Index du Forum
Se connecter pour vérifier ses messages privés
iFrame Injection – Détournement malveillant de trafic Web


 
Poster un nouveau sujet   Répondre au sujet     Index du Forum » Administration » Info Flasch sécurité » Divers Informatique Sujet précédent :: Sujet suivant  
iFrame Injection – Détournement malveillant de trafic Web
 MessagePosté le: Dim 2 Déc - 09:58 (2012) Répondre en citant  
Message
  nenette58
Administrateurs WSI
Administrateurs WSI


Hors ligne

Inscrit le: 01 Nov 2008
Messages: 3 843
Niveau Général Informatique:
Estimation Protection:
Navigateur: FireFox
Féminin Cancer (21juin-23juil) 狗 Chien
Point(s): 4 310
Moyenne de points: 1,12
Version Pack: Gratuite
Autre: MalwareBytes+Zemana

PublicitéSupprimer les publicités ?
Avez-vous déjà entendu parler de la technique nommée « iFrame Injection » ? Celle-ci est particulièrement à la mode chez les pirates informatiques et autres cybercriminels ces temps-ci. Détails sur la technique et analyse des tenants et aboutissants.

Commençons par la base. A savoir, la technique n’est pas nouvelle et est utilisée depuis pas mal d’années. Mais certains critères du Web et de la cybercriminalité ont changés et ont apporter un regain d’intérêt pour les iFrame Injection voir même les « Mass iFrame Injection ».

Principe et explications de la technique

En quoi cela consiste exactement ? Un pirate doit d’abord exploiter une vulnérabilité sur un site Web afin de pouvoir y injection du code. En l’occurrence, ce sera du code HTML (une balise iFrame). Mais ce n’est pas tout, en effet, il va aussi falloir camoufler ce code à la vue des visiteurs, crawlers et antivirus.



Pour cela, la méthode la plus utilisée est l’obfuscation : généralement, le JavaScript sera choisi afin de camoufler le code et le rendre incompréhensible. Bien entendu, cela n’est pas infaillible et il est relativement simple de déchiffrer la source pour les chercheurs en sécurité.

Unescape, eval, hexadécimal, Base64 ou encore fonctions mathématiques , tout est bon pour cela ! D’ailleurs, les pirates n’hésites pas à cumuler ces fonctions les unes à la suite des autres ou de multiples fois d’affilées afin d’augmenter la difficulté du reversing.

D’où viennent ces iFrames ?

Les cybercriminels utilisent plusieurs moyens selon leurs compétences. Tout d’abord, les failles Web touchant des sites. Ou alors des vulnérabilités serveur. Mais on peut aussi se rendre compte que beaucoup d’injections d’iFrames malveillantes se font de façon automatisée via des malwares. Ces derniers vol des identifiants FTP sur les ordinateurs des victimes et vont modifier automatiquement les fichiers principaux sur le serveur et donc infecter le site en question.

Dans ce cas, l’attaque peut se transformer en « Mass iFrame Injection », le pirate peut alors se retrouver avec une infection de grande envergure, composée de plusieurs milliers de sites Internet infiltrés. La plateforme WordPress par exemple à déjà été victime de cela. De même, lorsqu’une faille serveur critique est découverte, elle permet généralement de toucher un maximum de sites Internet en très peu de temps. Mais que font les pirates avec ces iFrames ?

Dangers et utilisations de l’iFrame Injection

Une fois l’iFrame placée sur un site Web à gros trafic, le pirate va pouvoir par exemple diriger le trafic vers un site publicitaire pour y générer des revenus ou encore vers un site distribuant des malwares via des exploits « zero-day » visant les navigateurs, les plugins Adobe et Java des visiteurs dans le but d’infecter leur machine. Cela est appelé le « Drive-by Download« . Le but est donc la propagation massive de malwares ou de récupération de gros trafic Web.

Une fois l’infection ayant eu lieu, le pirate aura sous la main des milliers de machines en plus dans son réseau de zombies (si c’est un trojan) ou alors une masse de données privées dérobées telles que des identifiants bancaires (si c’est un password stealer par exemple) qu’ils pourra négocier au prix fort sur le marché noir (ou Blackmarket).

Mais dans le cas où aucun malware n’est distribué, il peut s’agir tout simplement de détournement de trafic Web. Ce précieux trafic sera ensuite monnayé puis renvoyé vers des sites affichant de nombreuses publicités dans le but de générer un maximum de revenus en très peu de temps. A noter l’apparition récente de boutique en ligne pirate où l’on peut acheter du trafic à moindre coût, trafic provenant bien évidement d’iFrames non sollicitées sur des sites légitimes, piratés au préalable.

Comment se protéger face à ce risque ?

Depuis un certain temps, Google travail en collaboration avec certains services de scan en ligne et est capable de reconnaître et d’afficher dans ses résultats qu’un site est infecté (bien entendu, il faut que la menace soit connue, même principe que les malwares et les antivirus). Voici un exemple avec UnderNews : Google Diagnostic. Dans le même genre, le scanner en ligne Sucuri fait à peu près la même chose.

De plus, voici les principaux moyen de défense :

  • Détection des redirections malveillantes et non légitimes (les antivirus les identifient en tant que Mal/Iframe-Gen).
  • Filtrage des nom de domaines impliqués et donc signalés comme dangereux (utilisation de black-liste).
  • Filtrage des URLs pointant vers des serveurs connu comme malveillants (réputation, black-liste).
  • Détection des exploits JavaScript injectés dans les pages légitimes (Mal/ExpJS-N) et des fichiers utilisés.
  • Détection de la charge malveillante en elle-même (le payload).
  • Protection en tant réelle sur la machine de l’utilisateur via un antivirus (HIPs) pour identifier et bloquer la charge malveillante directement sur la machine de la victime.


Source Undernews


Nul n'a autant besoin d'un sourire que celui qui n'en a pas à donner.





iFrame Injection – Détournement malveillant de trafic Web
 MessagePosté le: Aujourd’hui à 04:28 (2017)  
Message
  Contenu Sponsorisé







Poster un nouveau sujet   Répondre au sujet     Index du Forum » Divers Informatique

Page 1 sur 1
Toutes les heures sont au format GMT - 1 Heure

Montrer les messages depuis:

  

Sauter vers:  

Portail | Index | Creer un forum | Forum gratuit d’entraide | Annuaire des forums gratuits | Signaler une violation | Conditions générales d'utilisation
Powered by phpBB © 2001, 2017 phpBB Group Traduction par : phpBB-fr.com