrei said: Va mai amintiti de Mebroot ?! El va stie 🙂 Hackerii folosesc Twitter pentru a declansa scripturi malitioase. http://bit.ly/1jMUHI […]

  2. uberVU - social comments spune:
    noiembrie 12, 2009 la 6:32 am

    Social comments and analytics for this post…

    This post was mentioned on Twitter by worldIT: [WorldIT] Hackerii folosesc Twitter pentru a declansa scripturi malitioase http://bit.ly/3dFPzO…


  • Facebook

    WorldIT.info
  • Ultimele Atacuri Cibernetice din Romania – RO Hacked

    [wp_rss_retriever url="https://rohacked.bit-sentinel.com/feed/" excerpt="none" items="5" read_more="false" new_window="true" thumbnail="false" cache="0"] RO Hacked este registrul atacurilor cibernetice din România.
  • Caută

  • Articole Recomandate

    • Recent Posts
    • Tags
    • Număr record de participanți la DefCamp 2015, cel mai important eveniment dedicat securității cibernetice din Europe Centrala si de Estdecembrie 2, 2015
    • La DefCamp 2015 vei afla prin ce tehnici pot fi evitate măsurile de securitate ale sistemelor informatice criticeoctombrie 16, 2015
    • Ultima sansa sa rezervi bilete de tip Early Bird la DefCamp 2015septembrie 1, 2015
    • 15 sfaturi despre cum poti deveni un programator bun venite de la specialisti romaniaugust 4, 2015
    • algoritmica Android antivirus Apple Avadanei Andrei benzi desenate BitDefender blog browser C++ Chrome concurs eveniment Facebook Firefox Google google chrome hacking html5 infografic informatica internet Internet Explorer IT javascript linux Microsoft Mozilla Firefox online PHP programare retea sociala review Romania securitate Tehnologie Twitter web Windows Windows 7 Wordpress WorldIT worldit.info Yahoo! YouTube
  • mai 2022
    L Ma Mi J V S D
     1
    2345678
    9101112131415
    16171819202122
    23242526272829
    3031  
    « dec.    
  • Link-uri Sponsorizate

    • laptop second hand

    • Calculatoare Second Hand

    • cod voucher pc garage

  • Home
  • Știri
  • Securitate
  • Hackerii folosesc Twitter pentru a declansa scripturi malitioase
  • Important

    • Bit Sentinel
    • Centrul de Cercetare în Securitate Informatică din România
    • DefCamp
  • Prieteni

    • BetiT.ro
    • bijuterii handmade
    • Computerica | Resurse gratuite PC
    • Descopera.org
    • Gadgeturi si IT – Giz.ro
  • Prieteni

    • PC – Config
    • RO Hacked
    • Stiri IT

Copyright © 2009-2014 WORLDIT. Toate drepturile Rezervate.
Termeni și condiții | Contact | Licența Creative Commons