Site web compromis : tout est dans le détail !

Quoi de plus banal qu’un site web compromis ? Pourtant à l’occasion du Forum CERT-IST qui s’est déroulé hier à Paris, Philippe Bourgeois (CERT-IST) a présenté un intéressant retour d’expérience en la matière.

Intéressant, pas tant par la technique ou l’exploit utilisé (qui n’a pas pu être identifié) que par l’attention aux détails dont fait preuve l’attaquant…

Un audit succinct des fichiers du site compromis révèle ainsi rapidement l’injection de balises de type iframe dans de très nombreux fichiers du site. Rien de très original, donc. A deux exceptions près : tout d’abord la taille de ces iframes est de 11×11 pixels, contre 1×1 habituellement. Et surtout, ils pointent vers Google au lieu d’un site web infectieux comme c’est habituellement le cas.

Premier enseignement : en augmentant la taille des iframes l’attaquant espère échapper aux solutions de sécurité les plus primitives qui se contenteraient de rechercher des cadres de 1×1 pixel, signature évidente d’une compromission.

Il reste à élucider le mystère de la source : pourquoi faire pointer ces cadres vers Google – évidemment bien incapable de servir un quelconque code malveillant au visiteur ?

En réalité cela n’est que temporaire. A intervalle régulier l’attaquant exploite à nouveau la vulnérabilité qui lui a permis l’infection initiale et met cette URL à jour, afin qu’elle pointe cette-fois ci vers un site malveillant (qui change toutes les 30 minutes)

En faisant « tourner » ainsi son portefeuille de sites infectés l’attaquant diminue certes son efficacité globale mais il n’expose pas tous ses sites à la détection au même moment, puisqu’ils ne pointent pas tous à un instant T vers une URL malveillante.

Plus subtil encore, bien que pas forcément très efficace : lorsque la modification est effectuée et que le site devient alors infectieux, une dernière astuce toute bête est mise en oeuvre pour tenter de réduire la probabilité de détection. Les URL malveillantes intègrent toutes le mot « Facebook » dans le chemin. On peut penser qu’il s’agit là d’une tentative pour tromper d’éventuels outils de détection mal conçus, qui se satisferaient de trouver ce mot-clé n’importe où dans la ligne plutôt que spécifiquement dans la position de nom de domaine (c’est qu’il est tellement facile d’écrire une mauvaise expression rationnelle…). Il serait alors facile de confondre cet iframe là (malveillant) avec celui, parfaitement anodin, des widgets sociaux de Facebook.

Enfin, l’attaquant adopte une approche méthodique dans ses infections : il compromet ses victimes à la chaîne sans vérifier immédiatement son succès (ce qui laisserait une trace difficile à rater dans les logs, qui permettrait de corréler une tentative d’exploit et un accès au fichier récemment déposé). Au lieu de cela il attend un mois avant de revenir tester si le fichier malveillant a bien été déposé. Ce qui, dans les logs, ne permet pas d’identifier précisément la tentative d’exploitation qui a fonctionné.

Il n’y a évidemment rien d’inédit dans ces techniques, utilisées (et automatisées !) depuis des années. Mais ce retour d’expérience du CERT-IST a le mérite de montrer l’approche méticuleuse, et besogneuse, d’un attaquant un peu organisé contrôlant un portefeuille de sites web compromis…

Jerome Saiz le 13 juin 2013

Source : http://magazine.qualys.fr/menaces-alertes/site-web-compromis/

Contactez-nous

Contactez-nous

Nous construisons des solutions sur mesure pour nos clients.
En cochant cette case, vous vous abonnez à la newsletter Claranet. Vous pouvez vous désinscrire à tout moment via le lien de désinscription en bas de la newsletter. Choisir vos préférences de communication.
Les informations à caractère personnel recueillies à partir de ce formulaire feront l’objet d’un traitement par le Groupe Claranet France (Claranet, Claranet Business Apps, Oxalide). En fonction de votre demande, le traitement peut être relatif à la gestion des clients, des prospects, des recrutements, etc. Pour plus d’informations sur les traitements mis en œuvre par Claranet et la façon dont vous pouvez exercer vos droits, consultez notre Privacy Policy.
10 + 8 =
Trouvez la solution de ce problème mathématique simple et saisissez le résultat. Par exemple, pour 1 + 3, saisissez 4.

Pour contacter un commercial

N'hésitez pas à nous appeler au 0826 007 656

Besoin de contacter le support technique ?
Nos équipes sont disponibles en 24x7x365.

Support Virtual Data Centre au 0826 007 653 (Numéro indigo)
Support Infogérance applicative au 0810 278 385 (Numéro indigo)
Support Colocation au 0826 007 653 (Numéro indigo)
Support Cloud Public en envoyant un mail à support