Dragon Pack est un kit d’exploit assez récent (voir l’article d’Undernews datant de novembre 2010) qui s’est abattu sur la scène Underground. Il arbore une poignée d’exploits particulièrement virulents.
Quoi qu’il en soit, le sujet principal de cet article n’est pas l’exploitation des vulnérabilités en elle-même. Si vous cliquez sur certains liens des différentes entreprises sur le site présenté ci-dessous, vous allez rencontrer Dragon Pack.
L’une des campagnes publicitaires de Manta est infectée et certaines annoncent affichées sont malveillantes.
Voici un graphique qui indique l’URL (en gras) et le lien spécifique dans le code source de la page HTML qui conduit au lien suivant dans la chaîne jusqu’à ce que le site malveillant final infecté avec Dragon Pack soit appelé.
Il y a deux sites particulièrement intéressants qui ont été analysés. Le premier a été le site “perconel.com”. Vous pouvez voir les codes Javascript obscurci qui ouvre une iframe vers le site où est installé le kit Dragon Pack.
Sur le site contenant le kit Dragon Pack lui-même, vous pouvez voir l’un de ses exploits. Croyez-le ou pas, le JavaScript obscurci est en fait similaire au code ci-dessus. Il y a beaucoup de concaténation par dessus, mais la routine dé-obfuscation est la même que celle-ci.
Si l’on déchiffre les différents codes sources, nous pouvons voir à la fois les exploits Java et Acrobat.
L’analyse plus poussée, réalisée dans sa totalité est disponible sur Kahu Security.
Intéressant, très intéressant. 🙂
Les commentaires sont fermés.