Vous êtes sur le site public du Cert-IST
Gumblar : un cas d’école d’infection web

Date :04 Juin 2009

Une attaque en deux temps :

Plusieurs sources ont signalé l’infection de nombreux sites web par un cheval de Troie qui redirige ensuite les internautes vers un site web malveillant. Ce malware a été baptisé Gumblar (il est également connu sous le nom JSRedir) en référence au site malveillant vers lequel ses victimes sont redirigées.

Ce malware se propage via une attaque en deux temps.

Une première étape vise des sites web de confiance.

Cette phase de l’attaque tente d’installer le cheval de Troie sur des sites web légitimes. Elle utilise pour cela les accès FTP normalement prévus pour la mise à jour de ces sites web.

Il semblerait que les attaquants disposent d’identifiants dérobés leur autorisant ces accès FTP.

La seconde phase vise les visiteurs des sites web infectés.

Une fois installé sur des sites web de confiance, Gumblar redirige les visiteurs de ces sites compromis vers un site malveillant et tente de compromettre les postes de ces visiteurs. Pour cette seconde phase d’attaque il exploite des vulnérabilités connues des lecteurs Adobe PDF et Flash Player via des fichiers PDF et SWF malveillants. Le navigateur utilisé pour visiter le site compromis n’intervient donc pas dans l’attaque. Un internaute qui utilise un navigateur correctement patché sera vulnérable si un de ses lecteurs Adobe PDF ou Flash Player est vulnérable.

Au final, Gumblar installe du code malveillant sur les postes des victimes qui visitent les sites web compromis.

Ce type d’attaque consistant à télécharger du code malveillant à l’insu de l’utilisateur lors d'une navigation sur un site web compromis, s’appelle une attaque « drive-by-download ».


Un malware très « tendance » :

Les deux phases de cette attaque sont très révélatrices des évolutions des menaces qui pèsent sur les systèmes informatiques.

En effet, comme nous le rapportions dans le «Bilan Cert-IST 2008 des failles et attaques» l’année 2008 a vu une forte progression :

  • de la compromission de sites web de confiance,
  • d’attaques de poste de travail d’internautes au travers de leurs navigateurs web,
  • d’attaques exploitant des vulnérabilités de logiciels tiers (QuickTime, Acrobat Reader, Real Media … ) plutôt que des vulnérabilités du système d'exploitation lui-même.

Comme nous l’analysions, cette évolution est due à la recherche de nouveaux vecteurs d’attaques contre des postes utilisateurs mieux protégés (anti-virus, gardes-barrières, systèmes d’exploitation à jour), et caractérise une haute technicité des codes malveillants.

Des sites web vulnérables

Les sites web sont devenus très complexes et mettent en œuvre de multiples technologies (bases de données, script, plugin, …). Ils délivrent rarement des pages web statiques mais plutôt des pages construites dynamiquement depuis de nombreuses sources, avec même parfois du contenu que le site web lui-même ne maîtrise pas (affichages publicitaires, partenariat, flux dynamiques etc.).

Cette complexité multiplie les probabilités qu’ils soient impactés par différentes vulnérabilités.

L’intérêt de compromettre un site web

Classiquement les sites web utilisés pour propager du code malveillant étaient des sites web comme les sites pornographiques ou les sites délivrant des logiciels piratés.

Un internaute pouvait naviguer en toute confiance sur des sites gouvernementaux, commerciaux, …

En infectant des sites de confiance une personne malveillante dispose alors d’un vecteur d’attaque extraordinaire de part le nombre de visiteurs de ces sites et de part l’absence de méfiance de ces visiteurs.

Les logiciels tiers : le talon d’Achille des postes des utilisateurs

De gros progrès ont été faits pour le déploiement des correctifs de sécurité des systèmes d’exploitation. Par contre il est beaucoup plus fréquent de trouver des logiciels tiers (QuickTime, Acrobat Reader, Real Media …) impactés par des vulnérabilités connues depuis longtemps.

Les logiciels tiers utilisés pour lire du contenu dans de nombreuses pages web présentent donc un vecteur d’attaque idéal pour un site web malveillant.

Gumblar présente une belle illustration de ces tendances. Il compromet des sites web de confiance et les utilise comme vecteur d’attaque via l’exploitation de vulnérabilités connues des lecteurs Adobe PDF et Flash Player.

 

Quelle protection ? :

Selon Symantec une autre évolution des attaques reprise par Gumblar est l'utilisation de techniques pour se camoufler et pour se modifier (polymorphisme) de façon à ne pas être détectable depuis une signature antivirale.

Notons que peu d’éditeurs d’antivirus fournissent actuellement des signatures relatives à Gumblar.

Symantec préconise la mise en œuvre d’autres techniques de protection pour se protéger de telles attaques :

  • L'analyse heuristique de fichiers recherche un comportement viral dans les fichiers analysés.
  • Les IPS (Intrusion Prevention System) contrôlent le trafic réseau pour détecter les tentatives d’intrusion et les bloquer.
  • L’analyse comportementale (Behavioral Monitoring) des logiciels attend certains types d’actions de certains logiciels et signale ou interdit les comportements ne correspondant pas à ceux prédéfinis.

 Il ne faut pas oublier quelques conseils de bon sens :

  • appliquer les mises à jour de sécurité sur les logiciels tiers,
  • rester vigilant quant au chargement de logiciel (codec, plugin, …) même lors de la navigation sur des sites de confiance.


Pour en savoir plus :