EXPLOIT SERVERS

chmood


In our previous KYE study, we observed that malicious web pages usually do not host the attack code directly. Rather, the attack code is being imported onto the “front-end” page (for example, via iframes), or the user is redirected to the attack code, as shown in Figure 6 . IcePack and MPack confirm that this is common practice as it explicitly supports this structure in the statistics the tool collects. Every front-end page sends information about itself to the exploit server via the HTTP Referrer header, which is then recorded by the IcePack and MPack tool and visible on the statistics page as shown in Figure 3 and Figure 5 . The attacker, as a result, can determine which front-end pages drive the most traffic to the exploit server and, equipped with this information, “marketing campaigns” or specific hacking attempts can be focused to effectively increase the attack success rate.

Usually the administrators of these front-end pages are not even aware that they are hosting code that includes or redirects to malicious content. These front-end servers might have fallen to victim to an attack themselves in which the attacker modifies the pages or, more covertly, performs man-in-the-middle attacks, such as ARP spoofing [9], to include the malicious content. In the case of ARP spoofing, the administrator of the web page cannot find any direct evidence of malicious pages on the web site, but users are attacked nevertheless. Tools that allow an attacker to perform automated ARP spoofing, such as HTool and zxarps [10], have been reported to be bundled with the MPack web exploitation kits, although we ourselves did not obtain a copy of such a tool.

Dalam penelitian KYE kami sebelumnya, kami mengamati bahwa halaman web yang berbahaya biasanya tidak menjadi tuan rumah kode serangan langsung. Sebaliknya, kode serangan sedang diimpor ke "front-end" halaman (misalnya, melalui iframe), atau pengguna diarahkan ke kode serangan, seperti yang ditunjukkan pada Gambar 6. IcePack dan MPack mengkonfirmasi bahwa ini adalah praktek yang umum karena secara eksplisit mendukung struktur ini dalam statistik alat mengumpulkan. Setiap halaman front-end mengirimkan informasi tentang dirinya untuk mengeksploitasi server melalui header HTTP Pengarah, yang kemudian dicatat oleh IcePack dan alat MPack dan terlihat pada halaman statistik seperti yang ditunjukkan pada Gambar 3 dan Gambar 5. Penyerang, sebagai hasilnya, dapat menentukan front-end halaman mengarahkan lalu lintas yang paling ke mengeksploitasi server dan, dilengkapi dengan informasi ini, "kampanye pemasaran" atau upaya hacking tertentu dapat difokuskan untuk secara efektif meningkatkan tingkat keberhasilan serangan.

Biasanya administrator halaman front-end ini bahkan tidak menyadari bahwa mereka kode yang mencakup atau pengalihan ke konten berbahaya hosting. Server front-end ini mungkin telah jatuh ke korban serangan sendiri di mana penyerang memodifikasi halaman atau, lebih diam-diam, melakukan man-in-the-middle serangan, seperti ARP spoofing [9], untuk memasukkan konten berbahaya. Dalam kasus ARP spoofing, administrator halaman web tidak dapat menemukan bukti langsung dari halaman berbahaya di situs web, namun pengguna tetap diserang. Alat yang memungkinkan penyerang untuk melakukan spoofing ARP otomatis, seperti HTool dan zxarps [10], telah dilaporkan akan dibundel dengan MPack eksploitasi web kit, meskipun kita sendiri tidak mendapatkan salinan alat tersebut.


Figure 5 - Administrative Interface - Referer [sic] Stats

Gambar 5 - Antarmuka Administrasi - Referer [sic] Statistik


Figure 6 - Redirect to Exploit Server

Knowledge about these exploit servers is of high value. SANS Internet Storm Center identified a MPack attack in the middle of 2007 that showed 10,000 referral domains [11],[12]. This means that 10,000 web pages pointed to one exploit server. That is a high number. A live MPack server we found on the web (http://www.cordon.ru/mp/admin.php), “only” listed 504 referer URLs. A security administrator that is able to identify these servers will be able to greatly reduce the risk of infection by simply blacklisting these central exploit servers, effectively defusing risk of infection of the many front-end web pages that users potentially could come across.

Identification of these servers is simple. Since the exploitation kits consists of various PHP pages that host specific content, one can easily find exploit servers using a low interaction client honeypot, such as HoneyC . We performed such a search on several thousand known malicious URLs (sourced from stopbadware.org and mvps.org ). For each URL, we checked for the existence of an admin.PHP page (the page to the administative console of MPack v0.94), as well as the specific string “All activity is being monitored", which can be found on these PHP pages. We were able to identify several MPack servers as shown in Table 2 . Note that a search of this type was performed within a few hours on an average desktop PC using our low interaction client honeypot, HoneyC. The Snort signature used, which can also be used in the Snort Intrusion Detection System, is shown in Figure 8 .


alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"Access to MPack v0.94 web exploitation kit administrative console” flow:from_server,established; uricontent:"/admin.php”; content:"All activity is being monitored"; reference:url, http://blogs.pandasoftware.com/blogs/images/PandaLabs/2007/05/11/MPack.pdf ; classtype:bad-unknown; sid:TBD; rev:1;)



Figure 7 - Snort Signatue MPack 0.94

Search engine queries can also be used. Apparently a simple query that checks for `intitle: “Web Attacker Control”` used to result in several WebAttacker stats pages on Google [13].In October 2007, however, Google doesn't return any results; and Live Search only returns one defunct instance of WebAttacker. Since search engines adhere to robots' directives and do not index standalone pages, the coverage is likely to be low and a low interaction client honeypot would be the preferred method of identifying a exploit server.


Gambar 6 - Redirect ke Eksploitasi Server

Pengetahuan tentang ini mengeksploitasi server adalah nilai tinggi. SANS Internet Storm Center diidentifikasi serangan MPack di pertengahan tahun 2007 yang menunjukkan 10.000 domain rujukan [11], [12]. Ini berarti bahwa 10.000 halaman web menunjuk ke satu server yang mengeksploitasi. Itu adalah angka yang tinggi. Sebuah server MPack hidup kami menemukan di web (http://www.cordon.ru/mp/admin.php), "hanya" terdaftar 504 URL referal. Seorang administrator keamanan yang mampu mengidentifikasi server ini akan dapat sangat mengurangi risiko infeksi dengan hanya daftar hitam ini tengah mengeksploitasi server, efektif meredakan risiko infeksi dari banyak halaman web front-end yang pengguna berpotensi menemukan.


Identifikasi server ini sederhana. Karena kit eksploitasi terdiri dari berbagai halaman PHP yang host konten tertentu, orang dapat dengan mudah menemukan mengeksploitasi server menggunakan klien honeypot interaksi rendah, seperti honeyc. Kami melakukan pencarian seperti pada beberapa ribu URL berbahaya yang dikenal (bersumber dari stopbadware.org dan mvps.org). Untuk setiap URL, kami memeriksa keberadaan halaman admin.php (halaman ke konsol administative dari MPack v0.94), serta string tertentu "Semua aktivitas sedang dipantau", yang dapat ditemukan di PHP ini halaman. Kami mampu untuk mengidentifikasi beberapa server MPack seperti yang ditunjukkan pada Tabel 2. Perhatikan bahwa pencarian jenis ini dilakukan dalam beberapa jam pada PC desktop rata-rata menggunakan honeypot interaksi klien rendah kami, honeyc The Snort tanda tangan. digunakan, yang dapat juga dapat digunakan dalam Snort Intrusion Detection System,

Komentar