Небезпечний ВКонтакті або збираємо мільйонний ботнет?





Рейтинг: +4
517 переглядів
Близько трьох місяців тому у користувачів однієї мережі виявилася проблема: у ході роботи веб-браузер підвисає, при цьому завантажувалася JAVA на сторінках, де власне не було ніяких аплетів.

Після досить довго спілкування з людиною, стало зрозуміло що ця проблема виникає на деяких публічних сторінках ВКонтакте. Ці сторінки були детально проаналізовані на предмет фреймів, проте все виявилося кристально чисто.Сніффінг трафіку теж не показав нічого підозрілого.

Після ряду експериментів стало зрозуміло, що на одній сторінці фрейм підвантажується всього один раз і тільки для авторизованого користувача, мабуть, в результаті обмеженого показу по ID ВКонтакте (користувач не зберігав кукі). Однак питання звідки ж загружається фрейм, все ще не було вирішене.

У разом, з включеним сніффером було відвідано близько 30 публічних сторінок. Відфільтрувавши весь трафік ВКонтакте, було знайдено, що досить багато скриптів загружається з німецької сервера (46.4.112.52), і саме один з цих сценаріїв вантажив в собі фрейм на екслпоіт (так, так хто ще не зрозумів — віконце про підвантаження JAVA означало, що браузер пробитий exploit-pack’ом, і, можливо, Ви вже частина чийогось ботнету). Доказ — підвантаження / games / worms.jar /, що класифікуються як Exploit.Java.CVE-2010-0840.bd (можливо, частина Black Hole Exploit).

Адміністратора, що виконував дослідження, в той момент не цікавило, чому публічні сторінки ВКонтакте щось вантажать з Німеччини, і дослідження завершилося логічною блокуванням німецького IP. Це вирішило проблему повністю, що побічно доводить, що ми не мали справу з локальним зараженням системи з впровадженням бібліотек в область веб-браузера.

У разом, 20 липня 2011 з’являється цікава новина — той IP, що був заблокований пару місяців назад, належить додатком «Віджети для офіційних сторінок», яке з якихось причин було заблоковано адміністрацією ВК.

Трохи погуглити, знаходимо в тему ще цікаву новину. І ось таку статистику.

Що ж разом?

Щодня публічні сторінки відвідували мільйони чоловік, і близько 80% з них так чи інакше натикалися на Віджети, які в свою чергу зливали (не будемо вдаватися в подробиці, самі або не самі — але зливали) трафік на експлоїти.
За ці три місяці, на публічних сторінках з вірусом могло перебувати до 90% всієї соціальної мережі.

Масштаби — солідні, дивно, що про це всі мовчать …

Відкритими залишаються три питання:
1. Чи справді протягом усіх трьох місяців стояв фрейм на експлоїт, або ж його на час знімали?

2. За що заблоковано додаток Віджети для офіційних сторінок? Злом — це здорово, що сервера чистять і посилання поправляють — чарівно, але якщо йшла drive-by завантаження, то чому постраждалим не пропонується в нагальному порядку перевірити комп’ютер антивірусом?

3. Чому, власне, мовчить адміністрація ВКонтакті?

До речі, ось він — власник віджетів (Зовсім не фейк, це видно з уже наведеної вище посилання)

P.S. Сталося невелике непорозуміння: Андрій Кедров є відповідальним за інший додаток і не має відношення до «віджети для офіційних сторінок», просто злом його програми збігся з тематикою. Приносимо вибачення за це непорозуміння. А ось цікава інформація від Пана Кедрова:

Я Андрій Кедров. Видаліть будь ласка моє ім’я і прізвище з вашої записи на Хабре, так як ви мене асоціюєте з чужим додатком. У першоджерелі, з якого писалася стаття, на мене йде лише посилання, але до Віджети для офіційних сторінок я не маю ніякого відношення. У нас окремий додаток, яке було зламано, на відміну від того, про який йде мова. За офіційно версії автора «Ані» це теж був злом, але багато моїх знайомих стверджує інакше, тим більше що мені надіслали посилання, на їх сервері, з якою вантажився трафф, а це посилання вже фігурувала в одній зі скарг на їх застосування, за що вони вже отримували блокування.
А питання з нашим додатком було вирішене з адміністрацією протягом декількох годин, після мого повернення додому, з відпустки. У той час як Аня отримала блокування без права на разбав. Хоча ні — поправочка — все ж адміністрація і над Анею сжаловалась. Додаток буквально кілька хвилин тому було відновлено, хоча сам «Аня» писав що йому відмовили. Загалом цікава ситуація насправді.

Тим не менше, подібна частота зломів програм для ВКонтакті навіває на сумні думки … Як і політика адміністрації «ВКонтакте» по відношенню до винуватців. Чи багато таких «Анею»?