Vous êtes sur le site public du Cert-IST
"MPack" ou la commercialisation d'un outil d'attaque

Date :02 Juillet 2007

Publication: Article

1 - Introduction

A la mi-juin, des incidents impactant de nombreux sites web à travers le monde, et notamment en Italie, ont été rapportés par des organismes de surveillance ("Websense" [1], ISC SANS [7]). Ces incidents sont tous liés à l'utilisation d'un outil "commercial" de piratage nommé "MPack".

"MPack" est un outil de piratage web proposé par des hackers Russes moyennant une contribution financière (environ 700 dollars). La première version de cet outil daterait de décembre 2006.

Schématiquement, ce logiciel permet de lancer une panoplie d'attaques vers le poste des utilisateurs se connectant (généralement à leur insu) sur un serveur web "MPack".

Il est à noter que des mises à jour payantes, offrant de nouveaux programmes d'attaques, sont également proposées, ainsi qu'un support technique…. comme pour un logiciel commercial classique.

2 - "MPack" c'est quoi ?

Concrètement "MPack" est une application écrite en PHP s'exécutant sur un serveur web et reliée à une base de données MySQL. A première vue, l'ensemble ressemble à une application web des plus classiques.

Cependant, son but diffère largement des applications web couramment rencontrées sur la Toile. En effet, son rôle est d'exploiter une vulnérabilité sur le PC de la victime afin d'y déposer un programme malveillant. Pour cela, "MPack" a la capacité de reconnaître les principaux systèmes d'exploitation (Windows, Linux/Unix, MacOS X, …), ainsi que les principaux navigateurs web (Firefox, Internet Explorer, Opera, …). En fonction de la combinaison détectée, "MPack" lance un ou plusieurs programmes d'attaques spécifiques (s'appuyant sur des vulnérabilités connues) vers le poste de la victime. Si "Mpack" parvient à compromettre ce poste, il peut alors automatiquement y installer divers outils malveillants (virus, chevaux de Troie, "keyloggers", "bots", …).

3 - Comment s'utilise "MPack" ?

Après une brève présentation de l'outil, nous vous proposons d'en détailler son utilisation afin de mieux comprendre les aspects techniques et son impact sur la sécurité des systèmes d'information des entreprises.

"MPack" est donc une application PHP en somme très classique. Elle s'exécute sur un serveur web qui est généralement situé à un second niveau lors de la mise en place de l'attaque. Une base de données de type MySQL est connectée à cette application et contient, entre autres, les programmes d'attaques utilisés par "MPack" et des éléments statistiques.

La méthode la plus classique pour amener des internautes à se rendre sur le serveur web "MPack" est, dans un premier temps, de compromettre une grande quantité de sites web (au moyen de diverses faiblesses : mots de passe d'administration triviaux, failles dans des applications PHP, …), et de modifier discrètement les pages  web de ces sites pour y inclure une redirection vers le serveur exécutant "MPack". Cette redirection est effectuée par l'ajout d'une directive IFRAME dans les pages HTML.

Ainsi, lorsque la victime accède au site web compromis, une requête HTTP est également envoyée au serveur "MPack". Ce dernier analyse l'en-tête HTTP reçu et peut en déduire le navigateur web utilisé, ainsi que le système d'exploitation de la victime.

User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4

Fort de ces informations, le serveur "MPack" recherche dans sa base de données un programme d'attaque relatif à cette cible. Ce programme est ensuite testé sur la victime. En cas d'échec, un autre programme est sélectionné, et ainsi de suite jusqu'au succès (ou échec) final.

Dans sa dernière version, "MPack" a rajouté à sa panoplie d'attaques les programmes d'exploitation pour les vulnérabilités suivantes :

Il est à noter que le serveur "MPack" journalise les actions vers les systèmes attaqués (cible, localisation géographique de la cible, programmes d'exploitation qui ont échoué, programme d'exploitation qui a réussi, …). Un exemple de cette journalisation est disponible sur le site de Websense [1].

Dès lors que l'application "MPack" possède une porte d'entrée sur le système de la victime, elle installe un programme de type "Downloader" ("file.exe" ou "file.php") détecté de manière générique par certains éditeurs d'anti-virus. Une fois exécuté, ce programme tente de télécharger sur le système infecté des outils malveillants. Ces outils sont généralement connus et détectés par les anti-virus à jour.

4 - Les attaques du mois de juin

Lors des incidents de ce mois de juin, l'organisme Websense [1] aurait identifié plus de 10 000 sites web redirigeant les internautes vers un serveur "MPack" spécifique.

Selon les statistiques de Websense, les régions les plus touchées par ce phénomène seraient l'Italie, l'Espagne, les Etats-Unis, l'Allemagne et la France.

Les sites web compromis semblent avoir été attaquées :

  • soit par des vulnérabilités présentes dans des outils d'administration proposés par leurs hébergeurs ("CPanel" [8])
  • soit par la compromission préalable des identifiants/mots de passe utilisés pour la maintenance des pages web. Les pirates utiliseraient un outil spécifique [3] & [6] (sorte de client FTP intelligent) pour infecter les pages web des sites compromis avec la directive IFRAME de redirection.

Il semblerait, selon le SANS, que la plupart des sites web italiens compromis appartiennent à un même hébergeur.

Une fois l'attaque du poste de la victime réussie, le cheval de Troie "Torpig" (identifié dans les Failles secondaires suivies du Bulletin Sécurité n°94) serait téléchargé sur le système. Ce cheval de Troie est un "keylogger" qui tente de dérober les informations de connexions vers des sites bancaires.

5 - Quel sont les risques pour les entreprises ?

Après cette étude sur le comportement de l'outil "MPack" et des attaques associées, nous allons tenter d'analyser les risques induits par cette menace au niveau des systèmes d'informations (SI) des entreprises.

Dans un premier temps, ces risques concernent le fait qu'un serveur web de l'entreprise peut être compromis et utilisé comme relais dans les attaques via l'outil "MPack". Cependant ces risques ne diffèrent en aucune manière des risques habituels induits par l'ouverture d'un service web sur Internet.

Une configuration sécurisée associée au suivi rigoureux des vulnérabilités sur les applications web et sous-jacentes (base de données, ..), ainsi que sur le système d'exploitation de la plate-forme restent le minimum vital pour éviter tout problème de sécurité. L'audit du code des applications web "maison" est aussi un aspect important vis-à-vis de la sécurité de la plate-forme web.

Dans un second temps, ces risques peuvent affecter les utilisateurs du SI navigant sur un site web compromis. C'est généralement ce cas-là qui est le plus couramment rencontré. Néanmoins, si le PC de l'utilisateur dispose des derniers correctifs de sécurité en termes d'outils web (navigateur, lecteur multimédia, …), de système d'exploitation et d'un anti-virus régulièrement mis à jour, les risques d'une infection via l'outil "MPack" restent minimes. Bien que cet outil a la capacité d'être mis à jour régulièrement, les programmes de type "0-Day", s'ils sont inclus dans la panoplie des attaques, ne rajoutent pas de risque supplémentaire (par rapport aux risques déjà identifiés).

Ainsi, de notre point de vue, l'outil "MPack", bien qu'apportant une nouveauté non négligeable dans son concept, ne présente pas de risque nouveau pour le système d'information de l'entreprise. Il s'efforce tout au plus d'automatiser de façon intelligente les attaques web vers les internautes en s'appuyant sur une batterie de site web compromis afin d'accroître son exposition sur la Toile.

6 - Pour plus d'informations