Question sur des URL encodees en rot13

Le
Kevin Denis
Bonjour,

pour ma culture, quelqu'un présent ici a t'il déjà vu une attaque
qui utilisait des URL en rot13?

J'analyse quelques logs, et je tombe sur une immensité de ce genre
d'URL encodées en rot13, exemple:
lnubb.pbz/c
lnubb.pbz/cu
lnubb.pbz/cubgbf
oybz.pbz.yo
jbbqynaqonax.pbz

et beaucoup d'autres URL complètes comme:
uggc://ptv.ertvfgengvba.fhfcrafvba.xjvx.gb/jf2/vaqrk.cuc
uggc://vef-gnk.sov.or/freire/bayvar/sbezf/ershaq/0,,vq–596,00.ugzy
uggc://jjj.knatn.pbz/fvtava.nfck

Pourquoi je poste sur fr.comp.securite? Car la majorite des URL ont
des liens avec des sites de registration d'email, de banque ou
assimilé, donc je soupçonne une fraude quelquepart.

Par contre, tout ce que je vois là m'a l'air mort comme liens, c'est
pour cette raison que je poste ici pour savoir si ça rappelle quelque
chose à quelqu'un. J'ai googlé un peu, mais je ne vois rien de
très probant la dessus. Si un ancien du groupe se souvient avoir
vu ce genre de choses, ça m'intéresse.

Merci
--
Kevin
Vidéos High-Tech et Jeu Vidéo
  • Skype lance le partage de liens pour contacter ses amis ou sa famille n'ayant pas de ...
  • Capcom a diffusé de nouveaux extraits de son prochain survival horror à venir sur PC et ...
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Kevin Denis
Le #1599526
On 2008-03-15, Kevin Denis

pour ma culture, quelqu'un présent ici a t'il déjà vu une attaque
qui utilisait des URL en rot13?

Pour réponse, ça n'est pas une attaque, c'est google.


Désolé du dérangement.
--
Kevin

Olivier Miakinen
Le #1609317
Bonjour,


pour ma culture, quelqu'un présent ici a t'il déjà vu une attaque
qui utilisait des URL en rot13?

Pour réponse, ça n'est pas une attaque,



Je m'en serais douté, tout comme toi dans ton premier article d'ailleurs.

c'est google.


Là je ne comprends pas. Pour notre culture personnelle, tu pourrais
expliquer de quoi il s'agissait ?


Kevin Denis
Le #1609316
On 2008-03-17, Olivier Miakinen
c'est google.


Là je ne comprends pas. Pour notre culture personnelle, tu pourrais
expliquer de quoi il s'agissait ?

Firefox propose l'extension de google "safe browsing".


Cette extension est un service proposé par google et disponible ici par
le biais de http://sb.google.com/safebrowsing/update qui donne les
dernières mises à jour d'une liste de sites web contrefaits, de malfaçons,
ou de site référencés comme phisher. La syntaxe est la suivante:
http://sb.google.com/safebrowsing/update?version=goog-white-domain:1:1
Pour avoir la liste des domaines whitelistés par google depuis le
numéro 1.

Firefox télécharge et stocke cette liste de sites dans le
fichier urlclassifier2.sqlite, situé dans le profil de l'user.

Ce profil est effectivement (comme son nom l'indique) une base
de données sqlite:
$ sqlite3 urlclassifier2.sqlite
SQLite version 3.5.6
Enter ".help" for instructions
sqlite> .schema
CREATE TABLE 'goog_black_enchash' (key TEXT PRIMARY KEY, value TEXT);
CREATE TABLE 'goog_black_url' (key TEXT PRIMARY KEY, value TEXT);
CREATE TABLE 'goog_white_domain' (key TEXT PRIMARY KEY, value TEXT);
CREATE TABLE 'goog_white_url' (key TEXT PRIMARY KEY, value TEXT);
sqlite> select key from goog_black_url limit 3;
uggc://1.fubccvatcbegny24.vasb/fxvaf/fxva_6/ptv-ova/hcqngr.ugz
uggc://100xz.wc/1/
uggc://100xz.wc/ufop.cuc
sqlite> .quit

Or donc, je retrouve bien la liste de mes URL ROT13-encodées.

J'ai donc ma réponse sur la raison d'être de trouver dans la mémoire
d'une machine une quantité extremement grande d'URL encodées en ROT13.
Firefox était démarré, et devait donc activement vérifier les URL.
Ceci provient donc de l'option "safe browsing", qui est un service
google.

Suite a ces infos, je me suis posé une question:
pourquoi donc ces URL sont-elles codées en ROT13?

Une rapide recherche à l'aide de google codesearch m'amène à un fichier
source appelé nsUrlClassifierDBService.cpp, dont un commentaire a
attiré mon attention:
// We use ROT13 versions of keys to avoid antivirus utilities from
// flagging us as a virus.
nsCString keyROT13(key);
Rot13Line(keyROT13);

Suite à ça, j'ai la réponse à mes questions:
-Les URL en ROT13 proviennent bien de google
-Les URL sont majoritairement hors service, puisque dans l'intervalle,
le site de phishing a du tomber. Il ne s'agit donc pas d'une vieille
attaque.
-Il n'y a qu'un rapport lointain avec la sécurité, et surement pas en
rapport avec ce groupe.
--
Kevin


Olivier Miakinen
Le #1614384
Le 17/03/2008 14:38, Kevin Denis m'a répondu :

Firefox propose l'extension de google "safe browsing".

[...]

Suite à ça, j'ai la réponse à mes questions:
-Les URL en ROT13 proviennent bien de google
-Les URL sont majoritairement hors service, puisque dans l'intervalle,
le site de phishing a du tomber. Il ne s'agit donc pas d'une vieille
attaque.
-Il n'y a qu'un rapport lointain avec la sécurité, et surement pas en
rapport avec ce groupe.


Merci pour toutes ces explications, c'est très clair.

Publicité
Poster une réponse
Anonyme