Avez-vous déjà entendu parler de la technique nommée “iFrame Injection” ? Celle-ci est particulièrement à la mode chez les pirates informatiques et autres cybercriminels ces temps-ci. Détails sur la technique et analyse des tenants et aboutissants.
Commençons par la base. A savoir, la technique n’est pas nouvelle et est utilisée depuis pas mal d’années. Mais certains critères du Web et de la cybercriminalité ont changés et ont apporter un regain d’intérêt pour les iFrame Injection voir même les “Mass iFrame Injection”.
Principe et explications de la technique
En quoi cela consiste exactement ? Un pirate doit d’abord exploiter une vulnérabilité sur un site Web afin de pouvoir y injection du code. En l’occurrence, ce sera du code HTML (une balise iFrame). Mais ce n’est pas tout, en effet, il va aussi falloir camoufler ce code à la vue des visiteurs, crawlers et antivirus.
Pour cela, la méthode la plus utilisée est l’obfuscation : généralement, le JavaScript sera choisi afin de camoufler le code et le rendre incompréhensible. Bien entendu, cela n’est pas infaillible et il est relativement simple de déchiffrer la source pour les chercheurs en sécurité.
Unescape, eval, hexadécimal, Base64 ou encore fonctions mathématiques , tout est bon pour cela ! D’ailleurs, les pirates n’hésites pas à cumuler ces fonctions les unes à la suite des autres ou de multiples fois d’affilées afin d’augmenter la difficulté du reversing.
D’où viennent ces iFrames ?
Les cybercriminels utilisent plusieurs moyens selon leurs compétences. Tout d’abord, les failles Web touchant des sites. Ou alors des vulnérabilités serveur. Mais on peut aussi se rendre compte que beaucoup d’injections d’iFrames malveillantes se font de façon automatisée via des malwares. Ces derniers vol des identifiants FTP sur les ordinateurs des victimes et vont modifier automatiquement les fichiers principaux sur le serveur et donc infecter le site en question.
Dans ce cas, l’attaque peut se transformer en “Mass iFrame Injection”, le pirate peut alors se retrouver avec une infection de grande envergure, composée de plusieurs milliers de sites Internet infiltrés. La plateforme WordPress par exemple à déjà été victime de cela. De même, lorsqu’une faille serveur critique est découverte, elle permet généralement de toucher un maximum de sites Internet en très peu de temps. Mais que font les pirates avec ces iFrames ?
Dangers et utilisations de l’iFrame Injection
Une fois l’iFrame placée sur un site Web à gros trafic, le pirate va pouvoir par exemple diriger le trafic vers un site publicitaire pour y générer des revenus ou encore vers un site distribuant des malwares via des exploits “zero-day” visant les navigateurs, les plugins Adobe et Java des visiteurs dans le but d’infecter leur machine. Cela est appelé le “Drive-by Download“. Le but est donc la propagation massive de malwares ou de récupération de gros trafic Web.
Une fois l’infection ayant eu lieu, le pirate aura sous la main des milliers de machines en plus dans son réseau de zombies (si c’est un trojan) ou alors une masse de données privées dérobées telles que des identifiants bancaires (si c’est un password stealer par exemple) qu’ils pourra négocier au prix fort sur le marché noir (ou Blackmarket).
Mais dans le cas où aucun malware n’est distribué, il peut s’agir tout simplement de détournement de trafic Web. Ce précieux trafic sera ensuite monnayé puis renvoyé vers des sites affichant de nombreuses publicités dans le but de générer un maximum de revenus en très peu de temps. A noter l’apparition récente de boutique en ligne pirate où l’on peut acheter du trafic à moindre coût, trafic provenant bien évidement d’iFrames non sollicitées sur des sites légitimes, piratés au préalable.
Comment se protéger face à ce risque ?
Depuis un certain temps, Google travail en collaboration avec certains services de scan en ligne et est capable de reconnaître et d’afficher dans ses résultats qu’un site est infecté (bien entendu, il faut que la menace soit connue, même principe que les malwares et les antivirus). Voici un exemple avec UnderNews : Google Diagnostic. Dans le même genre, le scanner en ligne Sucuri fait à peu près la même chose.
De plus, voici les principaux moyen de défense :
- Détection des redirections malveillantes et non légitimes (les antivirus les identifient en tant que Mal/Iframe-Gen).
- Filtrage des nom de domaines impliqués et donc signalés comme dangereux (utilisation de black-liste).
- Filtrage des URLs pointant vers des serveurs connu comme malveillants (réputation, black-liste).
- Détection des exploits JavaScript injectés dans les pages légitimes (Mal/ExpJS-N) et des fichiers utilisés.
- Détection de la charge malveillante en elle-même (le payload).
- Protection en tant réelle sur la machine de l’utilisateur via un antivirus (HIPs) pour identifier et bloquer la charge malveillante directement sur la machine de la victime.
Crédits image : Flickr (Nathan Forget)
Les commentaires sont fermés.