Analyse De Mpack Et De La Bluepill (Septembre 2007)
Total Page:16
File Type:pdf, Size:1020Kb
7 BRE 200 L’ACTU SÉCU 16 SEPTEM LES “UNE MENACE NOMMÉE MPACK” Le hacking devient un jeu d’enfant... SOMMAIRE DOSSIER SPÉCIAL PACK : LES ROOTKITS VIRTUELS “BLUEPILL” ARTNERS.COM MPACK et TORPIG LES VULNÉRABILITÉS DU MOIS ICEPACK LES OUTILS LIBRES .XMCOP FISHING_BAIT SHARK WWW © XMCO Partners - 2007 [1] Ce document est la propriété du cabinet XMCO Partners. Toute reproduction est strictement interdite. 7 BRE 200 L’EDITO SEPTEM Les packs spécial rentrée... Vous avez certainement vu le film tions, nous plongeons pour vous Michel Sardou et de Johnny Hal- « The Matrix » : le monde dans au cœur des menaces du moment lyday contrôlés par une backdoor lequel nous vivons ne serait pas pour les décortiquer et ainsi vous (voir l’interview de LCI de Marc réel, nous serions en fait endormis aider à vous en protéger. Behar sur notre site). pendant qu’une machine nous ferait vivre dans un monde virtuel L’Actu Secu continue d’évoluer et et utiliserait notre énergie vitale ne manquera pas de présenter pour se nourrir. des sujets d’actualité comme : l’ISO27001, la sécurité Bluetooth, Cette fiction est la toile de fond de l’Ajax ou encore les risques liés à ce 16ième ActuSécu. Fort de nos la technologie RFID… 1000 téléchargements pour son numéro consacré aux Botnets, Bonne lecture nous vous présentons pour cette rentrée 2007 les menaces qui font L’équipe XMCO vous souhaite et feront parler d’elles : MPACK, une bonne rentrée IcePack, la BluePill, Torpig, Des menaces d'ailleurs présentes Shark… dans l’actualité du mois d’août : les clients du Crédit Mutuel atta- Avec le même souci de clarté qui qués par le trojan Banker « Tor- nous anime lors de nos presta- pig » ou encore les ordinateurs de AOUT 2007 Nombre de bulletins Microsoft : 9 Nombre d’exploits dangereux : 20 Nombre de bulletins XMCO : 103 Le TOP des Menaces du Mois 1. Netsky 2. Mytob 3. Zafi 4. MPACK Dossier Spécial “PACK” PART I.................................................3 Les rootkits virtuels : “Blue Pill”..............................................14 MPACK, le premier framework d’exploitation de vulnérabilités. Présentation des nouveaux rootkits basés sur la virtualisation Dossier Spécial “PACK” PART II................................................7 Attaques et alertes majeures....................................................17 ARTNERS.COM ICEPACK, comme un goût de déjà vu. Description et analyse des attaques les plus importantes du mois. Dossier Spécial “PACK” PART III...............................................9 Outils Libres...............................................................................20 Fishing_bait : le kit de Phishing. Découvrez les outils les plus efficaces. .XMCOP Dossier Spécial “PACK” PART IV.............................................12 Shark, le générateur de cheval de Troie. WWW © XMCO Partners - 2007 [2] Ce document est la propriété du cabinet XMCO Partners. Toute reproduction est strictement interdite. PART. I : MPACK, le premier fra- DOSSIER SPECIAL “PACK” mework d’exploitation de vulné- rabilités des navigateurs... DES KITS DE HACKING A LA PORTEE DE TOUS... De plus en plus de kits destinés aux pirates en herbe fleurissent Septembre 2007 Septembre sur la toile. La commercialisation de chevaux de Troie ou de kits de Phishing n’est pourtant pas nou- SÉCU velle. En revanche l’utilisation massive de ces derniers devient peu à peu un fléau difficilement contrôlable. L’ACTU L’ACTU Cet article tentera de vous pré- senter les dernières menaces de ce type découvertes sur Internet. Nous vous expliquerons simplement les méthodes d’infection et les risques engendrés par ces outils à la mode. Nous analyserons ainsi les outils ou packs : MPACK, ICE- PACK, un kit de création de Phish- ing (Fishing_bait) ainsi qu’un générateur de cheval de Troie bap- tisé Shark. Commençons par le plus connu de tous : MPACK... XMCO | Partners Depuis quelques mois, plusieurs de packs ont été souligne l’aspect pro- développés et distribués par de véritables pirates. Ces fessionnel de la derniers ont été largement relayés par la presse, mais commercialisation de n’ont jamais été clairement défini. Certains assimilent leur outil. MPACK à un Cheval de Troie sans savoir ni connaître Pour les besoins de son fonctionnement réel. D’autres diffusent des infor- notre article, nous mations erronées sans jamais entrer dans le vif du nous sommes procu- sujet. Pourtant ces nouvelles menaces mettent en rés MPACK afin d’expliquer le fonctionnement de ce danger tous les internautes et par la même occasion dernier. l’intégrité des Systèmes d’Information des entreprises. Principe de fonctionnement Description MPACK : un succès inattendu MPACK est tristement célèbre depuis les différents La diffusion du MPACK fut un véritable succès. Les événements survenus au mois de mai 2007 sur des pirates ont utilisé différentes astuces pour arriver à serveurs web italiens. MPACK est un framework d’ex- compromettre près de 500 000 internautes en quel- ploitation de vulnérabilités web. Ce dernier est vendu ques jours. Campagnes d’email, achats de noms de par des pirates russes pour 700 dollars environ sur les domaines ressemblant à des sites légitimes ou encore forums spécialisés. publicités Google, tous les moyens furent bons pour attirer un grand nombre d’internautes victimes vers ARTNERS.COM Ce pack se compose d’un ensemble de pages PHP des pages malicieuses de MPACK. capables d’exploiter les failles de sécurité des naviga- teurs web (Internet Explorer, Mozilla, Opera, …). Dès le mois de mai 2007 et en exploitant diverses failles de type PHP, des pirates se sont infiltrés sur un .XMCOP MPACK est livré sous la forme d’une archive. Ses au- grand nombre de serveurs web Italiens (près de teurs proposent même un support d’un an, ce qui 10 000). WWW © XMCO Partners - 2007 [3] Ce document est la propriété du cabinet XMCO Partners. Toute reproduction est strictement interdite. Ces infiltrations avaient pour objectif d’insérer des 3. En fonction du navigateur client, une page php est balises HTML iframes piégées au sein du maximum alors appelée et exploite une vulnérabilité du naviga- de pages web possible : c’est la phase préliminaire de teur. la première attaque MPACK. 4. Un malware est téléchargé et exécuté à l’insu de la Ces balises iframes étaient transparentes pour les victime. internautes et avaient pour unique fonction de pointer 5. Ce malware infecte les pages web accessibles de- vers un des sites hébergeant le MPACK. puis le poste de la victime. Septembre 2007 Septembre Ainsi, dès qu’un utilisateur visitait un site infecté par ces balises iframes, celui-ci était silencieusement redirigé vers un serveur web hébergeant la page SÉCU PHP d’attaque de MPACK. Une fois sur cette page, différentes attaques visant à exploiter les failles de sécurité du navigateur de la victime sont enchaînées. L’ACTU L’ACTU Si le navigateur est vulnérable (ce qui est fort proba- ble), celui-ci se retrouve contraint de télécharger et d’exécuter un petit programme appelé downloader. Ce dernier a pour but de rechercher, sur la machine de la victime, toutes les pages HTML (.html, .htm, …) et d’y insérer la balise iframe. La boucle est alors bouclée. Nous verrons plus loin que ce downloader peut éga- lement contenir d’autres charges utiles… Contenu du pack MPACK est livrée sous la forme d’une archive contenant un en- semble de pages PHP. Mpack étant payant, la plupart DEFINITION... des versions disponibles sur In- ternet ne sont pas opérationnel- les immédiatement. En effet, Iframe : après avoir mis en place la base de données SQL (création de la Une iframe est une balise HTML permet- tant de regrouper plusieurs pages web en base avec la table user) sous-ja- une seule. Elle permet donc à un pirate çente, il faut appeler un script qui d’intégrer une page malicieuse au sein générera les tables nécessaires. d’une page légitime. La taille de cette Dans un second temps, il faut se dernière est paramétrable (1 pixel) et plonger dans le code PHP afin peut donc paraître invisible à la vue d’identifier les erreurs laissées des victimes. par les internautes qui ont publié gratuitement ce pack. La modification d’un fichier PHP Exemple : suffit pour pouvoir utiliser plei- <iframe name="" SRC= nement MPACK. "http://www.xmcopartners.com" scrol- ling="yes" height="1" width="1" FRAME- Une fois les petites modifications BORDER="yes"></iframe> apportées au code, MPACK est prêt à compromettre les visiteurs pris au piège. Scénario d’attaque ARTNERS.COM La base de données SQL Le scénario est le suivant : Etudions à présent les différentes tables utilisées par MPACK. Ces dernières sont créées par le script 1. L’internaute visite un site légitime vérolé. .XMCOP « maketable.php ». Ces tables permettent de générer 2. Une balise iframe redirige l’utilisateur vers un site des statistiques et de donner aux pirates une vision hébergeant MPACK des différentes victimes de MPACK. WWW © XMCO Partners - 2007 [4] Ce document est la propriété du cabinet XMCO Partners. Toute reproduction est strictement interdite. Dans notre cas, nous avons choisi le mot « stat » qui Les différents scripts PHP sert à dériver les autres noms des tables. Passons à présent aux composants PHP qui caracté- Voici les tables SQL : risent MPACK. -stat_fs contient les champs statid (identificateur de la victime), a2 (non défini), country (pays de la victime) Plusieurs d’entre eux (crypt.php, crypt_of.php, et count (compteur de victime) crypte.php, cryptor.php) sont utilisés afin de chiffrer, -stat_fs_all contient le champs « data » (qui définit déchiffrer ou encoder les urls. Septembre 2007 Septembre l’adresse IP de la victime) Le fichier setting.php permet de définir la configura- -stat_fs_br contient un champs « browser » qui défini- tion des connexions à la base SQL et inclue égale- ra les caractéristiques du navigateur de la victime et ment une fonction de géolocalisation à partir de l’IP SÉCU un champs count. source de la victime afin de déterminer le pays origine -stat_fs_refs contient un champs referrer (pour déter- de l’internaute.