Le festivita' natalizie 2010 segnano la comparsa in rete di una probabile botnet che ha tutte le caratteristiche di una tra le piu' note degli ultimi anni e precisamente la Storm-worm / Waledac botnet.
www.shadowserver.org in un post pubblicato a fine anno informa infatti di una botnet comparsa da poco con le seguenti caratteristiche:
1) Supporto alla diffusione del malware tramite campagna di spam attuata con fake mails di auguri (che ricorda le ricorrenti campagne di spam di Storm Worm prima e di Waledac poi)
Ecco alcuni dei testi dell'oggetto mail riportati da Shadowserver :
You've got a Happy New Year Greeting Card!
Greeting for you!
Greeting you with heartiest New Year wishes
Have a happy and colorful New Year!
New Year 2011 greetings for you
ecc..... tutte mails con links a differenti domini malevoli.
2) Uso di tecnica fast flux per i domini linkati dalle mails (TTL a 0 secondi e name servers aggiornati frequentemente) (vedere per questo la seguente analisi con script Autoit)
3) Links ad hacked websites che presentano redirect ai domini fastflux
Mentre rimando per ulteriori dettagli al post originale vediamo brevemente cosa succede visitando uno dei domini elencati da Shadowserver
Questa la pagina proposta da eplarine.com , uno dei domini attualmente utilizzati dalla probabile botnet
e che come si vede analizzando il source
presenta un doppio pericolo costituito sia dalla presenza di un download di eseguibile ma anche (dopo attesa di 5 secondi) un redirect su altro sito con codici di probabile exploit.
Mentre il link in automatico punta a questo sito con la presenza di codici java exploits
il download proposto come Flash Player consiste in un file eseguibile il cui contenuto parrebbe variare ad intervalli di tempo abbastanza brevi (notare anche la diversa icona presente per file che parrebbero avere anche differente contenuto (due dei casi esaminati con presenza di SMTP mail client))
Questa una analisi VT del fake install flash player
con basso riconoscimento del malware
Prendendo in esame il fake flash player, in 2 dei files scaricati rileviamo la presenza di un SMTP client con capacita' di invio mail, cosa che ci permettera' anche di ricostruire il contenuto delle mail di spam compreso il link presente a malware.
Il dubbio che si possa trattare delle 'note' mails di spam con link a malware, exploit ecc... lo risolviamo analizzando il traffico in uscita sulla porta 25 quando il software viene eseguito e di cui vediamo lo screenshot
Come si vede, si tratta di mails create ed inviate in maniera automatica a differenti indirizzi e che presentano un breve testo di auguri seguito da un link che proviamo a seguire
Si tratta di sito .nl probabilmente compromesso che redirige in automatico
ad uno dei domini fast-flux visti anche su una lista presente in Shadowserver
Per quanto invece riguarda gli indirizzi a cui vene inviata la mail generata risulta particolare il fatto che si tratti oltre a mails su domini Yahoo, Gmail , Hotmail anche di domini appartenenti a servizi governativi USA, note aziende ecc...
Interessante anche la presenza di indirizzi mail su dominio IT che confermerebbero l'interesse di chi vuole distribuire eseguibili pericolosi anche per una utenza IT
Per quanto si riferisce invece alle caratteristiche Fast-flux interessante notare come il dominio eplarine.com presenti un IP costantemente modificato ad ogni interrogazione del browser e quindi che parrebbe essere l'ennesimo utilizzo di tecnica fast-flux ben presente nelle precedenti implementazioni sia di botnet storm-worm che la piu' recente Waledac
A riprova di questo possiamo infatti applicare una analisi degli IP con la stessa metodologia usata decine di volte da questo blog negli anni scorsi , attraverso un semplice script Autoit che ciclicamente, ad intervalli di pochi secondi, esegue un whois del dominio eplarine.com
Anche se il sistema utilizzato presenta dei limiti come ad esempio il fatto che non si testano i contenuti della pagina linkata dall'IP variabile ma solo si cattura un whois relativo alla stessa, gia' in passato, i risultati dello script erano in linea con quelli ottenuti da sistemi ben piu' sofisticati con uso di honeypot ecc.....
Vediamo quindi l'analisi degli IP di eplarine.com e la loro geo-localizzazione variabile, che farebbe pensare a computers compromessi che hostano la pagina pericolosa come parte di una botnet.
L'acquisizione del whois e' effettuata ogni circa 10 secondi e genera un file con campi delimitati dal simbolo $ facilmente analizzabili per creare differenti report.
Questo un particolare dei dati acquisiti per un totale di circa 10.000 (diecimila) interrogazioni dell'IP di eplarine.com dove notiamo sia la presenza d alcuni IP italiani
ma in maggior parte IP (duplicati rimossi) ukraini, russi, indiani ed anche USA
Al momento comunque se paragonato con analisi di IP Waledac il numero macchine USA coinvolte e' basso , tutto questo ricordando sempre che si tratta di una analisi degli IP attuata solo attraverso una serie di whois ciclici sul medesimo dominio eplarine.com
Vedremo nei prossimi giorni se ci sara' una espansione della provenienza degli IP colpiti e se appariranno in rete nuovi domini in fast-flux legati a questa probabile botnet.
Aggiornamento:
Ecco il report definitivo su 11.500 cicli di Whois del tool Autoit, che vede la presenza di questi IP italiani
mentre il numero di IP rilevati (eliminando quelli duplicati) suddivisi per nazione e' il seguente
Da notare, in percentuale, il buon numero di IP appartenenti a range italiano.
Edgar
Ecco alcuni dei testi dell'oggetto mail riportati da Shadowserver :
You've got a Happy New Year Greeting Card!
Greeting for you!
Greeting you with heartiest New Year wishes
Have a happy and colorful New Year!
New Year 2011 greetings for you
ecc..... tutte mails con links a differenti domini malevoli.
2) Uso di tecnica fast flux per i domini linkati dalle mails (TTL a 0 secondi e name servers aggiornati frequentemente) (vedere per questo la seguente analisi con script Autoit)
3) Links ad hacked websites che presentano redirect ai domini fastflux
Mentre rimando per ulteriori dettagli al post originale vediamo brevemente cosa succede visitando uno dei domini elencati da Shadowserver
Questa la pagina proposta da eplarine.com , uno dei domini attualmente utilizzati dalla probabile botnet
e che come si vede analizzando il source
presenta un doppio pericolo costituito sia dalla presenza di un download di eseguibile ma anche (dopo attesa di 5 secondi) un redirect su altro sito con codici di probabile exploit.
Mentre il link in automatico punta a questo sito con la presenza di codici java exploits
il download proposto come Flash Player consiste in un file eseguibile il cui contenuto parrebbe variare ad intervalli di tempo abbastanza brevi (notare anche la diversa icona presente per file che parrebbero avere anche differente contenuto (due dei casi esaminati con presenza di SMTP mail client))
Questa una analisi VT del fake install flash player
con basso riconoscimento del malware
Prendendo in esame il fake flash player, in 2 dei files scaricati rileviamo la presenza di un SMTP client con capacita' di invio mail, cosa che ci permettera' anche di ricostruire il contenuto delle mail di spam compreso il link presente a malware.
Il dubbio che si possa trattare delle 'note' mails di spam con link a malware, exploit ecc... lo risolviamo analizzando il traffico in uscita sulla porta 25 quando il software viene eseguito e di cui vediamo lo screenshot
Come si vede, si tratta di mails create ed inviate in maniera automatica a differenti indirizzi e che presentano un breve testo di auguri seguito da un link che proviamo a seguire
Si tratta di sito .nl probabilmente compromesso che redirige in automatico
ad uno dei domini fast-flux visti anche su una lista presente in Shadowserver
Per quanto invece riguarda gli indirizzi a cui vene inviata la mail generata risulta particolare il fatto che si tratti oltre a mails su domini Yahoo, Gmail , Hotmail anche di domini appartenenti a servizi governativi USA, note aziende ecc...
Interessante anche la presenza di indirizzi mail su dominio IT che confermerebbero l'interesse di chi vuole distribuire eseguibili pericolosi anche per una utenza IT
Per quanto si riferisce invece alle caratteristiche Fast-flux interessante notare come il dominio eplarine.com presenti un IP costantemente modificato ad ogni interrogazione del browser e quindi che parrebbe essere l'ennesimo utilizzo di tecnica fast-flux ben presente nelle precedenti implementazioni sia di botnet storm-worm che la piu' recente Waledac
A riprova di questo possiamo infatti applicare una analisi degli IP con la stessa metodologia usata decine di volte da questo blog negli anni scorsi , attraverso un semplice script Autoit che ciclicamente, ad intervalli di pochi secondi, esegue un whois del dominio eplarine.com
Anche se il sistema utilizzato presenta dei limiti come ad esempio il fatto che non si testano i contenuti della pagina linkata dall'IP variabile ma solo si cattura un whois relativo alla stessa, gia' in passato, i risultati dello script erano in linea con quelli ottenuti da sistemi ben piu' sofisticati con uso di honeypot ecc.....
Vediamo quindi l'analisi degli IP di eplarine.com e la loro geo-localizzazione variabile, che farebbe pensare a computers compromessi che hostano la pagina pericolosa come parte di una botnet.
L'acquisizione del whois e' effettuata ogni circa 10 secondi e genera un file con campi delimitati dal simbolo $ facilmente analizzabili per creare differenti report.
Questo un particolare dei dati acquisiti per un totale di circa 10.000 (diecimila) interrogazioni dell'IP di eplarine.com dove notiamo sia la presenza d alcuni IP italiani
ma in maggior parte IP (duplicati rimossi) ukraini, russi, indiani ed anche USA
Al momento comunque se paragonato con analisi di IP Waledac il numero macchine USA coinvolte e' basso , tutto questo ricordando sempre che si tratta di una analisi degli IP attuata solo attraverso una serie di whois ciclici sul medesimo dominio eplarine.com
Vedremo nei prossimi giorni se ci sara' una espansione della provenienza degli IP colpiti e se appariranno in rete nuovi domini in fast-flux legati a questa probabile botnet.
Aggiornamento:
Ecco il report definitivo su 11.500 cicli di Whois del tool Autoit, che vede la presenza di questi IP italiani
mentre il numero di IP rilevati (eliminando quelli duplicati) suddivisi per nazione e' il seguente
Da notare, in percentuale, il buon numero di IP appartenenti a range italiano.
Edgar
Nessun commento:
Posta un commento