Apparsi in rete nuovi domini collegati alla botnet StormWorm.
Il tentativo di far scaricare il malware avviene sempre attraverso mails di spam che questa volta presentano un link ai nuovi domini StormWorm di cui vediamo un parziale elenco:
makinglovedirect(dot)com (usato per il test)
theloveparade(dot)com
latinlovesite(dot)com
lollypopycandy(dot)com
yourloveletter(dot)com
youronlinelove(dot)com
Come si vede i nomi sono del tutto simili a precedenti domini storm che gia' in passato hanno utilizzato il tema 'love' per tentare di far scaricare malware sul pc.
Vediamo in dettaglio come si presenta, ad esempio, la pagina makinglovedirect(dot)com
Sono presenti sia un banner animato con link al file eseguibile winner.exe di cui vediamo una analisi con Virus Total
che un link diretto al file eseguibile mylove.exe che Virus Total riporta come
Esaminando in dettaglio il sorgente della pagina
abbiamo la presenza di meta tags con parole chiave che riconducono al soggetto della mail ed inoltre come nella recente pagina storm la presenza di un iframe nascosto con codice offuscato che linka a codice php
contenente, come nelle recenti pagine StormWorm, una serie di exploits per colpire alcune vulnerabilita' presenti su diverse applicazioni player video ecc...
Il file php sottoposto a VT dimostra che alcuni softwares riescono ad identificare il codice come pericoloso.
La tecnica FastFlux sembra essere tornata a TTL (tempo di vita dello specifico IP associato al nome nella cache DNS dopo il quale l'indirizzo IP viene rinnovato) in linea con precedenti pagine StormWorm, a differenza dell'ultima volta in cui il TTL era stato allungato di parecchi minuti.
Per cercare di capire, la collocazione dei computer compromessi che fanno parte della Botnet ecco un report ottenuto con un semplicissimo script Autoit che esegue un whois di makinglovedirect(dot)com ad intervalli di 60 secondi (TTL della pagina che utilizza FastFlux) e che restituisce la presunta collocazione dei pc compromessi facenti parte della botnet.
Come si capisce non si tratta di un metodo basato sulla reale interrogazione del dominio FastFlux come avviene per applicazioni professionali che utilizzano software specifici (honeypot) per catturare il malware ma nella sua semplicita' offre risultati di un certo rilievo senza per questo presentare i rischi connessi ad una interrogazione diretta della Botnet StormWorm.
Come gia' detto in passato lo script sfrutta ciclicamente un metodo indiretto (whois) per localizzare il pc corrispondente all'indirizzo della pagina storm ed anche se non c'e' la certezza che all'ip trovato corrisponda una macchina che distribuisca attualmente malware abbiamo come risultato un report che da' una idea abbastanza reale di come, al momento, sono distribuite nel mondo le macchine infette.
I risultati sono, in parte, una sorpresa in quanto, al contrario di precedenti attacchi StormWorm dove circa il 50% dei risultati dello script puntava a pc locati in USA sembrerebbe che ora la maggior parte di macchine infette da questa nuova 'sessione' di StormWorm sia locata in Cina, il che confermerebbe la tendenza del paese asiatico iad essere il primo come quantita' di computers compromessi da malware di questo tipo o forse anche esserne l'attuale sorgente.
Una parziale spiegazione dei risultati dello script potrebbe derivare dal fatto che al momento dell'esecuzione del test , in Cina e' mattino mentre per zone come l'Europa e notte (2 AM) e quindi presumibilmente la quantita' di pc in funzione e' ridotta.
Potra' comunque essere interessante ripetere questo test, se i domini StorWorm resteranno online, per vedere la variazione nel tempo della distribuzione geografica dei pc infetti facenti parte della botnet.
Edgar
Il tentativo di far scaricare il malware avviene sempre attraverso mails di spam che questa volta presentano un link ai nuovi domini StormWorm di cui vediamo un parziale elenco:
makinglovedirect(dot)com (usato per il test)
theloveparade(dot)com
latinlovesite(dot)com
lollypopycandy(dot)com
yourloveletter(dot)com
youronlinelove(dot)com
Come si vede i nomi sono del tutto simili a precedenti domini storm che gia' in passato hanno utilizzato il tema 'love' per tentare di far scaricare malware sul pc.
Vediamo in dettaglio come si presenta, ad esempio, la pagina makinglovedirect(dot)com
Sono presenti sia un banner animato con link al file eseguibile winner.exe di cui vediamo una analisi con Virus Total
che un link diretto al file eseguibile mylove.exe che Virus Total riporta come
Esaminando in dettaglio il sorgente della pagina
abbiamo la presenza di meta tags con parole chiave che riconducono al soggetto della mail ed inoltre come nella recente pagina storm la presenza di un iframe nascosto con codice offuscato che linka a codice php
contenente, come nelle recenti pagine StormWorm, una serie di exploits per colpire alcune vulnerabilita' presenti su diverse applicazioni player video ecc...
Il file php sottoposto a VT dimostra che alcuni softwares riescono ad identificare il codice come pericoloso.
La tecnica FastFlux sembra essere tornata a TTL (tempo di vita dello specifico IP associato al nome nella cache DNS dopo il quale l'indirizzo IP viene rinnovato) in linea con precedenti pagine StormWorm, a differenza dell'ultima volta in cui il TTL era stato allungato di parecchi minuti.
Per cercare di capire, la collocazione dei computer compromessi che fanno parte della Botnet ecco un report ottenuto con un semplicissimo script Autoit che esegue un whois di makinglovedirect(dot)com ad intervalli di 60 secondi (TTL della pagina che utilizza FastFlux) e che restituisce la presunta collocazione dei pc compromessi facenti parte della botnet.
Come si capisce non si tratta di un metodo basato sulla reale interrogazione del dominio FastFlux come avviene per applicazioni professionali che utilizzano software specifici (honeypot) per catturare il malware ma nella sua semplicita' offre risultati di un certo rilievo senza per questo presentare i rischi connessi ad una interrogazione diretta della Botnet StormWorm.
Come gia' detto in passato lo script sfrutta ciclicamente un metodo indiretto (whois) per localizzare il pc corrispondente all'indirizzo della pagina storm ed anche se non c'e' la certezza che all'ip trovato corrisponda una macchina che distribuisca attualmente malware abbiamo come risultato un report che da' una idea abbastanza reale di come, al momento, sono distribuite nel mondo le macchine infette.
I risultati sono, in parte, una sorpresa in quanto, al contrario di precedenti attacchi StormWorm dove circa il 50% dei risultati dello script puntava a pc locati in USA sembrerebbe che ora la maggior parte di macchine infette da questa nuova 'sessione' di StormWorm sia locata in Cina, il che confermerebbe la tendenza del paese asiatico iad essere il primo come quantita' di computers compromessi da malware di questo tipo o forse anche esserne l'attuale sorgente.
Una parziale spiegazione dei risultati dello script potrebbe derivare dal fatto che al momento dell'esecuzione del test , in Cina e' mattino mentre per zone come l'Europa e notte (2 AM) e quindi presumibilmente la quantita' di pc in funzione e' ridotta.
Potra' comunque essere interessante ripetere questo test, se i domini StorWorm resteranno online, per vedere la variazione nel tempo della distribuzione geografica dei pc infetti facenti parte della botnet.
Edgar
4 commenti:
Ciao... un domanda un po' OT...
come si fa a contattarti di persona? devo chiederti alcune cose. Grazie
MArco
Come forse capirai ci sono almeno due motivi per cui non vedi un mio recapito mail sul blog
Il primo e' perche', visti alcuni argomenti trattati, preferisco evitare di pubblicare un indirizzo mail per non venire ' bombardato' di spam , mail varie o peggio ..
Il secondo perche' il tempo a disposizione e' poco e se dovessi iniziare a gestire una specie di consulenza online potrei chiudere il blog, non avendone piu' per creare e scrivere i mie post.
Come vedi cerco,nei limiti dl possibile, di fare post 'originali' intesi come argomenti nuovi o problemi poco toccati da altri blog. In pratica diciamo che evito, nel limite del possibile, il blog fatto di CONTROL C (copia) e CONTROL V (incolla) da notizie prese da altri blog.
Quindi, come dicevo sopra, se hai qualche quesito, postalo pure nei commenti, e cerchero' di risponderti direttamente dagli stessi.
Edgar
Grazie...
allora visto che ci siamo ti faccio le seguenti domande:
che software grafico usi per fare quel bell'effetto ombreggiato e da foglio stracciato nelle tue immagini?
I tool che usi per le tue ricerche li crei per uso personale, oppure sono liberamente disponibili, visto che nella sezione download ne sono presenti (a giudicare dalle immagini) solo alcuni?
Grazie e complimenti
MArco
I tool sono nati per uso personale ma alcuni li metto a disposizione di chi li vuole utilizzare mentre altri rimangono per uso interno... Comunque la versione nuova di webscanner non e' presente sul sito dei downloads ma sul link media fire presente nel post che parla appunto della nuova versione di websacnner.
Tra l'altro sono tutti piccoli programmi fatti con Autoit , un linguaggio di scripts che usare solo per scripts e' limitativo in quanto ha tutte le caratteristiche di un linguaggio di programmazione ad alto livello e molto facile da usare.
Comunque molti tools rimangono per uso interno in quanto sono poco curati nell interfaccia visto che programmandomeli non ho bisogno di renderne semplice il setup (files ini menu' ecc..) In altre parole se devo cambiare qualche parametro faccio prima a modificare il codice sorgente e ricompilarmelo.
Se metti a disposizione di tutti un software devi curare invece l'interfaccia, i vari setup ecc... dato che chi li usa non puo modificare i sorgenti.
Per il programma di disegno e' una vecchissima versione di Fastone Capture che era freeware ma mi risulta che adesso sia diventata, nelle nuove versioni che sono con piu' opzioni, solo shareware
Posta un commento