Specjaliści z SANS Internet Storm Center opisali niedawno bardzo interesujący proceder wykorzystywany przez internetowych przestępców. Dzięki niemu internauci odwiedzający skompromitowane strony www i spełniający określone kryteria mogą być przekierowani na dowolną stronę (zazwyczaj infekującą złośliwym oprogramowaniem).

Pomysłowi cyberprzestępcy wykorzystują mechanizm zwany RewriteEngine dostępny w serwerach www Apache. W wielkim skrócie mechanizm ten polega na automatycznym podmienianiu adresu URL na inny. W zamyśle twórców miał pomóc w podmienianiu długich i nieprzyjaznych człowiekowi URLi na krótsze i łatwiejsze do zapamiętania.

Pomysł polega na tym, że reguły mechanizmu RewriteEngine sprawdzają warunki, czy nagłówek HTTP “Referer” nie zawiera jakiś konkretnych adresów (w tym wypadku są to adresy najpopularniejszych wyszukiwarek internetowych). Jeżeli jakakolwiek reguła jest spełniona, to takowy użytkownik przekierowywany jest pod konkretny adres – z dużym prawdopodobieństwem będzie to złośliwa strona infekująca komputer internauty jakimś niebezpiecznym oprogramowaniem (tzw. malware).

Mechanizm RewriteEngine jest konfigurowany przez wpisy w pliku .htaccess. Przykładowa konfiguracja może wyglądać mniej więcej tak:

Taki plik jest umiejscawiany/podmieniany na zaatakowanym serwerze. Dostęp do serwerów atakujący uzyskują m.in. wykorzystując luki, lub poprzez skradzione hasła do konta FTP, albo w inny podobny sposób. Od tej chwili internauci odwiedzający zaatakowaną stronę wchodząc ze strony którejś z wyszukiwarek (kwestia ustawionego przez przeglądarkę internetową ofiary nagłówka „referer”), są przekierowywani na złośliwy URL.

Gdy internauta (albo automat szukający zainfekowanych stron) wejdzie bezpośrednio na zaatakowaną w ten sposób stronę, nie zostanie nigdzie przekierowany – strona będzie wyglądała na „zdrową”. Natomiast, gdy na stronę wejdzie klikając w wynik zapytania w wyszukiwarce internetowej (albo w mechanizm typu Google AdWords lub AdSense)… Voila! Zostaje skierowany do strony, która albo wykorzystując łatwowierność (względnie brak doświadczenia) użytkownika, albo luki w jego przeglądarce internetowej, instaluje w jego systemie złośliwe oprogramowanie. Wszystkie narzędzia poszukujące “skompromitowanych” stron, jeżeli nie ustawią odpowiednio nagłówka “referer”, nie wykryją niebezpieczeństwa.

Cały ten proceder został opisany przez SANS ISC w kontekście dystrybucji bardzo “popularnego” ostatnimi czasy fałszywego oprogramowania antywirusowego (które, co warto wspomnieć, działa wprost przeciwnie: zamiast chronić, infekuje).

Źródło:
http://isc.sans.org

lista domen docelowych, które serwują fałszywego antywirusa:
http://ddanchev.blogspot.com

Tags: malicious websites, malware, URL redirect, web 2.0, złośliwe strony

Wpis utworzony 14 października 2008 o 15:05 i umieszczony w kategorii Posty. Możesz śledzić wszystkie odpowiedzi korzystając z RSS 2.0