Hackerii folosesc Twitter pentru a declansa scripturi malitioase

Echipa de pe Unmaskparasites se descurca foarte bine in detectarea site-urilor suspecte. Deasemenea ei analizeaza toate site-urile ce contin linkuri suspecte pentru a descoperi noi virusi ce se raspandesc pe site-uri.In ultima perioada acestea observa ca numarul atacurilor bazate pe virusi devine din ce in ce mai mare precum si faptul ca atacurile devin din ce in ce mai complexe si dau dovada de mult profesionalism.

I have to admit that hackers are very creative and I learn new tricks every week.
[….] Nonetheless, this is probably the most creative malicious script I’ve seen so far. Luckily for us, it was not very well thought out. (BTW, the domain name generation algorithm is buggy – it fails on certain days. Looks like bugs are pretty common for hacker software.)

Azi,acestea au descoperit un nou virus ce se folosesc API-ul de la Twitter pentru a declansa scripturi malitioase.Codul descoperit de acestea arata ceva de genul acesta(este foarte mult scurtat) :

$a="Z64dZ3dZ22q|se|qdu]qwys^e}rub8tqiZ3c0}Z257F~dxZ3c0iuqbZ3c0y~tuh9kbudeb ... }eval(z($a));

Prima inversare a procesului produce un alt cod „mascat”, dar ce contine o parte lizibila.Acest script injecteaza un script ce interogheaza top 30 de pe Twitter folosind API-ul acestora.

<img src='http://search.twitter.com/images/search/rss.png' width=1 height=1 style='visibility:hidden' />
<script language=javascript src='http://search.twitter.com/trends/weekly.json?callback=callback&exclude=hashtags'></script>

Desi aceasta mascare a codului se face de multe ori pentru a crea copyright-ur,a ascunde diverse parti de cod ce nu se doresc sa ajunga in mainile cui nu trebuie, pozitia unde se afla acest cod(dupa tagul </html> i-a facut sa continue analiza codului si demascarea acestuia.

Incercand demascarea procesului de ascundere a codului, acesta ajunge la domeniul „fbcmfir .com” ce Google il are pe lista de domenii suspecte

Rolul API-ului de la Twitter

1. Creaza codul mai putin suspect,dandu-i o noanta de siguranta
2. In codul mascat, practic functia nu este chemata nicaieri. Acest lucru ajuta la prevenirea detectarii codurilor malitioase de catre Antivirusurile clasice.Pentru a apela acea functie, hackerii folosesc functia „callback” ce este pusa la dispozitie de API-ul de la Twitter.Ei paseaza numele functie si rezultat provenit de la Twitter privind lista cautarilor populare ca argument(paramtru al functiei).

…weekly.json?callback=callback…

Twitter returneaza codul Javascript ce apeleaza functia ce trimite informatiile privind trendurile pe Twitter ca paramtru, ce declanseaza o injectie de iframe.
3.Acum vine partea cea mai interesanta(parca pana acum nu ar fi fost).Hackerii pur si simplu ar fi putut ignora tot ce trimite functia callback, dar ei au gasit o metoda creativa de a se folosi de trendurile provenite de la Twitter.Domeniul de mai sus, este folosit ca sursa principala de „lucruri rele”.In acelasi timp, scriptul incearca sa foloseasca un domeniu nou de fiecare data.Ei folosesc un algoritm elaborat pentru a construi domenii noi in fiecare zi, folosind mai multi parametri (ziua,luna,anul) pentru a face predictia dificila.Pentru a pune capat acestor predictii(facandu-le extrem de dificile) ei folosesc si al doilea caracter din cel mai popular rezultat de Twitter din urma cu 2 zile.Astfel, ei au la dispozitie o zi sa inregistreze noul domeniu ce va fi disponibil in urmatoarea zi.

For example, today is November 11, 2009. Two days ago the most popular Twitter search was “Jedward“. The second character is “e” and its code is 101. The hacker’s algorithm will generate the “ghoizwvlev .com” domain name.Here are a few more examples of generated domain names: abirgqvlev .com, fgxhzgvlev .com, abxhcgvlev .com (in November they all end in lev). As you can see, the generated domain names are almost guaranteed to be available for registration.

Din fericire, ceva a mers rau si atacul se pare ca este inactiv in acest moment.Autorul articolului a verificat mai multe domenii si a constatat ca doar unul din ele era inregistrat(iar respectivul avea erori interne).

I guess the approach was too laborious – you have to keep track of Twitter top searches and manually register and configure new domain names every day. At the same time this approach provides the same timeframe for security organizations to blacklist tomorrow’s malicious domain names.

Acesta mi se pare si mie de departe cel mai complex atac prin virusi despre care am citit pana acum si de care am intalnit personal pana acum.Pentru cei care considera ca se pricep la „hacking” le sugerez sa arunce o privire pe acest articol si sa se gandeasca de 2 ori cand mai afirma acest lucru.Desi, sunt adeptul securitatii , acest lucru merita tot respectul pentru cei care au gandit atacul.Stau si ma intreb, ce urmeaza?

Voi ati intalnit atacuri mai complexe? Daca da, ar fi dragut sa lasati un link aici! 😀

Editat mai tarziu :
Se pare ca acest „virus” exista de ceva vreme si este cunoscut ca Mebroot ,Sinowal sau Torpig.