Analyse d’un mail, site et serveur de phishing

Un de plus, un mail provenant d’une campagne de phishing arrive dans ma boite mail. Aujourd’hui, je suis un peu plus curieux que d’habitude.


J’écris cet article en même temps qu’évolue ma recherche, j’y détaillerai mes questionnements, mes trouvailles et ma réflexion durant ma recherche. Peut-être que cela vous intéressa ! 🙂

Dans cet article, les mentions “pirate”, “spammeur” ou “attaquant” sont relatifs à la personne opérant l’attaque de phishing.

Ce mail cible visiblement les utilisateurs de la banque “LCL” (dont je ne suis pas client), j’ignore par quel moyen son créateur s’est procuré mon mail, mail qu’il n’est sûrement pas le seul à le détenir, passons.

Analyse du mail

Voici le mail en question :

phishing-analyse-01

Mail de phishing “LCL” reçu

Il n’est pas spécialement bien réalisé, comme c’est souvent le cas. Les problèmes d’encodage, le sujet “important” du mail qui ne sera jamais nommé comme tel provenant d’une banque, le “SE CONNECTER” beaucoup trop voyant. Bref, on voit venir le piège à 10km mais ce n’est pas le sujet, les utilisateurs lambda se feront peut être avoir.

Le bouton “SE CONNECTER” amène vers l’URL suivante :

phishing-analyse-02

Lien vers la page web de phishing

On reconnaît là une technique couramment utilisée dans le monde du phishing, le fait de prendre un nom de domaine qui s’apparente au nom de domaine de l’entité dont on souhaite usurper l’identité. Ici, “boitemessagerielcl.fr” pourrait sans conteste provenir de la société “LCL” pour un utilisateur lambda. Une fois le “.fr” passé, les gens ne regardent généralement pas plus loin. Dommage car ils s’apercevraient que le nom de domaine est en faite “smallbrewerysoftware.com” et que “boitemessagerielcl.fr” n’est en faite qu’un sous-domaine. Pour la suite, le “LCLCLIENT” laisse présager que le serveur est peut être utilisé pour usurper l’identité d’autres sociétés.

Les autres liens présents dans le mail sont les suivants :

  • https://particuliers.secure.lcl.fr/v_1.0/img/logo.jpg
  • http://images.paypal.com/en_US/i/scr/pixel.gif
  • http://images.paypal.com/en_US/i/scr/scr_emailTopCorners_580wx13h.gif
  • http://images.paypal.com/en_US/i/scr/scr_emailBottomCorners_580wx13h.gif

Des images qui proviennent des sites web d’entités réelles et vérifiées. D’une part, cela facilite le travail de phishing car les noms de domaine ne font pas naître de doute (ne seront nullement bloqués par des antivirus, par exemple), et d’autres par cela renforce la crédibilité du mail pour la victime qui sera rassurée en apercevant les logos habituels (Paypal, banques, réseaux sociaux).

Rien à ajouter sur le contenu du mail, je m’intéresse maintenant aux headers de celui-ci.

Return-Path: <www-data@lastucieux.com>
 Received: from lastucieux.com ([163.172.209.68]) by mx.kundenserver.de
 (mxeue008) with ESMTP (Nemesis) id 0MGTgn-1bZymn18Gu-00DHuW for
 <mickael.dorigny@it-connect.fr>; Tue, 12 Jul 2016 06:49:45 +0200
 List-POST: Jmilz
 Received: by lastucieux.com (Postfix, from userid 33)
 id 58D63291428; Tue, 12 Jul 2016 04:19:35 +0200 (CEST)
 To: MONMAIL@XXX.FR
 Subject: important
 X-PHP-Originating-Script: 0:med.php
 MIME-Version: 1.0
 Content-type: text/html; charset=iso-8859-1
 From: LcL <notification@lcl.fr>
 Message-Id: <20160712024018.58D63291428@lastucieux.com>
 Date: Tue, 12 Jul 2016 04:19:35 +0200 (CEST)
 Envelope-To: <MONMAIL@XXX.FR>
 X-UI-Filterresults: junk:10;V01:K0:M1F1M0DPNa4=:bnwTUhiR/QBFeOcUtWSJfghPyafu
 4X5fsFH57tn2iu8Tx4sd08mjqLrCdxfIvGqNTdGbXaaPu77LCQAVNnjCBit4YqHp4X4DkTxC/
 frejgSnlGAZdns4FaOQJjIqsxkTeUy+S+SNQtYGBbEAEYllpr4isyMAoFTjsWBafJ0DNIpNeQ
 bz89rLpdHnd/KqD3Y0wpYzA/qy4X4mpNmvaO8bPbWi+M2myVvgZcngtEIRcBRKpwQ4pZFwaSI
 alMusHjBg7prgvXytDXeQ/1aCLbRvofoHWlhd8ds2bhi+udc6MO9d5wK2ZPgABcJrLzGVi1kr
 fDA7EQkezFcR/G9LL2hR94/fnXRDbznFWrR2DaGiDLQn1sv1Zkgo24YKG7HUlDA+8xb9e/Zi8
 IBLYOgOtDBjntPz8AP8/y9QvFJaVdNLY08MH4+DyuMwUNLTvkjHkJMiGo8ZytotZJv4TDZWem
 q9MilyMCAxDGmKd41FQWvgjvFvVxkvZnL3/uBgZne9QnrP+YFmZZcu/sp/j1Cb+K/1DeSlLnp
 PVw5/1t+z3pUeAQfBTgVfb5vXBt5Y0hQaoD2TDbPjRe4TxiBHnhf1hi42X1TYlxwqixlzoIOp
 86P6sPQKKdclXSUYq9ykZcSeyLtaEDGIfIvFo0ophZvsozW1AdU9c4NeUGFVczuYuH8BqAOao
 S3xNUy29ErynCqlrKgg2EW69cnICW0WaVuYXXBEOH/ub/BMwhhlKvNbIZCCT96X2JDbhs+EJ/
 wdvDJciBu9AhKakwnN/PAOXZ+vb12Bfp/VhEpytKW+IDg7vqhPToRYD07GEsdNo1rRS6Iec1V
 8ra1gW35NNBKmiPnEMLt3/ADIkRDD5MVDz3JGutINtDXyMTQ4UyQwiF9okB5uohZd0QEpgaoQ
 Ic+plJf+nDphmoV42i9WZ/TiGkXdEuTsi1kK7Ja1tryq2ZhEtSQ29xkkqtWEOe8+egY5RMV4i
 eoeXOSHk+3YXyhW08hXPiEh8MoRnwUUKY5/z02PJYCAyb8v3GiVcVzx0GwCHkfxw+qe7JSOU1
 mympCBinrw9SvR/99tI8y/e0nyHebKbU5kNKNI+jy1tL3t4DZue2orQEHoDftPjp+kYOBOWQV
 6dKyewbm7gphoq9SrrhJNfP7Aou4vqu6JgNcbruH/53QZs/SJTUmZGSxotDLYB4oK+77IMsTM
 W7rYD91BH5dyPsU0vOlJ0saQQZy6OoCIHrC92fRtW+CAwLvLAOgVWY70mWoGd9A4RyBqYYx0p
 U8rmT8Ty52K1Ka0eIw9X5w+R6w/TQcoglBhbNHdvjm0k1/wO/WQFtnJhi2k6MPl1Cty+ix1Rw
 9QJU11+IUNlvyUfgaQBrsdUJDZlnAdTms8kBQWoAH+7V42e5qGfQC2llxF40G8v1aBB94qd2R
 cezmfA+3A7nY2m0WFrWYiinT+cSyE8dT8Yk88E6t00GhBTG2i8HAvX9I3BL7MYutdvq8+cf+2
 PtlSZiDsvx1CP9pZUuj96wQii/95Fc7iOBm+5AolxnRuAC/ldcHWNOGrJUPjRYU4VLFCPzq30
 UmreBk6haxKwX4sm37uMIyW3Um0Gx6KjqCRhWL8J2KVwxACW3MdJU6UkBsMaEKRDRgZ6XtruJ
 HkFi8v/zs=

Quelques éléments intéressants ici, tout d’abord l’expéditeur réel qui n’est, vous vous en serez douté, pas LCL mais www-data@lastucieux.com. Un nom de domaine qui ne ferait pas de mal à une mouche à première vue, je m’y pencherai plus tard. Le service mail ayant envoyé le mail provient également de ce nom de domaine, l’occasion pour moi de récupérer son IP “163.172.209.68” et des informations sur son registrar “mx.kundenserver.de”. D’expérience, il me semble que “kundenserver.de” est utilisé par l’hébergeur/registrar 1&1.

Pour la partie “Received from“, j’apprends également que c’est le protocole ESMTP (extended SMTP) qui a été utilisé et “Nemesis” semble être le nom du service d’envoi de mail. Pas très important dans notre cas.

Je n’ai pas l’habitude de fouiller les headers de mail et certains noms de headers me sont inconnus, il est temps de faire quelques recherches :

  • X-PHP-Originating-Script : Comme son nom l’indique, il s’agit de l’identifiant et du nom du script qui génère l’envoi du mail. Dans mon cas il s’agit donc d’un script nommé “med.php” dont l’identifiant (UID) est “0“.

Source : https://blog.rimuhosting.com/2012/09/20/finding-spam-sending-scripts-on-your-server/
Source : http://php.net/manual/fr/mail.configuration.php

  • X-UI-Filterresults : peu de résultat sur cette recherche. Le nom indique que la valeur de ce champ semble traiter d’un résultat d’un filtre appliqué. On distingue une grande chaîne de caractère qui semble s’apparenter à du base64 sans en être. Également le mot “junk” qui peut résulter de la mise en spam du mail. C’est sûrement ajouté à la réception par mon service mail ou mon Thunderbird. Je passe à la suite.

La suite donc ! Le nom de domaine et le serveur web utilisé pour envoyé le mail, “lastuciteux.com.” Je me rends directement sur le site web pour tomber la dessus :

phishing-analyse-03

Rien de bien méchant visiblement, il s’agit soit d’un site légitime qui s’est fait piraté, soit d’un genre de site vitrine qui cache une activité malveillante, ce que je juge peu probable.

Un peu plus embêtant, il s’agit d’une site web d’entreprise, hébergé chez GoDaddy :

phishing-analyse-04

Cette phrase, provenant des CGU, me fait sourire :

A ce titre, les internautes s’engagent notamment à ne pas et sans que cette liste puisse être considérée comme exhaustive :

– utiliser le Site d’une manière illégale ou par un moyen qui pourrait lui nuire d’une quelconque façon,

Il semblerait en effet que cette directive ne soit pas respectée par notre pirate 😉 Il faut que je pense à envoyer un mail d’avertissement à ce site web.

Pour la forme, je tente l’accès à l’URL “http://lastucieux.com/med.php” qui m’amène à une 404. Il s’agit du nom du script PHP qui génère l’envoi de mail, information récupérée dans les headers mail.

Je ne prends pas le temps de chercher la faille utilisée par le pirate pour déposer son script PHP, je n’ai pas le temps et cela pourrait m’attirer des ennuis.

Analyse de la page web de phishing

Nous passons maintenant à la page de phishing en elle même, qui comme je l’ai dit s’obtient en cliquant sur le lien “SE CONNECTER” du mail :

phishing-analyse-01

Mail de phishing “LCL” reçu

Voici la page en elle même :

phishing-analyse-05

Page de phishing “LCL”

Pas trop mal faite si on passe le message d’erreur PHP “Deprecated” en haut de page, celui-ci nous informe déjà de la présence d’un autre fichier PHP sur le serveur. On trouve même un ironique titre “Alerte Virus informatique, que faire ?” Tous les liens mènent vers la page elle même et différents liens vers des JS, CSS ou fichiers JSP sont présents dans l’arborescence dont voici un premier aperçu, obtenu via BurpSuite :

phishing-analyse-06

On note donc la présence d’un champ “Identifiant“, d’un Keypad qui rempliera le champ “Code d’accès” et d’un bouton d’accès au compte.

On comprend donc vite le principe, l’utilisateur saisi son identifiant/code d’accès et se retrouve ensuite redirigé vers le site (légitime) https://particuliers.secure.lcl.fr avec un message d’erreur “identifiant incorrect“. L’utilisateur lambda pense qu’il s’est simplement trompé, resaisi ses identifiants, qui sont déjà dans la base de données de l’attaquant et le tour est joué !

phishing-analyse-07

Page légitime de login LCL

On remarque au passage le cadre “Alerte Phishing en cours“, LCL semble donc déjà au courant de la présence de cette page de phishing.

Voici la requête POST faite lors de la soumission du formulaire de phishing sur la page vulnérable :

phishing-analyse-08

On voit donc que deux paramètres sont passés au fichier “sniper.php” qui écrit ensuite probablement ces informations dans un fichier texte ou dans une base de données.

Allons plus loin

Nous avons fait le tour du système de phishing en lui même, il est plutôt basique et standard mais marche certainement très bien contre des utilisateurs lambda non sensibilisés. Mais plusieurs questions sont toujours là, à qui est ce nom de domaine, ce service web, s’agit il d’un autre site piraté ou d’un serveur en possession du spammeur ?

Analyse réseau

Je commence donc par procéder à une analyse réseau basique, IP:port, géolocalisation IP, sans volonté d’être particulièrement discret, je doute qu’une agence gouvernementale me tombe dessus en faisant un nmap sur un serveur de phishing … Et le moins que l’on puisse dire, c’est qu’il y a du monde.

nmap -Pn -A -sS smallbrewerysoftware.com

21/tcp open ftp Pure-FTPd
 53/tcp open domain
 |_ bind.version: 9.8.2rc1-RedHat-9.8.2-0.37.rc1.el6_7.2
 80/tcp open http nginx
 | http-ls: Volume /
 | SIZE TIME FILENAME
 | - 2013-09-25 05:18 bowandarrowarchery.com/
 | - 2016-07-12 04:18 http.www.boitemessagerielcl.fr/
 | - 2016-07-10 23:57 https.www.boitemessagerie.bnpp/
 | - 2013-09-25 05:18 mechanicalengineeringdigest.com/
 |_
 |_http-server-header: nginx
 |_http-title: Index of /
 81/tcp open http Apache httpd
 | http-ls: Volume /
 | SIZE TIME FILENAME
 | - 2013-09-25 05:18 bowandarrowarchery.com/
 | - 2016-07-12 04:18 http.www.boitemessagerielcl.fr/
 | - 2016-07-10 23:57 https.www.boitemessagerie.bnpp/
 | - 2013-09-25 05:18 mechanicalengineeringdigest.com/
 |_
 |_http-server-header: Apache
 |_http-title: Index of /
 110/tcp open pop3 Dovecot pop3d
 |_pop3-capabilities: CAPA TOP RESP-CODES USER STLS SASL(PLAIN LOGIN) AUTH-RESP-CODE
 143/tcp open imap Dovecot imapd
 |_imap-capabilities: IDLE capabilities LOGIN-REFERRALS LITERAL+ IMAP4rev1 post-login AUTH=LOGINA0001 STARTTLS ENABLE more have AUTH=PLAIN listed Pre-login OK SASL-IR ID
 | ssl-cert: Subject: commonName=*.sgcpanel.com
 | Not valid before: 2016-03-07T08:29:28
 |_Not valid after: 2017-03-08T08:29:28
 |_ssl-date: 2016-07-12T20:06:28+00:00; -3s from scanner time.
 443/tcp open ssl/http nginx
 |_http-server-header: nginx
 |_http-title: 400 The plain HTTP request was sent to HTTPS port
 | ssl-cert: Subject: commonName=*.sgcpanel.com
 | Not valid before: 2016-03-07T08:29:28
 |_Not valid after: 2017-03-08T08:29:28
 |_ssl-date: TLS randomness does not represent time
 | tls-nextprotoneg:
 | h2
 |_ http/1.1
 465/tcp open ssl/smtp Exim smtpd 4.X
 | smtp-commands: serv01.us2.siteground.us Hello smallbrewerysoftware.com [109.218.172.182], SIZE 52428800, 8BITMIME, AUTH LOGIN PLAIN, HELP,
 |_ Commands supported: AUTH HELO EHLO MAIL RCPT DATA NOOP QUIT RSET HELP VRFY
 587/tcp open smtp Exim smtpd 4.X
 | smtp-commands: serv01.us2.siteground.us Hello smallbrewerysoftware.com [109.218.172.182], SIZE 52428800, 8BITMIME, AUTH LOGIN PLAIN, STARTTLS, HELP,
 |_ Commands supported: AUTH STARTTLS HELO EHLO MAIL RCPT DATA NOOP QUIT RSET HELP VRFY
 993/tcp open ssl/imap Dovecot imapd
 995/tcp open ssl/pop3 Dovecot pop3d
 |_pop3-capabilities: UIDL USER SASL(PLAIN LOGIN) TOP CAPA AUTH-RESP-CODE PIPELINING RESP-CODES
 2525/tcp open smtp Exim smtpd 4.X
 | smtp-commands: serv01.us2.siteground.us Hello smallbrewerysoftware.com [109.218.172.182], SIZE 52428800, 8BITMIME, AUTH LOGIN PLAIN, STARTTLS, HELP,
 |_ Commands supported: AUTH STARTTLS HELO EHLO MAIL RCPT DATA NOOP QUIT RSET HELP VRFY
 |_ssl-date: 2016-07-12T20:06:26+00:00; -2s from scanner time.
 3306/tcp open mysql MySQL 5.6.28-76.1-log
 | mysql-info:
 | Protocol: 53
 | Version: .6.28-76.1-log
 | Thread ID: 58358702
 | Capabilities flags: 63487
 | Some Capabilities: LongPassword, Support41Auth, DontAllowDatabaseTableColumn, ODBCClient, IgnoreSpaceBeforeParenthesis, SupportsLoadDataLocal, SupportsTransactions, Speaks41ProtocolNew, IgnoreSigpipes, SupportsCompression, LongColumnFlag, Speaks41ProtocolOld, ConnectWithDatabase, FoundRows, InteractiveClient
 | Status: Autocommit
 |_ Salt: JTIP5W8Rqc{c^-b+Ky@s

Bon, ça donne envie ! On se croirait face à une HoneyPot ou une machine vulnérable que l’on télécharge sur Vulnhub. Soit il s’agit d’un HoneyPot et je me fait avoir comme un bleu, soit la personne derrière ces spams n’est pas soucieuse de son propre serveur. Ce n’est peut être même pas le sien..

Le traceroute généré par nmap m’indique le serveur en question est hébergé chez “siteground.com” et possède l’IP 37.60.240.251 :

 1 25.22 ms livebox.home (192.168.1.254)
 2 46.36 ms XX.XX.XX.XX
 3 44.64 ms 10.123.193.202
 4 51.86 ms ae44-0.nimsr302.Paris.francetelecom.net (193.252.159.161)
 5 61.23 ms 81.253.184.6
 6 58.79 ms hundredgige1-3-0-1.pastr2.Paris.opentransit.net (193.251.129.10)
 7 ... 8
 9 160.61 ms 128.177.133.154
 10 143.89 ms ip-37-60-240-251.siteground.com (37.60.240.251)

L’hébergeur, et le serveur, sont situés aux États-Unis :

phishing-analyse-09

Via l’outil theHarvester, je tente de retrouver des mails de responsables, des sous domaines .. mais n’obtiens rien de concluant.

Je doute légèrement du fait que le serveur ciblé soit un serveur mutualisé, ce qui me parait étonnant vu le nombre de services ouverts. Quoi qu’il en soit je décide de laisser ces services tranquilles pour le moment.

Un whois sur le nom de domaine m’amène vers un nom en clair, une adresse mail nominative et un numéro de téléphone que je n’expose pas ici. Ces informations peuvent être fausses ou relatives à une personne qui n’a rien a voir avec cette histoire et dont l’identité à été usurpée pour brouiller les pistes. Quoi qu’il en soit le nom de domaine semble être enregistré chez tucows.com, un registrar Canadien (http://www.tucows.com/contacts/)

Analyse du service web

En me rendant à la racine du service web, j’admire un très joli IndexOf :

phishing-analyse-10

Je constate alors que les pas de phishing LCL sont effectivement hébergées sur ce serveur, mais que d’autres répertoires cachent des pages de phishing contre des banques ou des services de paiement d’autres pays :

phishing-analyse-11

Différentes pages de phishing observées sur l’espace web du spammeur

Intéressant donc ! Mais je ne vais pas toutes les analyser unes par unes, elles doivent suivre le même principe que la première. Je remarque cependant quelques éléments intéressants :

  • Un fichier “ZIP” qui semble être l’archive à déployer d’une nouvelle campagne de phishing pour “ANZ.au“, une banque Australienne (source : https://fr.wikipedia.org/wiki/Australia_and_New_Zealand_Banking_Group).
  • Un fichier “php_errorlog” vers lequel j’obtiens un “Access Denied
  • Un fichier “connector.php” qui m’indique “Unknow Command!“, ce qui peut être intéressant :

phishing-analyse-14

  • Un fichier “jjj.txt” qui contient les IP des personnes qui se sont rendues sur le service web, dont la mienne, suivies d’un “monsieu_elasri@outlook.fr” dont j’ignore la provenance :

phishing-analyse-12A noter que l’heure affichée possède un décalage d’environs 7h avec l’heure réelle de mon accès, ce qui valide la position géographique présumée (États-Unis) avec les informations précédentes.

En fouillant l’archive ZIP obtenue dans l’indexOf, je remarque que cette adresse mail semble être celle qui reçoit les identifiants saisis dans les différents pages web. je trouve notamment cette information dans le fichier anz.au/llod.php :

phishing-analyse-13

J’imagine que c’est plutôt malin. Cela évite au pirate de revenir à chaque fois sur son serveur pour récupérer des infos et donc de générer des logs. Également, cela freine mon investigation car difficile de voir qui se cache derrière une adresse mail certainement utilisée que pour cela.

Plus loin, le retrouve le bout de code responsable de cette écriture dans le fichier jjj.txt :

phishing-analyse-16

Dans cette même archive, je récupère plusieurs centaines d’adresses IP  qui sont à blacklister avec des commentaires :

phishing-analyse-15

Le webmaster de ces sites de phishing semble maintenir une black-list des IP de bots, d’agences militaires, de certains pays, etc. On peut imaginer que cela est utile pour éviter des investigations par des services automatisés ou autre (hypothèse).

Les date de modifications des fichiers m’informent que la plupart des déploiement sont récents, sauf pour quelques dossiers qui semblent héberger des blogs.

Quoi qu’il en soit, je pense que notre spammeur est francophone. L’adresse mail comporte un “monsieurXXX” et est en outlook.fr. On peut exclure les nationalités trouvées au niveau registrar/hébergeur. On retrouve plusieurs mots français dans les codes source et pages parcourues comme “clavier.css“, “formulaire.css“, des fautes de français plutôt rares en comparaison aux spams habituels, etc.

Si on résume

On retrouve donc une infrastructure répartie sur plusieurs systèmes/serveurs, le but est ici de brouiller les pistes et de rendre plus complexe l’investigation. La partie envoi de mail est gérée par un site web dont le pirate semble avoir prit le contrôle, un fichier PHP y est en effet caché et semble s’exécuter fréquemment pour envoyer des mails en piochant dans une liste de mail dont l’origine et la position sont encore inconnues.

Les mails de phishing semblent ainsi provenir d’un espace qui n’a aucun rapport avec le spammeur d’origine et le site web “lastucieux.com” n’est pas le seul sender actif.

Une fois envoyés, les mails de phishing ramènent les utilisateurs vers un serveur web hébergé aux États-Unis avec un nom de domaine enregistré au Canada. Ce serveur web héberge des pages de phishing relatives à plusieurs banques/services de paiement et la plupart de ces pages ont été déployées il y a quelques jours, ce qui laisse présager une prise de contrôle récente de cet espace par le spammeur. L’espace web date lui de plusieurs années car différents blogs y sont hébergés depuis 2013.

Le spammeur est francophone ou se fait passer pour un francophone comme le laisse deviner l’adresse mail en .fr et les différents fichiers/codes/commentaires qui possèdent des mentions en français.

Pour finir, les différentes pages de phishing envoient les identifiants bancaires volés à une adresse mail en outlook.fr, ce qui est particulièrement difficile à tracer si l’on est pas une agence gouvernemental capable de demander des comptes à Microsoft.

Tout cela a bien occupé ma soirée, mais je n’irai pas plus loin. J’aurais pu essayer de prendre le contrôle du serveur via les différents services ouverts mais je pense qu’il s’agit d’un espace mutualisés, donc utilisé par d’autres sites web. De plus, l’espace hébergeant les pages de phishing est selon moi un espace légitime dont le spammeur a récemment pris le contrôle.

Cela a été assez intéressant à réaliser, voir les méthodes des spammeurs est plutôt enrichissant la première fois. La seule information dont on dispose à propos du spammeur est l’adresse mail qu’il utilise pour récupérer les identifiants volés, à par lui envoyer un mail afin de lui faire peur, on ne peut rien faire de plus, et ce n’est pas mon rôle.

Pour aller plus loin, il aurait été possible d’analyser plus en profondeur le serveur hébergeant les pages de phishing. Cependant après l’exécution de l’outil theHarvester, j’ai pu voir que plusieurs dizaines de sites web y étaient hébergés, il s’agit donc d’un serveur mutualisé, cela indique également que le spammeur n’est pas totalement en possession du serveur, seulement d’un de ses espaces web.

Également, il aurait été amusant de creuser l’exécution de commande du fichier connector.php afin de, peut être, obtenir une exécution de commande sur le serveur.  Enfin, on peut imaginer que l’attaquant ai testé le service ANZ.au une fois déployé, puis qu’il aurait omis de vider le fichier jjj.txt qui contient les IP des personnes ayant accédé à ce service, ainsi, il pourrait avoir inscrit par mégarde son adresse IP dans ce fichier texte librement accessible.

Bravo aux courageux qui ont tout lu jusqu’au bout 🙂

N’hésitez pas à partager vos expériences similaires dans les commentaires

Vous aimerez aussi...

11 réponses

  1. Stephanoux dit :

    Salut !

    Nul besoin de courage pour lire jusqu’au bout. C’est très instructif et passionnant. N’y a t’il pas lieu d’envoyer ces infos ici : https://www.internet-signalement.gouv.fr/PortailWeb/planets/Accueil!input.action

    Ou bien de donner le courriel du pirate en pature aux … spameurs ! 🙂

  2. Mickael Dorigny dit :

    Hello, merci pour ce commentaire.

    Pour le signalement sur la plate-forme indiquée, pourquoi pas, mais ils ne pourront rien faire. Les serveurs utilisés sont à l’étranger et hébergés sur des serveurs déjà compromis. Il serait plus efficace de prévenir les détendeurs des espaces compromis mais je ne compte pas me lancer dans ce genre d’opération, car des espaces/serveurs web compris, le net en est rempli !

    Mon but ici était plus de partager ma méthodo et mes découvertes, a bientôt ! 🙂

  3. Grab dit :

    Hello,

    ll existe également http://isitphishing.org/ qui permet via une API Rest de développer des extensions chrome / firefox ou autres permettant d’analyser les liens en amont.

    Le site permet également le signalement et fait du Brand Alert pour pas mal de boites aux USA

  4. DEY dit :

    pas mal.
    Je me demande si spammer la page de phising (celle-ci et toute celles que l’on rencontre) avec de faux identifiants. pourrait faciliter la lutte contre le phishing en la rendant inexploitable. Il y a forcément un entonnoir quelque part quand c’est l’humain qui doit opérer.

    Je suppose que ce genre de service doit déjà exister.

    • Mickael Dorigny dit :

      Effectivement, cela pourrait avoir un effet sur le spammeur, noyer les vrais informations dans les fausses.

      Il faut cependant ne pas oublier que les systèmes visés sont des systèmes légitimes qui n’appartiennent pas au spammeur. Dans ce cas, la génération d’un grand nombre de requêtes POST pour soumettre de faux identifiants est très facile à mettre en place. Avec un simple script, il est possible d’en envoyer des centaines de milliers facilement.

      Dés lors, les systèmes qui reçoivent les requêtes seront la cible de plusieurs milliers de requêtes alors qu’ils n’ont rien demandés. De plus, l’envoi d’un très grand nombre de mail pourra atteindre la réputation du service d’envoi (pouvant aller jusqu’à un blacklistage dans certains cas ou un blockage niveau hébergeur). Dans ces différents cas, c’est encore une fois le locataire de l’espace web qui est impacté, même si le spammeur en prendra un coup, il faut y penser 🙂

      C’est tout de même une bonne idée, mais il serait fastidieux de ce lancer dans ce genre d’opération pour toutes les pages de phishing, comme pour le commentaire précédent, le net en est rempli !

  5. JB dit :

    Article très intéressant et pour le moins complet, bravo 😉

  6. Victor dit :

    Superbe article , j’ai vraiment apprécié découvrir votre enquête dans toutes ses étapes. J’espère que vous referez des articles similaires.

  7. Benj dit :

    Bonjour,
    il faudrait prévenir les banques (au moins françaises) en question, trop de notification de cette campagne à leurs équipes de sécurité respectives valent mieux qu’aucune. Les sites de banque notamment, sont constamment sous l’effet d’une campagne de phishing.
    Concernant la variable X-UI_filterresults est une valeur de générée pas les serveurs de messagerie de kundenserver.de ayant relayé ce spam. Il indique le résultat des filtres anti-spam utilisés avant le relais.

  8. Robert dit :

    Vraiment une grosse analyse que j’ai lit et relu au bout. Ces spammeurs qui reposent sur un serveur mutualisé sont vraiment difficiles à identifier tellement ils se cachent derrières des identités réelles (à l’insu de leurs propriétaires) ou factices. C’est pour ça qu’il faut solidifier la sécurité de ses données en ayant un antivirus mis à jour continuellement (Kaspersky, AVG, Norton ou autre) et disposer d’un firewall qui protège essentiellement courrier électronique et navigation web (voir https://www.meilleurantivirus.com/2206/quel-est-le-meilleur-firewall/ ). Se protéger est essentiel de nos jours, mais être toujours en veille est nécessaire car l’antivirus sans l’action humaine ne vaut rien.

  9. Laulau dit :

    Merci pour le retex. Le signalement n’est jamais inutile… Je citerais l’asso http://phishinginitiative.fr
    C’est aussi important pour le détenteur de l’espace compromis qui peut alors faire le necessaire : réponse a incident et fourniture des éléments de preuve aux services d’enquête (ce qui n’est actuellement quasiment jamais fait). Je rajouterais que le caractère international est effectivement un frein aux investigations mais ça n’empêche pas de tenter le coup.

  10. Fatiha dit :

    Super intéressant. Au début je me suis dit c’est du connu. Puis quand j’ai vu que le spammeur utilisait un service mail d’un autre site, j’ai changé d’avis. Et puis ton article va crescendo, on découvre avec le nmap de nombreux virtual hosts. C’est bizarre que ce ne soit pas masqué. Je sais par exemple qu’en prod on peut masquer la version d’apache ou encore de MySQL. Mais là rien n’est masqué bizarrement.
    Merci cela a été un pur plaisir de découvrir les méthodes de spammeur.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *