E InnovaStudio offrì un piatto di phish..ing
febbraio 4th, 2010
Nelle settimane passate ho ripreso ad interessarmi di phishing analizzando le mail giuntemi nel mese di gennaio su un solo indirizzo mail.
Mi sono in particolare concentrato su quelle caratterizzate dalla presenza di link non diretti al sito fraudolenti, ma che presentano invece collegamenti ipertestauli a pagine web aventi la funzione di reindirizzare successivamente l’utente sul sito fraudolento.
Così per arrivare magari sul sito clone posizionato su un server olandese si passa prima attraverso una pagina di redirect posizionata su un server a Singapore.
Delle 59 mail di phishing giuntemi nel mese di gennaio, 29 conteneva redirect su pagine html (tranne in un paio di casisu pagine php) aventi per lo più le seguenti denominazioni:
- a.html;
- ca.html;
- cas.html;
- cop.html;
- index.htm;
- phpinfo.htm:
I ventinove attacchi risultavano così suddivisi:
- Banca Popolare di Sondrio n.2;
- Banca Popolare di Spoleto n.3;
- Banca Popolare di Bari n.7;
- Banca Popolare di Romagna n.3;
- Banca Etruria n.5;
- Banca di Cividale n.1;
- Poste Italiane n.5;
- CartaSi n.1.
Spesso i siti clone erano ospitati su domini “a perdere” registrati presso Melbourneit.com, mentre le pagine di redirect sono state inserite “abusivamente” all’interno dei siti ospitanti.
Spesso ciò avviene attraverso shell per il controllo remoto, scritte in php o asp, che vengono inserite nel sito sfruttando le metodiche del Remote File Inclusion.
Altre volte non è necessario ricorrere a tanto sforzo!
Esistono infatti piattaforme per la creazione dei siti web e la gestione dei contenuti che consentono l’upload dei file da utilizzarsi nelle pagine web.
InnovaStudio coomercializza un prodotto di questo tipo, che però se non configurato correttamente può lasciare spazio all’azione dei malitenzionati.
Il pannello mostrato superiormente presenta il listato dei file presenti nella cartella di upload, che possono essere filtrati attraverso la tendina in alto a destra in base alla tipologia. A destra di ogni file vi è il link all’operazione di cancellazione dello stesso, mentre nel riquadro di sinistra si può vedere l’anteprima dei file grafici.
La tendina posta superiormente al box di anteprima consente di selezionare ulteriori subdirectory di quella di upload, con la possibilità (a lato della tendina) di creare/cancellare le sotto cartelle.
Inferiormente abbiamo due tasti, per il browsing nel sistema in cui scegliere il file da uploadare ed il tasto per eseguire tale operazione.
Lo screenshot in questione è tratto dalla demo on line sul sito della InnovaStudio. Se lo trovate vi accorgerete che è stato ampiamente infarcita di shell remote 
triste pubblicità per l’azienda, senza contare che mette a rischio tutto il server su cui il sito risiede.
La documentazione in rete spiega che il codice, commercializzato sia nella versione asp che php, consente di configurare sia le directory dedicate l’upload, anche pubblico, che la tipologia (estensione) e dimensione dei file che si vuole permettere di uploadare.
Se tale configurazione non viene fatta….sono guai perchè, come dimostrato sulla stessa demo on-line, chiunque può caricare codice arbitrario.
Un colpo di “fortuna” può derivare dall’aver configurato correttemente i privilegi in modo, che quanto contenuto nella directoory di upload non abbia i diritti di esecuzione. In tal modo se, anche malauguratamente, qualcuno ci infarcisce lo spazio web di shell non avrà la possibilità di farle funzionare.
Quella descritta è la metodica di lavoro sfruttata dai phisher.
Qualcuno ha inzialmente inserito una shell remota nella directory di upload, con essa ha quindi potuto spostarsi agilmente dalla limitata posizione definita per l’uploader, per riposizionare quindi la shell in una diversa subdirectory, dove sia meno appariscente.
La realtà forse è ancor più tragica, spesso si notano, infatti, sia le shell che i file di redirect lasciati in bella mostra nella directory di upload, indice che lo spazio web viene monitorato di rado, lasciando comunque tempo a sufficienza al cattivo per colpire le possibili vittime con il furto delle credenziali.
E’ inoltre possibile che i phisher si limitino a cercare le shell inserite da altri, senza neppure far la fatica di inniettarle.
Tuttavia l’individuazione delle shell non è così banale, in quanto non sempre sono indicizzate dai motori di ricerca e sfuggano all’occhio di chi controlla il sito dall’”esterno”, non via ftp. Non conoscendo a priori le dircetory presenti sul server, nè il nome che l’attaccante può aver dato alla shell, diviene quasi impossibile individuarla, se non adottando condotte di analisi più aggressive.
La “fortuna” può derivare dalla configurazione del server che consente la visualizzazione del contenuto delle directory, in tal caso si può riuscire ad individuare comunque la shell.
Cancellare le shell remote individuate avrebbe in ogni caso (discorso etico a parte) poco senso, infatti se il titolare del server non provvede a chiudere la vulnerabilità attraverso cui la shell è stata inserita, il cattivo di turno la poorà reinserire in un secndo tempo.
Rimane l’unica possibilità di avvisare i responsabili del sito, cercandone i recapiti nell’output dell’interrogazione whois o sulle pagine web.
Leave a Reply