Phishing-attack mot Swedbank

måndag, 19 september 2011 | Skriv ut | E-mail

Syftet med nedanstående information är att analysera och kartlägga faktiska omständigheter rörande fiskeattacken (phishingattacken) mot Swedbank.

En försiktig slutsats som kan dras av materialet nedan är att det finns en del ISP:er därute som inte tar malware/spam på allvar och kanske vissa ISP:er eller

personal hos dessa som gjort det till en inkomstbringande verksamhet. Informationen som jag tagit fram visar också att det finns tydliga brister och slarv/vårdslöshet i hur

man bedriver verksamhet och vilken information man förmedlar till kunder från de internetleverantörer som hör till de inblandade.

 

Nu hör t ex Softlayer till en av USAs större internetleverantörer och visst kan man förvänta sig en del abuseärenden från detta nätverk. Dock kan man med hedern i behåll påstå

att de inte gör tillräckligt vilket deras placeringar på "abusive ISP"-listor vittnar om. Denna operatör har dessutom enligt egen uppgift förvärvat exempelvis ThePlanet som har sällsynt dåligt rykte

för just sin benägenhet att husera malware och spammare av olika slag. 

 

 

 

Detta mail landade i en av mina så kallade "honeypots" (system ämnade att fånga upp attackmönster och liknande). Visuellt säger detta mail ganska mycket och ger oss en del preliminära uppgifter att gå på. Dels vet vi att det innehåller en del HTML-element (färger + länk och formattering). Dels kan vi ganska snabbt se att mailet inte är utformad på god svenska. Semantiken (språkmönstret) antyder att vissa partier skulle kunna vara direktöversättningar från annat språk (troligtvis inte engelska eller eventuellt mycket dålig engelska)

 

När personen klickar på länken "Klicka här för att lösa problemet" så skickas man vidare till 

..www.ygkj606.com/.se/hotmail.htm.. som försöker lura av engångslösenord via en sida som liknar Swedbanks inloggningssida.

 

I skrivande stund pekar länken mot en Wordpress-blogg på kinesiska som enligt HTML META-data (länken fungerar i Google/Firefox) kör Wordpress 2.5.1:

 

<meta name="generator" content="WordPress 2.5.1" />

 

Problemet med Wordpress 2.5.1 är ca 3 år gammal (senaste versionen är 3.2.1) och den innehåller flera säkerhetsproblem.

Tillbaka till e-postmeddelandet som kom, låt oss titta på själva meddelandet för att se om vi kan hitta ledtrådar till vem som skickat det eller hur det utförts.

 

Mailet i råformat med mailhuvud:

 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60

thread-index: Acx2rZZkYEDyqXyOT+y1k5RWS+3oSw==
Return-Path: 
Content-Class: urn:content-classes:message
Importance: normal
Priority: normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.3790.4133
Received: from 64.191.223.201 unverified ([64.191.223.201]) by mwde06oc.mail2world.com with Mail2World SMTP Server;  Sun, 18 Sep 2011 00:05:15 -0700
Received: from business2.midphase.com (unknown [174.37.159.196]) by c2mailgw13.amadis.com (Postfix) with ESMTP id E9984EBEC671F for <jonathan.n.w.james@home.se>; Sun, 18 Sep 2011 00:05:12 -0700 (PDT)
Received: from root by business2.midphase.com with local (Exim 4.69) (envelope-from <root@business2.midphase.com>) id 1R5BRA-0002FX-Jn for jonathan.n.w.james@home.se; Sun, 18 Sep 2011 02:05:12 -0500
To: <jonathan.n.w.james@home.se>
Subject: Viktigt meddelande!
From: "SwedBank AB" <kontoret@swedbank.se>
Message-ID: <E1R5BRA-0002FX-Jn@business2.midphase.com>
Date: Sun, 18 Sep 2011 02:05:12 -0500
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - business2.midphase.com
X-AntiAbuse: Original Domain - home.se
X-AntiAbuse: Originator/Caller UID/GID - [0 0] / [47 12]
X-AntiAbuse: Sender Address Domain - business2.midphase.com
X-Source: /usr/bin/php
X-Source-Args: php ebay.php 
X-Source-Dir: /dev/shm/dsend
X-CTASD-RefID: str=0001.0A020207.4E75982A.003E,ss=3,re=0.000,fgs=0
X-CTASD-IP: 174.37.159.196
X-CTASD-Sender: kontoret@swedbank.se
x-ctasd: bulk
x-ctasd-vod: uncategorized
x-ctasd-station: 
 
 
begin 666 Viktigt meddelande!.htm
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J4#X\+T1)5CX\+T9/3E0^/"]$258^/"]"3T19/CPO2%1-3#X-"@T*+@T*
`
end

 

 

 

Den första intressanta raden i e-posthuvudet är:

 

 Received: from root by business2.midphase.com with local (Exim 4.69) (envelope-from <
 This e-mail address is being protected from spambots. You need JavaScript enabled to view it
 >)

1) Vi får reda på att användaren "root" troligtvis varit den som skickat spam-mailet

2) Nu vet vi att business2.midphase.com är ursprungs-hosten som mailen skickats från (vi återkommer till detta senare i denna analys)

3) Vi vet att de använder Exim 4.69 för mailleverans

Även Exim 4.69 innehåller säkerhetshål som skulle ge en fjärrangripare kontroll över maskinen (se t ex metasploit).

 

 

Date: Sun, 18 Sep 2011 02:05:12 -0500

 

 

Datumstämplingen låter oss veta att systemtiden vid det aktuella tillfället var anpassad enligt UTC -0500. Eftersom det i zonen är aktuellt med sommartid (fram till första söndagen i november) så motsvarar UTC -05 vad som kallas för Central Time Zone vilket omfattar större delen av USA. Inget av större intresse för oss. Här kan det annars ibland vara så att en angripare anpassar tiden på systemet efter sin lokala tid (t ex om en angripare från asien använder en amerikansk VPS).

 

 

X-Source: /usr/bin/php
X-Source-Args: php ebay.php 
X-Source-Dir: /dev/shm/dsend

 

 

Detta är intressant. Ovan betyder att man använt sig av ett .php-skript för att skicka mailen och att detta php-skript heter "ebay.php" och att detta gjorts från /dev/shm/dsend/.

De flesta som är förtrogna med Linux vet att /dev/shm är en delad minnesresurs som man t ex kan använda sig av för att uppnå maximal prestanda vid exekvering då /dev/shm fungerar som en ram-disk (shared memory).

Fördelen för en angripare är också att filer som ockuperar /dev/shm inte är beständig utan upphävs vid omstart.

 

Att angriparen använder sig av "ebay.php" för en swedbank-fiskningsattack skulle också indikera att man utfört dessa fiskeattacker tidigare, mot andra mål (t ex ebay).

En sökning i Google på "/dev/shm/dsend" "php" ger oss följande resultat:

http://www.anti-scam-forum.net/openThread_1299351296_Pagination_10.htm

http://www.antispam-ev.de/forum/showthread.php?19213-Paypal-Phishing/page15

 

Ovan länkar vittnar om att denna metod används åtminstone en gång tidigare mot paypal. I det fallet använde man sig även där av /dev/shm, katalogen dsend och php-skriptet "ebay.php".

Man använde sig även då av leverantören "midphase.com" som efter lite undersökningar visar det sig att midphase dyker upp i ett antal incidenter rörande malware/botnet och phishing!

Här är resultat från MalwareURL (alla webbplatser som använder midphase.com som DNS-provider:

http://www.malwareurl.com/ns_listing.php?ns=midphase.com

 

En sökning i Ciscos senderbase databas avslöjar en del intressanta midphase-hostar (kom ihåg att Swedbank-utskicket gjordes från business2.midphase.com), deras rykte och andelen mail som de står för i förhållande till total mailtrafik som Cisco senderbase monitorerar:

 

Monthly Magnitude är en logaritmisk skala som avslöjar mängden e-post som denna ip-adress levererar i förhållande till den totala e-posttrafiken.

En magnitud om 4.0 och uppåt är extremt hög eftersom detta motsvarar 1/10 000 av all eposttrafik, som dessutom kommer från en ip-adress som man tidigare sett spam eller andra otyg från.

DNSBL Listings berättar för oss antalet svartlistningar för respektive ip-adress. 

 

Över 1500 aktiva domäner finns listade hos malwareurl (på ett par dagar har också aktiva malwaredomäner ökat från 1523 till 1558 stycken): 

http://www.malwareurl.com/listing.php?as=AS36351&active=on

Anmärkningsvärt är att adware-help.com som serverade falskt antivirus låg på samma ip som midphase.com, något som i normalfallen brukar indikera inblandning på ett eller annat sätt. (inget hostingföretag skulle låna ut verksamhetens egna ip-adress till vilka kunder som helst).

 

OK. Så vi vet att Midphase genererar mycket spam och malware, men Midphase äger inga egna tilldelade IP-addresser utan förlitar sig på två bolag "SoftLayer Technologies inc" och "Hosting services incorporated". Dessa två bolag har upphört sin företagsverksamhet men äger fortfarande ip-adresser.

 

 

Enligt Internetbaserade förmedlare av information (primära förmedlare är UK2 group själva) så har "Hosting Services Incorporated" absorberats av UK2 Ltd/UK2 Group Ltd. 

UK2 Groups ägarinnehav består av flera "virtuella" (utan ägare i form av företag) och tidigare fysiska leverantörer.

 

 

Dock listas inte Hosting Services Inc som ett av de uppköpta bolagen. Däremot listar midphase.com Hosting Services Inc som ägare (2011, se längst ned på sidan) och att Hosting Services Inc grundades av UK2 Group .

Som jag visat tidigare så existerar inte något bolag i USA vid namn Hosting Services Inc. och det blir konstigare än så!

Företaget UK2 Group Ltd listar en "care of" adress hemma hos en privatperson i Utah som kontaktadress.

 

Detta medans UK2 Group är listat hos Verisign som registrar med en adress på Gibraltar

 

Resell.biz, ett varumärke som UK2 absorberat hävdar också felaktigen att man är en akrediterad ICANN registrar (finns ingen sådan listning):

 

ThePlanet (som Softlayer absorberade, Softlayer är även nätverksprovider för midPhase) samt UK2 ligger också i topplistan vad gäller serverade malware på Shadowservers lista:

http://www.shadowserver.org/wiki/pmwiki.php/Stats/ASN

 

Googles rapporter för UK2 

http://www.google.com/safebrowsing/diagnostic?site=AS:13213

 

 

 

 

 

 

Nästa >
 
Prenumerera på Jonathans bytes
twitter Bird Follow me on Twitter

Copyright © 2011 Jonathan James.