Teksti suurus

Reavahe

Kontrastsus
Seaded

 

Teave veebide administraatoritele - rünne veebide kaudu

Head uut aastat CERT-EE poolt! Uus aasta pole kahjuks väga hästi alanud, sest ei ole saladus, et suuremat sorti veebi kaudu nakatamise laine käib hetkel üle Eesti netimaastiku.

Juba eelmise aasta lõpus täheldasime mõningaid rahutukstegevaid märke, ent praegusel hetkel tundub olukord võtvat juba pandeemia mõõte. Sellega seoses pöördume Eesti IT professionaalide poole palvega suhtuda erilise tähelepanuga kõigesse, mis veebiserveri DocRoot kataloogi jõuab. On see siis seotud sellega, mida arendate ja uploadite klientide arvutitesse või sadade klientide virtuaalkodude majutamisega.

Päevakangelast iseloomustab (NB! nimistu ei ole ammendav):

  1. HTML lehele või sagedamini JS failidele obfuskeeritud javaskripti lisamine, lisatud osa algab stringiga "/*GNU GPL*/", näide lisatud
  2. obfuskeeritud skript harutab ennast lahti veebiaadressiks, kuhu lehe külastaja "põhidoosi" saama suunatakse, aadressi iseloomustab:
  • ebatavaliselt suur tähemärkide arv
  • üldtuntud domeeninimede sisaldumine (et kehvast filtrist läbi saada)
  • .ru TLD kasutamine

näide: deviantclip-com.altervista.org.bbc-co-uk.theaworld.ru

  1. HTTP päring suunatakse pordile 8080
  2. meieni jõudnud nimed lahenduvad reeglina IPdeks: 91.121.142.111, 94.23.14.110, 94.23.206.229, 85.25.73.243, 91.121.49.129
  3. põhiviiruse allalaadija on piisavalt heasti kirjutatud, et välistada automatiseeritud analüüsi üldtuntud vahenditega, AVd klassifitseerivad kasutaja arvutisse paigaldatud binaarifaili reeglina Bredolabi troojalaseks.

Eesti IT maastikul tegutsejatelt palume me kõrgendatud tähelepanu veebide haldamiseks kasutatava FTP/HTTP liikluse montooringul. Võimaluse korral tasuks juba hallatavad-arendatavad veebilehed üle vaadata ning kindlasti tuleks oma halduseks-arenduseks kasutatavad masinad hoida puhtana pahavarast. Võimaluse korral võiks lisada IDSi kontrollitavasse võrgusegmenti.

Tänud kõigile neile, kes kõike seda juba teevad ning tänu neile, kes seda veel ei ole teinud, aga hakkavad tegema.

NB! Asi esineb Eestis paraku juba massiliselt ja ohustab lihtkasutajat! Täiendavat lugemist antud teemal leiab ka siit: http://blog.unmaskparasites.com/2009/12/23/from-hidden-iframes-to-obfuscated-scripts/

Mittetäielik näide .js failile lisatud obfuskeeritud javaskriptist:

/*GNU GPL*/ try{window.onload = function(){var Ck46ii1kyo =
document.createElement('s&)c#&$r!)((i!!p#$t@'.replace(/\(|@|\)|\$|\!|&|\^|#/ig,
''));var Ndkpsyeqhxen = 'R5hb66d6f7idj';Ck46ii1kyo.setAttribute('type',
't)!)e&x$!^t((/^j^a$v$#a$^&!s(! /.. edasine eemaldatud ../

Teie,
CERT-EE
Tarmo Randel
tarmo-ät-cert.ee
66 30 254

Teema: CERT, Küberturve

Lisatud 05.01.2010

Tagasi lehele "Uudised"