domenica 28 febbraio 2010

Phishing PosteIT con IP particolare

Ricevuta una mail di phishing ai danni di PosteIT

che dimostra linkare a sito di phishing hostato su sito compromesso il cui IP non e' tra i piu' diffusi, almeno per mails simili ricevute sino ad ora.

La mail e' costituita da una unica immagine png che riproduce il testo del messaggio, e che presenta link a questo server su IP indiano, dove risiede il codice di redirect.

Il sito finale di phishing presenta invece whois che punta a server africano e precisamente del Niger

Esaminando la homepage del sito compromesso che ospita il phishing, sembra trattarsi di un sito di fornitore di connessioni Internet.

Nel dettaglio, all'interno del sito , e' presente questo folder, che contiene anche il KIT di phishing, probabilmente utilizzato

Questa invece la struttura del sito di phishing, che mostra comunque date non recenti relativamente ai files presenti.


Edgar

sabato 27 febbraio 2010

Aggiornamento inclusione pagine nascoste su siti IT legittimi

La quantita' di siti IT che vengono utilizzati per ospitare pagine come questa, in maniera nascosta

sembra in costante aumento.

Una analisi attuale degli IP coinvolti nelle ultime ore dimostra che i siti colpiti sono distribuiti abbastanza uniformemente tra diversi servizi di hosting IT

Per quanto si riferisce alle pagine con layout di blog presenti su siti IT compromessi ma su server UK, (vedi questo post e successivi ) continua il costante aggiornamento delle stesse

cosa che appare ancora piu' evidente da questa ricerca attuale, visualizzata tramite tool Autoit

Chiaramente il TIME indicato e' quello relativo al momento dell'indicizzazione da parte del motore di ricerca delle pagine, ma in ogni caso e' indicativo di attivita' recente rivolta ad aggiornare con nuove pagine fake i siti gia' precedentemente colpiti.

Lo scopo finale di questi attacchi e' sempre quello di permettere la diffusione di links, in special modo ed attualmente, a fake scanners AV e relativi eseguibili.

Edgar

Microsoft Cracking Down Waledac Botnets. Opinioni contrastanti

E' auspicabile che la notizia venga confermata nei prossimi giorni ma rimangono ancora dei dubbi sulla definitiva messa OFF-line di Waledac, una delle Botnet piu' diffuse degli ultimi anni.

La notizia apparsa in rete su http://blogs.technet.com/microsoft_blog informa di una azione Microsoft volta a mettere offline i principali domini e relativi centri di controllo della Botnet.

Chiaramente rimarrebbero ancora le migliaia di PC compromessi (zombies) che a questo punto sarebbero privi del controllo essendo stati messi OFFline i controllori.

Questa la situazione attuale che sembra venire messa in dubbio da alcune considerazioni apparse, ad esempio, su www.computerworld.com
dove e' presente una dichiarazione di Joe Stewart, direttore di analisi del malware di SecureWorks e noto ricercatore di botnet
La prima cosa evidente e' che , contrariamente a quanto affermato da Microsoft , il volume di SPAM non sembrerebbe diminuito dopo la messa Offline di Waledac.
Secondo Spamhaus non sono state notate significative riduzioni nel volume di spam ed inoltre Richard Cox, il responsabile informazione di Spamhaus. ha anche detto che Waledac non e' principalmente un motore di spam.
Sempre secondo Cox, "Waledac non era una minaccia elevata, (meno dell'1% del traffico spam) , mentre sembrerebbe molto piu' preoccupante la botnet Zeus, che sta creando una notevole quantita' di traffico di spam".
Lo stesso Google non sembra rilevare al momento una riduzione dello Spam significativa attraverso l'analisi della risposta del suo software di filtro dello Spam.

L'articolo prosegue indicando che avendo messo OFF 277 domini com associati al botnet, si sarebbe seriamente compromesso il funzionamento di Waledac spezzando il collegamento tra il comando e centri di controllo delle botnet e la maggior parte delle sue migliaia di computer zombie in tutto il mondo ma Stewart ha detto che e' molto improbabile che la mossa abbia effettivamente paralizzato la botnet.
"Waledac utilizza una rete peer-to-peer per il suo comando e controllo", riferendosi al meccanismo di controllo di Waledac. In realta' secondo Stewart, Waledac sara' in grado di comunicare "a tempo indeterminato", utilizzando gli indirizzi IP che sono hard-coded nel bot Trojan.
Per uccidere una botnet come Waledac, Microsoft avrebbe dovuto colpire non solo i domini ma anche ogni possibile indirizzo IP codificato nel malware. "Non vedo come si puo' uccidere una botnet come questa," ha detto Stewart. "Non esiste una singola vulnerabilita' che possa mettere Offline Waledac ".
Questo quanto riportato da www.computerworld.com.

Bisognera' quindi attendere qualche giorno per verificare se effettivamente Waledac e' definitivamente fuori gioco o chi la gestisce correra' ai ripari per ripristinarne il funzionamento,
ricordando come scrive F Secure BLOG in maniera divertente:

“..........We haven't yet seen a drop in spam or bot samples, but we're waiting and watching.
It will likely take some time for the bodies to stop moving around even though the heads have been cut off.
They are zombies after all…”

che tradotto


…........ Non abbiamo ancora visto un calo di SPAM o codici BOT , ma stiamo aspettando e guardando.
E' probabile che ci vorra' un certo tempo per i “corpi” di smettere di andare in giro anche se le teste sono state tagliate. Dopo tutto, sono ZOMBIES....

Edgar

giovedì 25 febbraio 2010

Amministrazione remota del router (qualche altro dettaglio)

Vediamo qualche dettaglio in piu' al riguardo della possibilita' offerta dal software di gestione dei routers per disabilitarne l'amministrazione remota fermo restando che la soluzione piu' rapida e che va' comunque eseguita in ogni caso e' la modifica della password di accesso al dispositivo cambiando quella di default.
Infatti una delle condizioni necessarie perche' chiunque possa accedere da remoto al router e' proprio quella di aver lasciato la password di accesso originale (di default) e quindi conosciuta da tutti.

A seconda delle diverse marche di routers abbiamo differenti impostazioni e scelte possibili per limitare l'accesso alle pagine di amministrazione remota attraverso una connessione internet ed e' opportuno quindi consultare il manuale d'uso per conoscere quale sara' la procedura da seguire per disabilitare l'accesso remoto.

Ad esempio questa una videata delle impostazioni di un modello Dlink che evidenzia come, in questo caso, fortunatamente l'amministrazione remota vada abilitata e di default non sia stata attivata.

Questa una pagina di configurazione di un modello di router Trendchip che dimostra, anche in questo caso, l'opzione di accesso remoto disabilitata di default.(altri modelli Trendchip hanno invece abilitata di default l'AR)



Veniamo invece ad un nutrito numero di marche e modelli di routers che di default hanno l'accesso di amministrazione remota completamente libero.

Ecco una pagina del manuale d'uso di un router di marca Edimax che dimostra come di default le impostazioni dell'access management del router permettano un accesso remoto da parte di chiunque.

Tra l'altro questa interfaccia video e chiaramente il relativo software di gestione sembra essere diffusamente utilizzato da diversi modelli e marche di router, come si vede da alcune schermate di dispositivi accessibili direttamente dalla rete su IP .IT


Anche il router del sottoscritto, fornito dal provider thai, pur con diverso marchio, ricalca perfettamente nell'interfaccia di amministrazione via pagina web, il layout visto ora e naturalmente anche le modalita' di configurazione.

Ecco come appare l'impostazione di default della pagina che permette di filtrare l indirizzo IP abilitando solo un determinato valore o range per l'accesso remoto al dispositivo

Si tratta dell'opzione gia' vista sulla pagina del manuale d'uso del router Edimax (identica per tutto tranne che per il colore usato) e che essendo disabilitata consente a chiunque conoscesse la password, ad accedere al router da remoto.

Una riprova che il router in questione e' pronto a rispondere ad una richiesta di login attraverso Internet la possiamo avere utilizzando questa semplice pagina del sito

Si tratta di una semplice pagina che propone di eseguire una scansione delle porte presenti sul nostro IP verificandone lo stato. Si puo' scegliere manualmente il numero della porta tra quelle piu' comuni usate dall'amministrazione remota (80 (interfaccia WEB) , 21, 23, 8080 ecc....)

Eseguendo una scansione delle porte aperte sul nostro IP attuale se il nostro router presenta l'amministrazione remota raggiungibile dalla rete noteremo alcune porte aperte che corrisponderanno all'accesso web di configurazione remota (80 web page, 21 ftp, 23 telnet ecc....).

Dopo aver abilitato l'accesso al router solo da IP interni alla nostra rete locale attraverso l'apposita maschera di input, possiamo rieseguire la scansione che ora dimostrera' l'assenza completa di qualsiasi connessione possibile tra la pagina di amministrazione del router e la rete.( nel mio caso le tre porte 80, 21 e 23 chiuse)


Anche una analisi attraverso il sito


dimostra le differenza, prima

e dopo aver abilitato solo alcuni IP per amministrare il router.


Edgar

mercoledì 24 febbraio 2010

Amministrazione remota del router

E' di ieri la notizia di una botnet ospitata all'interno di routers ma vale la pena di ricordare che, esiste anche un modo molto piu' semplice per accedere al dispositivo senza scomodare l'uso di malware creato allo scopo.

Nonostante infatti il problema di un possibile accesso al router attraverso la pagina web di amministrazione remota sia conosciuto da tempo sembra che chi utilizza questi dispositivi non prenda molto sul serio i possibili problemi che potrebbero derivare dal non aver cambiato la password di accesso o, ancora meglio, disabilitato l'amministrazione via internet.
Tra l'altro molti dei costruttori di questo tipo di periferiche insistono col mettere abilitato di default l'accesso remoto al router anche se l'amministrazione remota e' raramente o praticamente mai utilizzata specialmente da una utenza casalinga.

Capita cosi' che eseguendo una scansione della porta 80 su range IP di provider IT ( la porta 80 e' utilizzata per aprire una connessione di amministrazione remota al dispositivo tramite interfaccia web) troviamo decine e decine di risposte da parte di routers o modem ADSL che propongono il login di accesso.

Ad aumentare la facilita' di utilizzo della connessione quasi sempre la finestra di login propone anche marca e modello del router, cosa che facilita la ricerca in rete di una eventuale password di accesso di default.

Ad esempio questo Dlink

oppure

come vediamo dagli screenshot, evidenziano marca e/o modello del dispositivo al momento di eseguire il login remoto.


Esaminando un report di una cinquantina di IP con porta 80 aperta su range di noto provider IT, circa i due terzi dei dispositivi listati ha presentato login e password di accesso settate come da default, cosa che consente il pieno controllo del router una volta effettuato l'accesso.

Edgar

Inclusione di pagine nascoste su siti IT (agg.24 febbraio)

AVVISO ! Ricordo, come sempre, che anche se alcuni links sono in chiaro, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc...)

Non si ferma l'inclusione di pagine nascoste con links a falsi Av ecc.... all'interno di siti IT legittimi
Questi i risultati di una attuale ricerca in rete che portano ad individuare anche nuovi siti IT colpiti di recente

ed anche

Ecco la home di uno degli ultimi siti colpiti

di cui vediamo anche la struttura delle pagine incluse, che dimostra la grande quantita' di codice presente

Le pagine presenti hanno tutte un layout come questo

Lo script offuscato presente, redirige, tramite siti intermedi, su questo falso player

ma anche sul 'solito' falso scanner Av

Una analisi con Threatexpert dell'eseguibile mostra che si tratta dell'ennesimo fake AV

Edgar

Phishing ai danni di utenti Blogger

Come riportato da diversi siti che si occupano di sicurezza internet sembra che nei giorni scorsi sia stata messa in atto una campagna di phishing ai danni di utenti Blogger.

La mail di phishing riporta un testo simile a questo :

-------------------------------------------------------------------------------------------------------

Subject: Your Blogger Account

Dear Blogger account owner, To update your Blogger account please click the following link:

http://www.blogger.com/update/VE.php?service=blogger&c=................... &email=youremail@yourdomain.com.

Thank you for using Blogger.


This is a post-only mailing.
Replies to this message are not monitored or answered.


--------------------------------------------------------------------------------------------

cercando di far credere di essere inviata da Google per segnalare un aggiornamento del proprio account Blogger.
Una volta cliccato sul link si viene rediretti al sito di phishing creato su diversi indirizzi web tutti su dominio coreano.
La pagina proposta copia fedelmente quella di a Blogger

E' evidente che lo scopo di questo phishing e' quello di acquisire i dati personali di login che permetterebbero a chi ne viene in possesso di utilizzare il blog colpito per scopi fraudolenti.

Al momento sembra che i domini KR di phishing siano stati messi OFF-line.

Edgar

martedì 23 febbraio 2010

Una botnet all'interno di routers e modem

Prague Daily Monitor ha pubblicato qualche giorno fa un interessante articolo che ripropone un problema gia' vsto in passato e precisamente la possibilita' di sfruttare routers o modem DSL ma questa volta per ospitare al loro interno codice relativo ad una botnet.

Secondo quanto riportato dal Daily Monitor , i ricercatori del progetto di sicurezza della Masaryk University, in collaborazione con esperti dell' Accademia Militare di Brno e del Ministero della Difesa hanno scoperto la presenza di codice riconducibile ad una botnet che e' stata denominata Chuck Norris, a causa di un commento presente nel codice sorgente che fa' riferimento all'attore americano, protagonista di molti film d'azione.

Jan Vykopal, il capo del progetto di sicurezza della Masaryk University ha detto che si e' potuto rilevare un server centrale di controllo locato in Italia, e che una volta messo OFFline e' stato sostituito da altri server locati in altre parti del mondo.

La notizia e' stata ripresa anche da PC Magazine che riporta alcuni ulteriori dettagli tra cui ad esempio il fatto che come "psyb0t" di un anno fa, gli attacchi da remoto tentano di indovinare le passwords di default infettando dispositivi basati su chip MIPS con Linux.
La botnet coprirebbe come estensione l'Europa, il Sud America ed anche la Cina.
Vykopal ha detto che il bot sfrutta una vulnerabilita' nota anche in alcuni dispositivi D-Link Systems.
La botnet sembra essere stata concepita per acquisire dati sensibili quali conti bancari, caselle di posta elettronica, ecc; Vykopal ha aggiunto che la botnet puo' anche essere utilizzata per attaccare altri sistemi.

Compromettere un router ha dei vantaggi per un attaccante: essendo collegati direttamente alla rete i router non sono bloccati dal software di sicurezza presente sul PC ed inoltre gli utenti non aggiornano quasi mai il software presente sul router.
Ma ci sono degli svantaggi: uno spegnimento del router rimuove probabilmente il bot. E 'tecnicamente fattibile per il bot sostituirsi al codice presente nel firmware del dispositivo ma non c'e' prova alcuna che sia stato fatto.
Il modo migliore per eseguire un attacco da un bot sarebbe quella di utilizzare il router per reindirizzare gli utenti a falsi siti attraverso la modifica dei DNS.

Edgar

False pagine Google e IGoogle incluse in siti IT come link a Security Tool (agg.23 febbraio)

Gia' viste in passato, continuano ad essere presenti su diversi siti IT pagine incluse in maniera nascosta dal layout clone della homepage del noto motore di ricerca.

Ecco due layout presenti sul medesimo sito IT

ma anche


ed 'aggiornati' in data recente come si vede da questi due risultati di una ricerca in rete


I siti IT coinvolti sono parecchi

e le pagine di fake Google incluse presentano centinaia di links

che al momento, tramite diversi redirect, eseguiti in maniera automatica puntano ad esempio, a falso scanner AV

che propone un file eseguibile quasi sconosciuto ad una analisi VT.( e costantemente aggiornato nel codice ad ogni download per eludere il riconscimento)

Eseguendo il file abbiamo la conferma che si tratta del Fake AV Security Tool, come vediamo da questo screenshot, ed appartenente al gruppo di falsi AV tra cui Total security 2009 e System Security.


Edgar

Phishing 23 febbraio

Tra le varie mails di phishing ricevute segnalo questa ai danni di BCC

con un oggetto mail abbastanza anonimo , in quanto non viene citata la Banca ma solo un generico 'estratto'

La mail contiene un attachment che se eseguito propone un login a BCC

Anche in questo caso, come in altri gia' visti in precedenza , il form di login provvede a linkare a codice che esegue il redirect dopo aver acquisito i dati personali

Al medesimo indirizzo del codice di redirect risulta presente anche un layout di sito di phishing ai danni di BCC

e di cui vediamo uno screenshot


Interessante notare che al momento dell'esecuzione dell'attachment in mail viene linkato un file template e immagini jpg da differenti reali siti di BCC, come si vede da questo dettaglio Fiddler

Altra mail di phishing e' invece questa ai danni di Poste IT

con redirect tramite sito cinese

e sito di phishing ospitato su sito compromesso USA.


Edgar

lunedì 22 febbraio 2010

Inclusione di pagine nascoste su siti IT e posts su forum IT che redirigono a falso AV (agg. 22 febbraio)

Ecco un layout di pagina nascosta che risulta presente all'interno di diversi siti IT compromessi nelle ultime ore.

Questo un report con tool Autoit che evidenzia la struttura di uno dei tanti siti IT compromessi


Come sempre e' presente uno script java offuscato che punta a sito di redirect su varie pagine con contenuti dubbi od anche falsi scanner AV.

Per quanto si riferisce a post creati su forum IT per linkare a malware o falsi Av, eccone uno attuale

che redirige su fake scanner Av con whois gia' visto nei giorni scorsi.

Come sempre una analisi VT evidenzia il quasi nullo riconoscimento del contenuto pericoloso.

Edgar