nobelpeaceprize.org kompromittering avdekket nytt hull i Firefox

I gårsdagens bloggpost kunne TSOC avsløre at hjemmesiden til nobelpeaceprize.org hadde blitt kompromittert, og ble benyttet til å spre malware til besøkende. Samtidig meldte vi i vårt daglige nyhetsbrev at TSOC hadde avdekket et nytt og ukjent sikkerhetshull i Mozilla Firefox. Det som med hensikt ikke gikk klart frem, var at disse to sakene var relaterte; nobelpeaceprize.org videresendte besøkende til en ondsinnet server i Taiwan vha. en skjult iframe. Besøkende fikk deretter servert javascript som utnyttet en hittil ukjent svakhet i Firefox.

Koblingen mellom kompromitteringen av nobelpeaceprize.org og Firefox 0-day exploiten ble bevisst unlatt offentliggjort av oss for å minimere risiko for spredning av 0-day exploiten.

TSOC har jobbet med denne saken siden mandag ettermiddag, og analyser av det ondsinnede javascriptet førte til at vi i løpet av natt til tirsdag ble klar over at det dreide seg om et nytt og ukjent sikkerhetshull i Firefox. Svakheten ble da meldt inn til Mozilla.

Det finnes foreløpig ingen patch for svakheten, og vi anbefaler derfor å benytte en alternativ nettleser inntil videre. Eventuelt kan man benytte NoScript, en Firefox-plugin som i praksis deaktiverer Javascript. Mozilla jobber fortsatt med å utbedre svakheten.

nobelpeaceprize.org kompromittert

Nettstedet nobelpeaceprize.org har blitt kompromittert og benyttet til å spre ondsinnet programvare til besøkende.

Vellykket utnyttelse av svakheten fører til at en bakdør, scvhost.txt, blir lastet ned og eksekvert. Til forskjell fra typisk malware som rapporterer tilbake til C&C over HTTP oppretter denne trojaneren en bakdør ved hjelp av et cmd.exe-shell som kobles tilbake til angriperen.

Bakdøren kopierer seg selv til c:\windows\temp\symantec.exe, legger seg inn i Windows Registry som 'Microsoft Windows Update' og forsøker deretter å koble opp bakdøren mot l-3com.dyndns-work.com (eller l-3com.dyndns.tv som nr. 2), på port 443/tcp.

l-3com.dyndns-work.com 60   IN A  140.113.40.206
l-3com.dyndns.tv       60   IN A  140.113.40.206

AS      | IP               | CC | AS Name
9916    | 140.113.40.206   | TW | NCTU-TW National Chiao Tung University

Observert aktivitet over denne bakdøren har vært sporadisk, og med innslag av skrivefeil er det mye som tyder på at den videre infeksjonen ikke er automatisert.

Den pågåtte aktiviteten har vært innsamling av informasjon rundt kjørende prosesser, ip-adresser og brukere på systemet.



scvhost.txt har svært dårlig antivirus-deteksjon; ingen av de 41 antivirus-produktene hos VirusTotal reagerte på trojaneren.



Det anbefales å sjekke brannmurlogger for tilkoblinger mot 140.113.40.206 port 443/tcp, da dette er en god indikasjon på vellykket infisering. Trafikk mot samme IP, men kun på port 80/tcp, er en indikasjon på at klient-PC'er kun har blitt forsøkt utnyttet.

Bokhandel med ekstratjenester

De datakriminelle bruker etter hvert mange forskjellige triks for å lure vanlige brukere til å installere malware. I dag avdekket vi et nytt opplegg: en hel bokhandel satt opp kun for å lure brukere til å hente ned malware, kamuflert som nedlastbare bøker.

Lenker til bokhandelen (hxxp://worid-of- books.com) er injisert i tusenvis av vanlige web-sider ved hjelp av teknikker som SQL-injection og innhøsting av brukernavn/passord til web-tjenere. Dette fører til at Google, og andre søkesider, viser treff fra denne siden høyere oppe i søkeresultatene sine. Den letteste måten å komme inn på "bokhandelen" på er derfor sannsynligvis via Google e.l.

Søk på denne forfatteren (og mange andre!) med "download" etter gir altså link til malware som andre treff hos Google. Hvis en trykker på linken får en opp en tilsynelatende seriøs side med informasjon om en bok:

Hvis du trykker på download-knappen blir du servert en fil av typen "bokas_navn.pdf.exe". Windows gjemmer vanligvis filtypen for sluttbrukeren, så filen vil se slik ut etter å ha blitt lastet ned:

Normalt vil brukere få en advarsel av web-browseren når filen blir lastet ned om at filen kan være farlig. Hvis en dobbeltklikker på filen i Windows for å starte den, vil en også få en advarsel om at filen kommer fra en ukjent kilde. Hvis en svarer ja på disse advarslene, skjer det først ingenting. Men etter få sekunder dukker følgende bilde opp:

Hele bokhandelen er altså satt opp for å lure vanlige brukere til å laste ned falsk anti-virus. Denne varianten av falsk anti-virus er ganske plagsom, og det dukker stadig vekk opp advarsler og vinduer for eksempel av denne typen:

Vi testet denne varianten av falsk anti-virus mot Virus Total. Den har, som ventet, svært lav deteksjon. Kun 6 av 43 anti-virus-leverandører flagger filen som mistenkelig. Dette er typisk for falsk anti-virus, som stadig kommer i nye versjoner.

Dersom en prøver å hente ned flere "bøker" fra bokhandelen blir en møtt med følgende feilmelding:

Dette er antakeligvis gjort for å gjøre det vanskeligere å undersøke hva som faktisk foregår her. Eller kanskje synes bakmennene at bøkene er så billige at det får holde med én per kunde..

Av denne saken kan vi lære følgende:

• Ikke stol blindt på søkeresultater fra Google og lignende, selv om resultatene kommer langt opp på listen og ser tilforlatelige ut. De kriminelle blir stadig flinkere til å komme høyt opp i resultatene ved hjelp av såkalt SEO (Search Engine Optimization). Hvis du ser etter en bok eller forfatter er det kanskje best å gå direkte til en kjent bokhandel på nettet.
• Dersom noe er for godt til å være sant, så er det gjerne det. Bøker som en tilsynelatende kan hente ned gratis fra nettet burde få alarmbjellene til å ringe. Følg også nøye med på hva filnavnet slutter på og sjekk at filen er av forventet type. I dette tilfellet ble det servert en ".exe"-fil der en hadde forventet en ".pdf"-fil. Dersom en leser advarselen fra Windows før en starter filen vil en også kunne se at det er noe galt her.