Malzilla: Malware hunting tool

Infecções de malwares causadas por Drive-By Applets tem feito cada vez mais vitimas. Muitas vezes é dificil perceber que o website foi modificado. Muitas vulnerabilidades permitem que o atacante modifique o conteúdo da aplicação que o usuário visualiza, fazendo com que se torne cada vez mais dificil identificar possíveis ataques.
Uma tecnica utilizada por atacantes, que torna seus scripts maliciosos dificeis de serem detectados por engines de IDS, antivirus e afins, é a criptografia e ofuscamento do source, utilizando-se de multiplas camadas de javascript, e codificações como por exemplo Base64Encode, HTMLencode, entre outros.
Páginas que contem exploits geralmente usam uma série de redirecionamentos e códigos ofuscados para torna-la mais dificil para alguem identificar. Malzilla é um programa muito útil para explorar páginas maliciosas. Ele permite que você escolha seu próprio “user agent” e “referrer”, e tem a habilidade de usar inclusive proxies (webscarab, paros proxy, zap).
Através do Malzilla você pode visualizar o source da página e todos os headers HTTP. Além disso a ferramenta fornece diversos decodificadores e também possui a opção para Deobfuscate javascript.

Na imagem abaixo temos um exemplo de código ofuscado utilizado em um Phishing Scam, enviado por e-mail para usuários. A utilização do código ofuscado, faz com que filtros de conteúdo, falhem em identificar tags maliciosas que podem estar previamente cadastrada em alguma blacklist.

01

Este é o conteúdo de um link que recebemos por e-mail em um eCard Spam.

Para conseguir o link direto do malware, teremos que trabalhar com a função JavaScript unescape.  Vamos clicar em “Send Script to Decoder” e “Run Script” na aba do decoder, assim conseguiriamos os seguintes resultados:

02

Na janela abaixo, podemos ver decodificado um VBScript utilizado para fazer o download  de um arquivo malicioso.

Outro exemplo muito comum, durante um ataque de Drive-by Download, é o uso de scripts que tentam escrever diretamente o Binário através de um script no disco.

03

Com o Malzilla podemos trabalhar os diversos filtros para gerar uma cadeia de identificação que pode ajudar muitos especialistas de segurança a identificar ameaças que chegam por links de Spam.

A ferramenta é disponibilizada para Windows, assim como você baixar o Source dela para compilar  e utilizar em plataformas Unix.

Para maiores informações:

http://malzilla.sourceforge.net/documents.html