Een malafide favicon

Een Malafide Favicon

Een technisch verhaal met een opmerkelijke twist. Door het bijhouden van welke uls’s er benaderd worden op een website kwamen we steeds vaker exotische bestanden aan. Er wordt geprobeerd om bestanden aan te roepen die er of niet zijn, of te infecteren zijn of een spam actie kunnen triggeren.

Hoe het werk lees je in deze post.

Een malafide favicon is dé manier om je server te misbuirken

Een Veilige WordPress Website

2.50

Bijgewerkt: Versie 2.2!

Beveiligen van een website is vandaag de dag echt noodzakelijk. Geregeld worden sites gehackt. Meer en meer mensen maken zich zorgen. Maar er zijn tal van manieren om je website te beveiligen.
In dit e-book praat ik je bij over veiligheid en WordPress. Onderwerpen die de revue passeren zijn:

  • 3 ingrediënten waar je altijd rekening mee dient te houden
  • 3 soorten beveiliging die jouw website nodig heeft
  • 4 praktijkvoorbeelden van veiligheid
  • Nieuw toegevoegd: 7 Mythes over back-ups
  • Meer hulp nodig?


Lees meer over malware in jouw website.

Een Malafide Favicon

Een technisch verhaal met een opmerkelijke twist. Door het bijhouden van welke uls’s er benaderd worden op een website kwamen we steeds vaker exotische bestanden aan. Er wordt geprobeerd om bestanden aan te roepen die er of niet zijn, of te infecteren zijn of een spam actie kunnen triggeren.

Hoe het werk lees je in deze post.

Een malafide favicon is dé manier om je server te misbuirken

Een Veilige WordPress Website

2.50

Bijgewerkt: Versie 2.2!

Beveiligen van een website is vandaag de dag echt noodzakelijk. Geregeld worden sites gehackt. Meer en meer mensen maken zich zorgen. Maar er zijn tal van manieren om je website te beveiligen.
In dit e-book praat ik je bij over veiligheid en WordPress. Onderwerpen die de revue passeren zijn:

  • 3 ingrediënten waar je altijd rekening mee dient te houden
  • 3 soorten beveiliging die jouw website nodig heeft
  • 4 praktijkvoorbeelden van veiligheid
  • Nieuw toegevoegd: 7 Mythes over back-ups
  • Meer hulp nodig?


Lees meer over malware in jouw website.

Een Malafide Favicon

Een technisch verhaal met een opmerkelijke twist. Door het bijhouden van welke uls’s er benaderd worden op een website kwamen we steeds vaker exotische bestanden aan. Er wordt geprobeerd om bestanden aan te roepen die er of niet zijn, of te infecteren zijn of een spam actie kunnen triggeren.

Hoe het werk lees je in deze post.

Een malafide favicon is dé manier om je server te misbuirken

Een Veilige WordPress Website

2.50

Bijgewerkt: Versie 2.2!

Beveiligen van een website is vandaag de dag echt noodzakelijk. Geregeld worden sites gehackt. Meer en meer mensen maken zich zorgen. Maar er zijn tal van manieren om je website te beveiligen.
In dit e-book praat ik je bij over veiligheid en WordPress. Onderwerpen die de revue passeren zijn:

  • 3 ingrediënten waar je altijd rekening mee dient te houden
  • 3 soorten beveiliging die jouw website nodig heeft
  • 4 praktijkvoorbeelden van veiligheid
  • Nieuw toegevoegd: 7 Mythes over back-ups
  • Meer hulp nodig?


Lees meer over malware in jouw website.

Wat op het oog normaal is

Na infectie komen er op de server willekeurige mappen te staan met duidelijke bestanden die er niet horen. Maar ook ogenschijnlijk correcte bestaande bestandsnamen vallen hieronder. Deze vallen natuurlijk minder op. Ieder technisch beetje onderlegd iemand weet van de favicon.ico, toch?

.ico bestandje laat het icoontje zien in je tabblad van de website

In de bekende mappen als plugins / extentions / uploads / media worden vreemde " favicon.ico " -bestanden met een willekeurige reeks tekens en cijfers aan het einde van de naam gevonden.

Programmeercode

Maar het gaat hier stiekem helemaal niet om .ico bestanden, het is geen pictogram. Ze volgen een indeling zoals gebruikt in PHP.

  1. Controleer op een gedefinieerde semafoor met de startreeks “ ALREADY_RUN_ ”, gevolgd door een willekeurige hexadecimale reeks die hoogstwaarschijnlijk een hacking-id voorstelt.
  2. Een functie met willekeurige namen met twee parameters: een vertaalsleutel en een vuile base64-code . Met behulp van de vertaalregels van de eerste parameter naar de tweede, retourneert deze functie de base64-de-codering van de dirty-base64-code.
  3. Verklaring van de dirty-base64-codevariabele met een willekeurige naam.
  4. Verklaring van de associatieve array met de tekens van de vertaalsleutel en de bijbehorende waarden, ook willekeurig genoemd.
  5. Eval- functie om het script te starten.
  6. Gereageerd met 32 MD5-tekenreeks + gecodeerde code .
Wat in orde llijkt...
niets te zien, maar ondertussen...

Wat er werkelijk gebeurd

Achter de schermen gebeurd er dus iets heel anders dan het mogelijk weergeven van een pictogram.

De base64-code die door dit nep-favicon wordt gegenereerd, bestaat uit een groep functies. Deze functies ontcijferen de gereageerde code naar het laatste blok, wat de echte achterdeurcode is .

Iets technischer

Deze achterdeur (meestal over het hoofd gezien tijdens de analyse als commentaar) bestaat uit een eerste blok van 32 tekens dat overeenkomt met een MD5-hash , gevolgd door de base64-code van de achterdeur.

Na enkele iteraties, waar jij kan zien hoe deze achterdeur kan worden geconfigureerd, afhankelijk van het geval, onthult de uiteindelijke code een CURL- object.

Er wordt gebruik gemaakt van (post – verzend) definities die voor formulieren gebruikt wordt. Hier mee kan de aanvaller onderweg bepalen wat er van de site wordt gedownload. Dit omvat soms alleen inhoud en bestanden, maar we zien af ​​en toe code in bestanden worden geïnjecteerd net voor de </head> of de </body> tag, afhankelijk van hoe de aanvaller op afstand het nep favicon heeft geconfigureerd.

Hoe kan een aanvaller dit gebruiken?

Als een bestand niet werkelijk een php bestand is en ook niet in de hoofdmap staat (maar in een willekeurige map), hoe kan de aanvaller dan dit (complexe) proces activeren?

Eigenlijk is het simpel maar heel doeltreffend. Het index bestand van de site wordt gekopieerd. Door de oude te voorzien van .bak.bak en de nieuwe te voorzien van een import naar het ‘favicon-bestand’.

  • Een opname van het favicon-bestand met een relatief pad.
  • Een " @ " vóór de opname zorgt ervoor dat eventuele fouten die uit het opgenomen bestand komen, niet op de website worden weergegeven, waardoor het voor bezoekers wordt verborgen.

.bak is de term om een oudere versie back-up van het bestand op de server te laten staan – valt (weer) niet op.

 

 

Wat dit eigenlijk betekend is dat de naast dat de achterdeur wordt opengezet per keer dat de site wordt aangeroepen de bezoeker de ‘gewone’ website te zien krijgt. Herinfectie is op deze manier heel gemakkelijk. Stoute mensen hebben (nog)steeds toegang tot jou server en kunnen SPAM blijven versturen.

Waar kan je dit kopen?

Eeh, Brent ik wil dit niet kopen maar toch vertel… Een dergelijk manier van infecteren is gewoon te koop op het Dark web. Wanneer dit verkocht en gebruikt wordt ontstaat er een netwerk aan computers waar kwaadwillende, wanneer ze maar willen, gebruik van kunnen maken.

Het is een hackkit die net als de zoekmachine spin kruipt over het net  opzoek naar kwetsbare websites.

 

het is te koop op het dark web
Nu weet jij wat een malafide favicon is

Auw, de conclusie

We kunnen gerust stellen dat er heel veel kwaadaardige favicons zijn. Er wordt aangenomen dat de volgende kwetsbaarheden worden gebruikt om deze nep favicons te injecteren:

  • Oude softwareversies die niet zijn gepatcht met de nieuwste versies of beveiligingsreleases. Dit omvat CMS-software, serversoftware, plug-ins / modules / extensies / componenten, thema's / skins / sjablonen, etc.
  • Back-ups of demo / testsites, die zeer zwakke infectievectoren zijn omdat ze meestal niet goed worden onderhouden.
  • Formulieren uploaden die niet goed zijn schoongemaakt of verhard, vooral op handgemaakte websites.

Het gaat hier om duizenden reeds geinfecteerde websites.

Malware oplossing

Als jij verdacht gedrag op jouw site waarneemt of de aanwezigheid hiervan detecteert '. bak.bak ”-bestanden (favicons of andere ongebruikelijke bestanden), dan ruim ik dat graag voor je op.

Opschonen website na hack

495.00

Werkt jou site niet naar behoren? Of werkt je site in zijn geheel niet? Allicht heb je van jouw hostingprovider te horen gekregen dat je site gehacked is. Staat jouw site op een blacklist? Geen idee waar dit aan ligt? Ik kan dit voor jou oplossen.

Opschonen website na hack

495.00

Werkt jou site niet naar behoren? Of werkt je site in zijn geheel niet? Allicht heb je van jouw hostingprovider te horen gekregen dat je site gehacked is. Staat jouw site op een blacklist? Geen idee waar dit aan ligt? Ik kan dit voor jou oplossen.

Laat een reactie achter

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *