Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Exploit

26-02-2012, 11:50 door Zeurkool, 11 reacties
Deze ochtend was ik op een weblog van een Zeeuwse mevrouw en na het plaatsen van een reactie kwam MSE met de waarschuwing dat er een Exploit was gedetecteerd, en wilde Acrobat een file openen. Het bleek er om 2 te gaan:
Exploit:Win32/Pdjsc.RF
Exploit:JS/Blacole.AR
Beide maken misbruik van de pc indien er niets aangedaan wordt. MSE verwijderde de ongein gelijk .
Nu heb ik de mevrouw via email op de hoogte gebracht, maar ik heb niet echt het idee dat ze me geloofde. Hoe kun je mensen er van overtuigen dat jou programma echt wel wat detecteerde?
Niet! En dat is best wel jammer.
Reacties (11)
26-02-2012, 13:27 door SirDice
Door Zeurkool: Nu heb ik de mevrouw via email op de hoogte gebracht, maar ik heb niet echt het idee dat ze me geloofde. Hoe kun je mensen er van overtuigen dat jou programma echt wel wat detecteerde?
Neem contact op met het abuse adres van de hoster. Zij zullen dan de site uit de lucht halen waardoor mevrouw min of meer gedwongen wordt er wat aan te doen.
26-02-2012, 17:09 door Anoniem
@Zeurkool

m'n zus heeft ook een keer een exploit uit de blackhole toolkit op haar laptop gehad en deze is ook gedetecteerd met MSE, ook al kreeg ze daarna alsnog een BSOD, waardoor ik 4 verschillende scans heb kunnen uitvoeren, gelukkig had ik Java er een dag eerder voor der der af gegooid.

Door SirDice:
Door Zeurkool: Nu heb ik de mevrouw via email op de hoogte gebracht, maar ik heb niet echt het idee dat ze me geloofde. Hoe kun je mensen er van overtuigen dat jou programma echt wel wat detecteerde?
Neem contact op met het abuse adres van de hoster. Zij zullen dan de site uit de lucht halen waardoor mevrouw min of meer gedwongen wordt er wat aan te doen.

Daar heb ik slechte ervaringen mee, met het offline halen van een virus website. Ik had de bron van een virusinfectie op het schoolnetwerk gevonden. Daarna de oude bekende Whois gebruikt en de hoster gecontacteerd, ze zeiden dat ze de website zouden beoordelen en hem desnoods offline zouden halen, maar dat is niet gebeurd, dus dan maar niet, de site lijkt niet actief mis-/gebruikt te worden.

Virustotal rapporten:
https://www.virustotal.com/file/c166886af3a9f84dd2d92c097d7fa6eecf11125e0875ca49f0e33b922d11ddd5/analysis/1330271276/
https://www.virustotal.com/file/048c282dd112d0b3fe6e4669af9496ec15424dd4f834e304ac73bbfbbce2be8f/analysis/1330271368/
https://www.virustotal.com/file/f0878a59aea3dc8ece29e1f7dd7a11707030d2587e5a506462eb876b7a9ffe9f/analysis/1330271475/

1 ding, mocht je deze website vinden in de virustotal rapporten, klik dan niet op de directory /myvids/ want dan krijg je een drive-by download, die met Java wat leuke commando's probeert uit te voeren in cmd.exe
27-02-2012, 08:29 door SirDice
Door Anoniem:
Door SirDice:
Door Zeurkool: Nu heb ik de mevrouw via email op de hoogte gebracht, maar ik heb niet echt het idee dat ze me geloofde. Hoe kun je mensen er van overtuigen dat jou programma echt wel wat detecteerde?
Neem contact op met het abuse adres van de hoster. Zij zullen dan de site uit de lucht halen waardoor mevrouw min of meer gedwongen wordt er wat aan te doen.

Daar heb ik slechte ervaringen mee, met het offline halen van een virus website. Ik had de bron van een virusinfectie op het schoolnetwerk gevonden. Daarna de oude bekende Whois gebruikt en de hoster gecontacteerd, ze zeiden dat ze de website zouden beoordelen en hem desnoods offline zouden halen, maar dat is niet gebeurd, dus dan maar niet, de site lijkt niet actief mis-/gebruikt te worden.
Ik niet hoor. Ik heb al meerdere sites uit de lucht gekregen op die manier. Dat lukt niet altijd maar meestal is het raak.
27-02-2012, 08:52 door S-q.
Toch wel effectief dat MSE dan!

@Anoniem 17.09.
Je had Java ook gewoon kunnen patchen hoor.
Ik probeer daar ook attent op te zijn.
Kreeg een dag daarna een keer ook een exploit (2) die daarom doodliep, door MSE gevonden werd en verwijderd.

Ik moet wel toegeven, MSE vond het pas na een volledige scan.
(Of het was een nieuwe exploit/toeval)

Maar, gewoon doen wat SirDice aangeeft.
27-02-2012, 09:09 door Ilja. _V V
Door SirDice:
Door Zeurkool: Nu heb ik de mevrouw via email op de hoogte gebracht, maar ik heb niet echt het idee dat ze me geloofde. Hoe kun je mensen er van overtuigen dat jou programma echt wel wat detecteerde?
Neem contact op met het abuse adres van de hoster. Zij zullen dan de site uit de lucht halen waardoor mevrouw min of meer gedwongen wordt er wat aan te doen.
Niet om je af te kammen of zo, maar is dat niet een beetje grof geweld tegen een oude van dage?... ;-)
27-02-2012, 10:25 door Mysterio
Door Ilja. _\\//:
Door SirDice:
Door Zeurkool: Nu heb ik de mevrouw via email op de hoogte gebracht, maar ik heb niet echt het idee dat ze me geloofde. Hoe kun je mensen er van overtuigen dat jou programma echt wel wat detecteerde?
Neem contact op met het abuse adres van de hoster. Zij zullen dan de site uit de lucht halen waardoor mevrouw min of meer gedwongen wordt er wat aan te doen.
Niet om je af te kammen of zo, maar is dat niet een beetje grof geweld tegen een oude van dage?... ;-)
Nope, als er iemand hoest in de bus gooi ik er ook meteen een vuilniszak overheen. Je weet maar nooit!

Het off-line halen kan een hoop ellende voorkomen waar een hoster helemaal niet op zit te wachten. Daarnaast heeft men daar vast procedures voor die netjes de klant op de hoogte stellen en meer van dat.
27-02-2012, 10:34 door SirDice
Door Ilja. _\\//:
Door SirDice:
Door Zeurkool: Nu heb ik de mevrouw via email op de hoogte gebracht, maar ik heb niet echt het idee dat ze me geloofde. Hoe kun je mensen er van overtuigen dat jou programma echt wel wat detecteerde?
Neem contact op met het abuse adres van de hoster. Zij zullen dan de site uit de lucht halen waardoor mevrouw min of meer gedwongen wordt er wat aan te doen.
Niet om je af te kammen of zo, maar is dat niet een beetje grof geweld tegen een oude van dage?... ;-)
Ik vind dat zeurkool z'n best heeft gedaan, hij heeft in ieder geval nog de moeite genomen om de webmaster in te lichten. Dat sla ik over het algemeen gewoon over.
27-02-2012, 21:46 door 0101
Het kan een false positive zijn; MSE heeft recentelijk nog zelfs Google aangemerkt als de BlackHole exploit kit. Omdat de exploit kit in de browser draait en allemaal geobfusceerde JavaScript bevat is 'ie moeilijk te te identificeren. (En liggen false positives op de loer.)

Als je de tijd hebt om door de broncode te spitten... Cookies weggooien (of private browsing), Flash / Java tijdelijke bestanden weggooien (of, beter, plugins uitschakelen) en dan view-source:http://www.debewustesite.nl/. En kijk ook even van welke pagina's er bestanden geladen worden (kan makkelijk vanuit de AdBlock Plus blokkeerlijst, Ctrl+Shift+V) als je de site "normaal" bezoekt. Als er geen verdachte externe websites worden geladen is de kans groot dat MSE ernaast zit.
01-03-2012, 21:30 door Anoniem
Anoniem 17.09:

Door S-q.: Toch wel effectief dat MSE dan!

@Anoniem 17.09.
Je had Java ook gewoon kunnen patchen hoor.
Ik probeer daar ook attent op te zijn.
Kreeg een dag daarna een keer ook een exploit (2) die daarom doodliep, door MSE gevonden werd en verwijderd.

Ik moet wel toegeven, MSE vond het pas na een volledige scan.
(Of het was een nieuwe exploit/toeval)

Maar, gewoon doen wat SirDice aangeeft.


Zo dom ben ik niet om op een virussite zo op verschillende links te klikken en Java heb ik lang geleden gedumpt. :P Ik heb de website 'geanalyseerd' met Tails 0.10 in een VM om achter mijn bevindingen te komen en ik ben niet besmet via deze drive-by, maar ik heb hem op een andere manier gevonden en die drive-by was niet de bron van een eerdere besmetting. Met JS en Java uitgeschakeld in Tails zag ik index2.html en dus verandere ik index2.html in index.html en toen zag ik een hele interessante code die commando's uitvoert, zowel in cmd,exe in Windows als in de terminal in Unix/Linux... Het betreft hier ook niet een exploit uit de Blackhole toolkit, ik heb het eerdere bericht alleen geschreven om aan te tonen dat een site uit de lucht halen niet altijd wilt lukken en ik wilde alleen waarschuwen dat mocht iemand in de comments op virustotal.com bekijken en de URL vinden dat diegene dan niet uit nieuwsgierigheid op die drive-by zou klikken.
06-03-2012, 08:50 door Zeurkool
Ondertussen zijn we alweer ruim een week verder en hebben ze er nog niets aan gedaan.
Ze zeggen dat ik mijn MSE moet updaten ( welke natuurlijk up2date is) en dat mijn adobe reader veroudert is terwijl ik versie 10.1.2 heb. Volgens mij de laatste versie.
Het is grappig om te zien hoe men hier mee omgaat, en hoe men je niet gelooft. De host zegt gewoon dat er niets te vinden is.
06-03-2012, 12:27 door SirDice
Ter illustratie, dat een hoster vaak ook gewoon netjes z'n werk doet, vorige week 4 abuse e-mails de deur uit gedaan. Twee reageerde helemaal niet, zelfs geen auto-reply, maar ruimde de boel wel op. En twee reacties:

Dear SirDice,


We have received your notification concerning the phishing content. We have shut down the website in question accordingly. The website will not be re-enabled to public access until it has been cleared by our own security checks and all of the phishing and/or malware content has been removed of the server.

Regards,

Patrick
Mijndomein Support


Dennis, Mar 02 18:08 (EET):

Hello,

The mentioned URL no longer works. This was already removed. You may check it.

Dennis M.
System Administrator
http:/www.eurovps.com
Providing Quality Hosting since 2004
Tel: +31 208 202 120 / +44 203 355 6681
http://facebook.com/eurovps - Like us yet?

Kortom, vier uit vier die de boel opruimden. En twee die bonus punten krijgen voor een fatsoenlijk antwoord.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.