Kompromitovan snp.org.rs - Printable Version

Kompromitovan snp.org.rs - Printable Version

+- Bezbedan Balkan (https://bezbedanbalkan.net)
+-- Forum: Bezbednost državnih resursa (https://bezbedanbalkan.net/forum-5.html)
+--- Forum: Kompromitovani resursi (https://bezbedanbalkan.net/forum-6.html)
+--- Thread: Kompromitovan snp.org.rs (/thread-1015.html)

Kompromitovan snp.org.rs - VincaSec - 12-02-2023

Neko je na Redditu rekao kada udje na sajt snp-a, da ga odmah redirektuje do nekih reklama.

Kao na primer ovo:

Filename: Capture (1).JPG Size: 32.71 KB 12-22-2023, 08:05 PM

Poceo sam da analiziram sajt i primetio sam jedan hiperlink koji sadrzi cudan subdomen
four(.)startperfectsolutions(.)com

Filename: Capture1.JPG Size: 79.28 KB 12-22-2023, 08:06 PM

VirusTotal kaze da je maliciozan.
https://www.virustotal.com/gui/domain/four.startperfectsolutions.com

Filename: Capture2.JPG Size: 69.29 KB 12-22-2023, 08:08 PM

subdomen vodi do ove IP adrese:
https://www.ip-tracker.org/lookup.php?ip=80.66.79.247

Filename: Capture6.JPG Size: 101.28 KB 12-22-2023, 08:08 PM

Kad sam pretrazio domen na google, dobio sam razlicite izvestaje tog domena koji ukazuju da je maliciozan, Malwarebytes ga blokira.

Filename: Capture4.JPG Size: 77.47 KB 12-22-2023, 08:08 PM

Domen je povezan sa 4 subdomena, jedan od njih je pronađen na sajtu snp-a.
https://www.virustotal.com/gui/domain/startperfectsolutions.com/relations

Filename: Capture5.JPG Size: 63.86 KB 12-22-2023, 08:06 PM

RE: Potencijalno kompromitovan snp.org.rs - 1van - 12-02-2023

Sucuri kaže isto: https://sitecheck.sucuri.net/results/snp.org.rs

Filename: snp.org.rs_Sucuri_1.png Size: 289.67 KB 12-02-2023, 12:14 PM

RE: Potencijalno kompromitovan snp.org.rs - milos_rs - 12-02-2023

Da, mene izredirektovao na gomilu nekih sajtova i na kraju ostao na nekom pornografskom...

Filename: signal-2023-12-02-132323_002.jpeg Size: 50.52 KB 12-02-2023, 12:25 PM

ali ne uspevam uvek da ga trigerujem, i nisam uspeo sa desktopa nego samo sa mobilnog, i neki prethodni put me redirektovao na kompletno drugačije sajtove

RE: Potencijalno kompromitovan snp.org.rs - VincaSec - 12-02-2023

Pretrazio sam subdomen na urlquery sajtu i naleteo sam na nekoliko sajtova kod kojih je detekovan isti subdomen.
https://urlquery.net/search?q=four.startperfectsolutions.com

Filename: Capture6.JPG Size: 85.54 KB 12-02-2023, 12:08 PM

Preko browserling.com sam proverio subdomen koji sadrzi JavaScript fajl.

Filename: browserling-screenshot.png Size: 1.51 MB 12-02-2023, 12:14 PM

RE: Potencijalno kompromitovan snp.org.rs - milos_rs - 12-02-2023

ovo je "šifrovano" sa https://obfuscator.io/

ima i deobfuscator https://obf-io.deobfuscate.io/

rezultat:

Filename: Screenshot 2023-12-02 at 13-42-27 Obfuscator.io Deobfuscator.png Size: 90.74 KB 12-02-2023, 12:42 PM

RE: Potencijalno kompromitovan snp.org.rs - VincaSec - 12-02-2023

To kada je uklonjen dead code