Quale vulnerabilità è questo documento dannoso che tenta di sfruttare

1

CHIARIMENTO: ho cambiato il titolo mentre le persone interpretavano questo come una richiesta per aiutare a capire il codice. Spiego cosa sta facendo il codice qui sotto (le critiche su questa analisi sono benvenute). Sto cercando di capire perché lo sta facendo. Ho proposto alcune teorie, cercando altre idee.

Ho ricevuto e inviato tramite email il mio server di lavoro con il seguente titolo: "Trasferimento di stato modificato 3310DHIFM" con un allegato .doc. Chiaramente questo è un tentativo di installare un virus e ho deciso di vedere cosa c'era esattamente in questo file. L'ho salvato come testo e l'ho aperto in un editor che so che non "aiuta" cercando di aprire le cose nel programma "giusto". Quello che ho trovato era una pagina HTML. L'intestazione sostanzialmente riduce le risorse da un sito web di notizie lituano che sembra essere legittimo. È possibile che sia stato compromesso, quindi ho cambiato gli indirizzi web per non funzionare in un modo che dovrebbe essere ovvio.

Si prega di non seguire quei link a meno che non si sappia davvero cosa si sta facendo! Non sono responsabile per eventuali conseguenze negative derivanti dal tentativo di accedere a queste risorse

Dopo aver estratto una versione di jquery da quel sito, ha uno script che lo usa:

    <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
    <html>
       <head>
          <title></title>
          <meta http-equiv="content-type" content="text/html; charset=windows-1250">
          <meta name="generator">
          <LINK rel="stylesheet" type="text/css" href="http://ww2.zebra.eeltee/c/internetas/style.css">
          <LINK rel="stylesheet" type="text/css" href="http://ww2.zebra.eeltee/c/internetas/tapsauga.css">
          <script type="text/javascript" src="http://ww2.zebra.eeltee/js/jquery.js"></script><scripttype="text/javascript">
            $(document).ready(function () {
              fortinet = $("a[href*='fortinet']");
              $("a.uzsisakyk_big_grey").attr("href", fortinet.attr("href"));
              fortinet.hide();
            });
          </script>
        </head>

Fondamentalmente cerca qualsiasi collegamento che contiene la parola fortinet e poi inserisce tale href nel sotto html per puntare a quel link fortinet e nasconde il link fortinet effettivo.

C'è del testo in lituano (storpiato dal mio editore, a quanto pare) su come un virus è stato bloccato ecc. e poi un link a maggiori informazioni sul virus. È qui che il link fortinet viene inserito dallo script.

      <body style="padding:50px;">
        <div id="tapsauga-msg">
          <div id="tapsauga-msg-inner">

            <table>
              <tr>
                <td width="80" align="center" valign="top"><img src="http://ww2.zebra.eeltee/i/internetas/error_48.png"></td><tdcolspan="2">
          TEO paslauga „Triguba apsauga” aptiko ir užblokavo virusu "WM/Agent!tr" užkrėstą bylą. Paslauga „Triguba apsauga” draudžia atsisiųsti šią bylą, nes ji gali pakenkti Jūsų kompiuteriui.
                </td>
              </tr>
              <tr><td colspan="3"> </td></tr>
              <tr>
                <td></td>
                <td align="left" colspan="2">
                  <a class="uzsisakyk_big_grey" href="nuoroda">Daugiau apie virusÄ…</a>
                </td>
              </tr>
            </table>
          </div>
        </div>
      </body>
    </html>

Qualcuno capisce perché lo sta facendo? Non riesco a vedere come tutto ciò funzioni molto a meno che non ci sia qualcosa di funky nello script jquery o nei file css estratti dal sito zebra.

Sembra che si tratti di persone che utilizzano un firewall Fortinet, ma per quale scopo? Posso azzardare un'ipotesi che forse sta cercando di prendere un link che permetta di accedere a qualcosa che è stato bloccato, ma non vedo cosa ciò comporti. Non sembra che ci sia qualcos'altro qui che sta cercando di entrare nella pagina. Esiste una vulnerabilità di Word intorno all'HTML? Una vulnerabilità in modalità strane? Sembra piuttosto inefficace ma potrei sottovalutare l'autore.

EDIT:

Ho guardato i file css nei link e vedo che ci sono molti riferimenti gif e jpg. Un'altra possibilità è che ci sia un difetto nel modo in cui Word gestisce gif o jpg.

    
posta JimmyJames 22.10.2015 - 18:57
fonte

0 risposte

Leggi altre domande sui tag