sabato 29 settembre 2007
Le confermiamo che l'operazione di ricarica .....
Questa volta si cerca di ingannare chi riceve la falsa mail di poste it attraverso la comunicazione di una ricarica della carta postepay.
Accedendo al falso sito si arriva dopo alcuni passaggi alla solita richiesta di inserimento del codice dispositivo.
Questa volta un whois della pagina porta a
OrgName: Jaguar Technologies LLC
OrgID: JTL-8
Address: 4201 SW Freeway suite#216
City: Houston
StateProv: TX PostalCode: 77027
Country: US
Andando poi, a visualizzare sul server, i contenuti del folder dove risiede il falso sito poste it abbiamo anche un file compresso bot.tar.gz che parrebbe contenere il programma eggdrop
ed un file compresso cartepr.tar.gz con il completo contenuto del falso sito poste.it pronto all'uso....
in cui troviamo anche un interessante esempio del codice PHP utilizzato per trasferire via email (hotmail????) i dati che sono stati inseriti nei form del falso sito di phishing.
Edgar
venerdì 28 settembre 2007
Problemi con gli update nascosti in Windows
Pare che adesso incomincino a venire fuori alcuni problemi collegati a questo sistema usato da Microsoft
In breve, come riportano alcuni blogs USA
“ ............... about machines with this update being unable to reinstall patches if the "repair" option was used to reinstall the OS. ........ problem affects any user who restores Windows XP using the setup CD's "repair" option, sometimes also called an "in-place reinstallation" because it reinstalls the operating system files without disturbing the applications and data already on the disk drive. Because repair is essentially a roll-back to XP's original state, the OS must be updated with all subsequent patches and hotfixes using WU. .................... customers not being able to download some updates from Windows Update when using the latest version of the Windows Update client and after reinstalling Windows XP system files from CD. .”
Parrebbe che se si esegue una reinstallazione di Windows con l'opzione CD's "repair" ossia si vuole riparare il sistema senza reinstallare tutto da capo, nel caso che precedentemente Microsoft avesse eseguito sul pc un update nascosto, un certo numero di files di update (dicono 80) non verrebbero piu' caricati.
Spiegazioni piu' tecniche su questo blog.USA
Ritornano online alcuni server fastflux botnet.
tibeam.com;
ptowl.com;
che presentano la solita pagina di arcade world games (vedi post relativo) e che ora linkano al file eseguibile dal nome ArcadeWorldGame.exe che e' pero' scaricabile con difficolta'.
Anche i 2 siti, per ora, non sembrerebbero raggiungibili facilmente e risultano spesso offline.
Un soluzione per verificare il nuovo file exe e' stata quella di utilizzare il solito IP italiano che ormai da circa un mese risulta attivo 24 ore su 24 ( 88.34.104.3 ) e che e' raggiungibile facilmente e con discreta velocita.
Dovrebbe , come gia' scritto, trattarsi di pc infetto (forse usato come server) che fa parte della rete botnet fast-flux e che risulta sempre connesso ad internet.
Ecco il report eseguito con virus total del file exe
------------------------------------------------------------------------------------------------
Complete scanning result of "ArcadeWorldGame.exe", processed in VirusTotal at 09/28/2007 03:26:03 (CET).
[ file data ]
* name: ArcadeWorldGame.exe
* size: 159042
* md5.: 751e707c30248c353b7bc78ebf301e36
* sha1: 58488ffc018467f880fa700114fae128b8d9cb76
[ scan result ]
AhnLab-V3 2007.9.28.0/20070927 found nothing
AntiVir 7.6.0.15/20070927 found [Worm/Storm.tcv]
Authentium 4.93.8/20070927 found nothing
Avast 4.7.1043.0/20070928 found nothing
AVG 7.5.0.488/20070927 found [Downloader.Tibs]
BitDefender 7.2/20070928 found [Trojan.Peed.IKZ]
CAT-QuickHeal 9.00/20070927 found [(Suspicious) - DNAScan]
ClamAV 0.91.2/20070927 found [Trojan.Peed-3]
DrWeb 4.33/20070927 found [Trojan.Packed.142]
eSafe 7.0.15.0/20070923 found [Suspicious Trojan/Worm]
eTrust-Vet 31.2.5169/20070927 found nothing
Ewido 4.0/20070927 found nothing
F-Prot 4.3.2.48/20070927 found nothing
F-Secure 6.70.13030.0/20070928 found [Email-Worm.Win32.Zhelatin.jw]
FileAdvisor 1/20070928 found nothing
Fortinet 3.11.0.0/20070927 found [W32/PackTibs.C]
Ikarus T3.1.1.12/20070928 found [Email-Worm.Win32.Zhelatin.jw]
Kaspersky 7.0.0.125/20070928 found [Email-Worm.Win32.Zhelatin.jw]
McAfee 5129/20070927 found nothing
Microsoft 1.2803/20070928 found [Trojan:Win32/Tibs.CG]
NOD32v2 2556/20070928 found [Win32/Nuwar.Gen]
Norman 5.80.02/20070927 found [Tibs.gen165]
Panda 9.0.0.4/20070927 found nothing
Prevx1 V2/20070928 found nothing
Rising 19.42.40.00/20070928 found nothing
Sophos 4.21.0/20070928 found nothing
Sunbelt 2.2.907.0/20070926 found nothing
Symantec 10/20070928 found nothing
TheHacker 6.2.6.072/20070927 found [W32/Zhelatin.gen]
VBA32 3.12.2.4/20070927 found nothing
VirusBuster 4.3.26:9/20070927 found [Trojan.Tibs.Gen!Pac.132]
Webwasher-Gateway 6.0.1/20070928 found [Worm.Storm.tcv]
--------------------------------------------------------------------------------------------
Solo circa il 50% degli antivirus rileva la minaccia; al momento abbiamo la NON positivita' del file con Sophos, Symantec, McAfee;
Panda si conferma come al solito uno degli antivirus che, almeno su nuovi malware, non rileva la presenza della minaccia mentre, questa volta, NOD32 rileva il pericolo.
Inoltre confrontando l'md5 dello stesso file exe scaricato a distanza di poco tempo abbiamo differenti valori, segno della continua modifica del codice malevolo per cercare di renderne difficile l'individuazione da parte degli antivirus.
[ file data ]
* name: ArcadeWorldGame.exe
* size: 159042
* md5.: 751e707c30248c353b7bc78ebf301e36
* sha1: 58488ffc018467f880fa700114fae128b8d9cb76
[ file data ]
* name: ArcadeWorldGame.exe
* size: 159042
* md5.: d066e3d154c7fff9f242650fe38c301c
* sha1: 133a55a7d1909e2274eded507aa7bccce22428ad
Aggiornamento 30 settembre
I domini
tibeam.com
ptowl.com
eqcorn.com
sembrano di nuovo online anche se molto lenti come caricamento della pagina web con malware che al momento e' sempre WorldArcadeGames.
Aggiornamento 3 ottobre
Il file WorldArcadeGames.exe continua ad essere presente sulle pagine del falso sito di giochi arcade raggiungibili questa mattina sul dominio ptowl.com
L'analisi del file sottoposto a VirusTotal da' i seguenti risultati
----------------------------------------------------------------------
[ file data ]
* name: ArcadeWorldGame.exe
* size: 141181
* md5.: adfddf48db61068d726cd35c71e3b413
* sha1: c3e20207ac4a2ffc4b07142748f9a90fe6e8fed4
----------------------------------------------------------------------------------------------------
[ scan result ]
AhnLab-V3 2007.10.3.0/20071002 found nothing
AntiVir 7.6.0.18/20071002 found [Worm/Storm.tvx]
Authentium 4.93.8/20071002 found nothing
Avast 4.7.1043.0/20071002 found nothing
AVG 7.5.0.488/20071002 found [Downloader.Tibs.7.AG]
BitDefender 7.2/20071003 found [Trojan.Downloader.Tibs.GXV]
CAT-QuickHeal 9.00/20071002 found [(Suspicious) - DNAScan]
ClamAV 0.91.2/20071002 found nothing
DrWeb 4.44.0.09170/20071002 found [Trojan.Packed.142]
eSafe 7.0.15.0/20071002 found [Suspicious Trojan/Worm]
eTrust-Vet 31.2.5181/20071002 found nothing
Ewido 4.0/20071002 found nothing
F-Prot 4.3.2.48/20071003 found nothing
F-Secure 6.70.13030.0/20071002 found [Email-Worm.Win32.Zhelatin.jy]
FileAdvisor 1/20071003 found nothing
Fortinet 3.11.0.0/20071002 found [W32/Tibs.JX@mm]
Ikarus T3.1.1.12/20071003 found nothing
Kaspersky 7.0.0.125/20071003 found [Email-Worm.Win32.Zhelatin.jy]
McAfee 5132/20071002 found [Tibs-Packed]
Microsoft 1.2803/20071003 found [TrojanDropper:Win32/Nuwar.gen!avkill]
NOD32v2 2567/20071002 found [Win32/Nuwar.Gen]
Norman 5.80.02/20071002 found [Tibs.gen166]
Panda 9.0.0.4/20071003 found nothing
Prevx1 V2/20071003 found nothing
Rising 19.43.10.00/20071002 found nothing
Sophos 4.22.0/20071003 found nothing
Sunbelt 2.2.907.0/20071002 found nothing
Symantec 10/20071003 found [Trojan.Packed.13]
TheHacker 6.2.6.075/20071001 found nothing
VBA32 3.12.2.4/20071002 found nothing
VirusBuster 4.3.26:9/20071002 found [Trojan.Tibs.Gen!Pac.132]
Webwasher-Gateway 6.0.1/20071002 found [Worm.Storm.tvx]
-----------------------------------------------------------------
Aggiornamento 4 ottobre
Al momento sono tornati online, con la solita pagina web di giochi arcade da scaricare, 4 domini delle rete stormworm botnet e precisamente
wxtaste.com
eqcorn.com
tibeam.com
ptowl.com
Un whois eseguito in loop su tibeam.com tramite uno script Autoit mostra che gli IP dei computers che fanno parte della rete botnet sono sempre sparsi in tutto il mondo con una marcata prevalenza degli USA.
Questo e' il risultato di un whois eseguito per una decina di minuti sul dominio tibeam.com (un whois ogni circa 4 secondi):
per un totale di 159 indirizzi IP (computers) univoci rilevati (gli ip si ripetono ciclicamente)
Si puo vedere come gli IP USA siano nettamente in maggioranza, seguono Polonia, Russia, Inghilterra, Romania, Taiwan. Olanda Francia e altri stati tra cui l'Italia con un solo indirizzo IP su TelecomItaliaS.p.A.TINEASYLITE che si e' ripetuto 4 volte durante la scansione.
Aggiornamento 8 ottobre
Le pagine dei siti ArcadeWorldGames contengono adesso anche un codice javascript offuscato su due livelli.
Qui vedete il sorgente della pagina WorldArcadeGames visualizzato tramite una utility che pubblichero' prossimamente e che permette di visionare i sorgenti , anche leggendo le url o gli IP da una lista salavata su file txt, senza dover aprire il browser.
Ed ecco il primo livello del codice javascript decodificato
che contiene a sua volta un altro codice javascript offuscato.
Edgar
Edgar
giovedì 27 settembre 2007
Ancora server Seeweb con seri problemi malware
Riprendendo quanto apparso sul forum di Hardware Upgrade ho seguito una scansione con il tool webscanner degli indirizzi IP compresi tra 217.64.193.7 e 217.64.193.100 (server Seeweb)
In effetti, come era scritto sul forum alcuni siti risultano molto compromessi sia da javascripts offuscati che dalla presenza al loro interno di link a siti di vendita di falsi medicinale, viagra ecc...
Alcuni presentano un semplice iframe con un indirizzo ip che punta all.IP 69.50.190.xxx (che un whois rileva come appartenente ad InterCage, Inc. (ben noto a tutti quelli che si occupano di malware), mentre altri siti contengono uno o piu' java scripts offuscati che puntano a siti che tentano di scaricare sul pc malware di vario genere tramite exploit.
Per certi siti la quantita' di codice malevolo inserita e' tale che praticamente e' impossibile visualizzare il sito originale ma vengono visualizzati solo i link ai vari siti spazzatura.
Alcuni esempi di schermate di siti compromessi su server Seeweb.
e ancora
dove praticamnete si e' persa ogni traccia del sito originale.
Se osserviamo le date dei files scaricati dal tool webscanner, risultano nella magior parte dei primi giorni di settembre 2007 , cosa che confermerebbe che non si tratta di malware collegato agli attacchi del periodo di maggio... giugno quando Seeweb, Hosting Solution ed altri hoster italiani avevano subito un massiccio attacco da parte di Gromozon.
Edgar
martedì 25 settembre 2007
POSTE ITALIANE... nonostante tutto .......
Nonostante questo , a quanto pare , hanno semplicemente cambiato nazione e stanno riprendendo l'attivita ' di phishing, nei confronti di Poste Italiane.
Questa mattina infatti e' arrivata una mail delle solite, da Poste.it, tra l'altro scritta in un buon italiano.
Cliccando sul link appare la consueta schermata fasulla di login
a cui segue la richiesta dei codici della carta postepay attraverso la falsa schermata di verifica dell'account
Sorpresa sul whois, si sono trasferiti dalle mie parti... , Cambogia, ( il confine con la Cambogia e' abbastanza vicino a dove abito)
Vedremo se siamo all'inizio di una nuova serie di attacchi phishing a poste.it o se e' stato solo un caso isolato.
Una integrazione alla notizia.
Sul sito ufficiale di Poste Italiane e' presente una pagina all'indirizzo
con una serie di utili consigli per evitare di cadere nella trappola dl siti costruiti apposta per ingannare chi li visita (phishing) spacciandosi per siti ufficiali.
Inoltre Maverick in una sua risposta ad un mio commento (sul blog Maipiugromozon)
mi precisa che l'indirizzo 'ip del server 202.131.82.2, a cui si riferisce il falso sito Poste.it , è gia' stato segnalato da Mcafee Site Advisor per truffe finaziarie.
Edgar
sabato 22 settembre 2007
Xputility 1.0
Ad esempio per disattivare il system restore di XP normalmente si utilizza il pannello di controllo e poi il pannello sistema mentre con xputility si puo' raggiungere direttamente il menu di attivazione, disattivazione del system restore.
L'utility e'scaricabile da qui ed e' stata testata su XP Sp2 in inglese ma dovrebbe funzionare anche sulla versione italiana.
Edgar
mercoledì 19 settembre 2007
Aggiornamento Firefox alla versione 2.0.0.7
Fixed in Firefox 2.0.0.7 MFSA 2007-28 Code execution via QuickTime Media-link files
che risolve la vulnerabilita' dell''esecuzione di codice pericoloso via QuickTime (vedi post relativo)
Edgar
lunedì 17 settembre 2007
Cosa e' successo ai siti italiani "hackerati" da Gromozon ?
Come ricorderete un quantita' notevole di siti appartenenti a diversi hoster italiani era stata attaccata con l'inserimento all'interno di una o piu' pagine web , di un javascript offuscato che linkava a una pagina contenente malware.
Tramite il mio tool webscanner ho rifatto la scansione di uno dei numerosi IP appartenente ad un server della societa' fiorentina Hosting Solutions.
Questi sono i risultati del report di luglio:
---------------------------------------------------------
Num. 60 SITES at IP 194.242.61.188 con javascript offuscato
e questo e' il report ottenuto con webscanner adesso
--------------------------------------------------------
Num. 56 SITES at IP 194.242.61.188 con javascript offuscato
Se, come e' probabile, la stessa situazione e' applicabile anche agli altri ranges IP, e penso anche ad altri hoster, ci troviamo nell'esatta situazione di quando i siti erano stati attacati a maggio. Fortunatamente l'IP a cui punta il file javascript offuscato e' inattivo, ma comunque e' raggiungibile e la scansione mostra la presenza di un server funzionante.( l'IP risulta ad un whois come registrato a una societa' di Panama.)
Se, per ipotesi, venisse riattivata la pagina che era presente all'IP a cui faceva puntare lo script offuscato, tutti questi siti ritornerebbero a diffondere malware.
La cosa piu sconcertante e' che ad esempio, nella lunga lista di siti compromessi, a luglio webscanner aveva rilevato un sito appartenente ad un Comune italiano.
Attualmente, il sito di questo comune, continua ad avere online lo script java nelle sue pagine e questo e' ancora piu grave in quanto si tratta di un sito di Ente Pubblico.
Mi pare che ogni commento sia superfluo.
Edgar
sabato 15 settembre 2007
Aggiornamento pagina malware storm worm. (agg. 16 - 17 - 18 - 19 - 20/9)
TUTTI I LINK E INDIRIZZI IP CITATI NEL POST APRONO UNA PAGINA CONTENENTE FILE EXE MALWARE E JAVASCRIPT OFFUSCATO CONTENENTE EXPLOIT POTENZIALMENTE PERICOLOSO SE NON AVEVTE AGGIORNATO WINDOWS CON TUTTE LE PATCH DI SICUREZZA. EVITATE DI APRIRE QUESTI LINK SE NON AVETE PRESO TUTTE LE PRECAUZIONI DEL CASO (ES. FIREFOX CON ESTENSIONE NOSCRIPT ATTIVATA ED ESEGUITO IN SANDBOXIE)
Non avevo neanche finito di scrivere il post riguardo al comando nslookup che la pagina NFL con i risultati sportivi contenente malware (accessibile anche attraverso bnably.com e di cui si parla nel precedente post) e' cambiata .
Ora abbiamo una pagina di giochi arcade molto colorata e devo dire anche un po lenta nel caricamento a causa di molte immagini anche animate.
Il malware contenuto ha cambiato nome ed e' tornato lo javascript offuscato che nel sito NFL precedente non era piu' inserito.
Questo intanto e' uno screenshot del sito.
Riguardo al malware contenuto abbiamo tutte le immagini e tutti i bottoni che linkano al file ArcadeWorld.exe contenente il malware che solo alcuni antivirus individuano.
Nod32, Panda, KAspersky, Fortinet, ClamAV, Prevxl, AVG, BitDefnder, DrWeb, Ewido, FileAdvisor, VirusBuster, VBA32, Rising al momento NON evidenziano il file come pericoloso.
Symantec, Microsoft, Sophos, McAfee, F-prot, F-secure, Avast, Antivir trovano invece un malware anche se molti solo come sospetto.
Per quanto si riferisce al javascript offuscato sembra essere lo stesso gia' presente in altre pagine e cioe' un exploit che sfrutta una falla di sicurezza in versioni non aggiornate del player Microsoft.
Come al solito ci si aspetta adesso una ondata di mail spam che inviterannoa scaricare giochi arcade da questo sito e dagli altri che fanno parte di questo sitema botnet.
La pagina dei falsi giochi arcade al momento e' visibile anche ai seguenti indirizzi, tutti facenti parte della rete botnet fast-flux:
tibeam.com;
kqfloat.com;
qavoter.com;
ptowl.com;
wxtaste.com;
eqcorn.com;
ltbrew.com;
bnably.com;
Una curiosita': avevo citato un esempio di IP di provider italiano (P 88.34.104.3 ) che linkava a una delle pagine del falso sito sportivo NFL; a distanza di qualche giorno l IP e' sempre attivo e visualizza ora la pagina Arcade World.
Probabilmente l'infezione con malware riguarda una macchina che funziona o da sever o che comunque e' costantemente ON, non credo che un pc casalingo rimanga raggiungibile a qualsiasi ora del giorno o della notte e daltronde il whois riporta l'appartenenza ad una srl di Padova.
Aggiornamento 16 settembre
Adesso anche il NOD32 riconosce il malware ma F-prot e F-secure che prima lo riconoscevano adesso non evidenziano nessuna minaccia nel file ArcadeWorld.exe segno che il codice del malware continua ad essere aggiornato con nuove varianti.
Inoltre il checksum restituito da virus total cambia ad ogni download del maware segno che comunque viene variato qualcosa nel file exe ogni volta che si scarica sul pc.
Aggiornamento 17 settembre
Ora 19 antivirus su 32 riconoscono il file .exe presente su ArcadeWorld come pericoloso.
La situazione aggiornata eseguita con VirusTotal il 18 settembre (ore 4.26 Am ora 1taliana) vede ora il NOD32 NON evidenziare piu' come pericoloso il file .exe presente su ArcadeWorld mentre Antivir adesso rileva il malware.
Al momento quindi VBA32, PANDA, Norman, F-Prot, TheHacker, Rising, Prevxl, File Advisor,Ewido, E-trust, Authentium, Ahnlab v3 e NOD32, non riescono a evidenziare la pericoloita' del file eseguibile ArcadeWorld.exe.
Lascia un po perplessi il fatto che NOD32 non riesca a rimanere attivo contro questo pericoloso malware ma continui a variare la risposta tra positiva e negativa molto spesso.
C'e' anche da evidenziare come Panda antivirus che mi pare abbastanza diffuso, in questi giorni non sia mai riuscito a rilevare alcuna minaccia nel file exe, almeno se si prendono per buoni i risultati delle scansioni online fatte con VirusTotal.
Aggiornamento 19 settembre
Rispetto al 18/9 ora anche NOD32 e Norman, ritornano a rilevare il malware, ma Authentium, Ahnlab v3, Ewido, E-trust, File Advisor, PANDA, Rising, Prevxl, TheHacker, VBA32, F-Prot, Ikarus continuano a non evidenziare il file come pericoloso.
Aggiornamento 20 settembre
Nuovamente NOD32 ed altri AV non riconoscono il malware che continua a mutare frequentemente.
Ora solo il 40% degli AV rilevano il pericolo.
ecco la lista:
Aggiornamento 22 settembre
Attualmente i siti della rete botnet riportati nell'elenco presente in questo post non sembrerebbero piu' raggiungibili.
Al momento e' difficle capire se si tratta di un blocco definitivo oppure, come e' gia successo, solo di un momentaneo stop.
Edgar
Un semplice utilizzo di NSLOOKUP
La risoluzione dell'indirizzo IP del sito da visualizzare avviene attraverso una serie di interrogazioni dei server DNS.
DNS (domain name system) è un servizio utilizzato per la risoluzione di nomi di host in indirizzi IP e viceversa. Il servizio è realizzato tramite un database distribuito, costituito dai server DNS che vengono interrogati in successione per trovare ad esempio la corrispondenza tra il nome che digitiamo sul browser e l'IP (indirizzo numerico) del sito.
Attraverso un semplice comando, presente in tutti i sistemi operativi (Linux, Unix, MAC OS X, Windows) chiamato Nslookup, possiamo interrogare i server DNS e visualizzare tutti i vari passaggi descritti precedentemente nello schema single flux, compresa la rotazione degli IP.
Per fare questo proviamo ad interrogare un sito di quelli presenti nella rete botnet fast-flux responsabile della diffusione del worm storm.
ATTENZIONE: se digitate questa url in un browser si apre una pagina che contiene malware ed anche javascripts pericolosi che possono scaricare sul vostro pc malware; evitate quindi di farlo a meno di non avere preso le dovute precauzioni.
Digitiamo della finestra command prompt di XP il seguente testo.(in rosso il testo digitato, in blu la risposta ricevuta da nslookup)
D:\>nslookup
Default Server: resolver1.opendns.com
Address: 208.67.222.222
il default server e' il server dns che stiamo usando in questo momento e varia ad esempio a seconda di come abbiamo impostato il setup della connessione di rete. In questo caso vediamo che l'interrogazione di default e' fatta su un server OPENDNS.
Dato che vogliamo vedere il percorso completo come appare nelle immagini del post su single-flux impostiamo di default il ROOT server.
> root
Default Server: A.ROOT-SERVERS.NET
Address: 198.41.0.4
adesso il server di default che stiamo usando e' l' A.ROOT SERVER (vedi wikipedia per ulteriori dettagli ).
A.ROOT SERVER e' uno 13 root nameserver, i cui nomi hanno tutti la forma lettera.root-servers e che sono le basi della risoluzione dei nomi attraverso DNS.
A questo punto possiamo interrogare questo server per vedere cosa ci restitusce come risposta al nome del sito che vogliamo risolvere.
> bnably.com
Server: A.ROOT-SERVERS.NET
Address: 198.41.0.4
Name: bnably.com
Served by:
- E.GTLD-SERVERS.NET
192.12.94.30
com
- F.GTLD-SERVERS.NET
192.35.51.30
com
- G.GTLD-SERVERS.NET
192.42.93.30
com
- H.GTLD-SERVERS.NET
192.54.112.30
com
- I.GTLD-SERVERS.NET
192.43.172.30
com
- J.GTLD-SERVERS.NET
192.48.79.30
com
- K.GTLD-SERVERS.NET
192.52.178.30
com
- L.GTLD-SERVERS.NET
192.41.162.30
com
- M.GTLD-SERVERS.NET
com
- A.GTLD-SERVERS.NET
192.5.6.30
com
A ROOT SERVER ci ha restituito una lunga lista di nomi di servers che a loro volta conoscono gli indirizzi di altri server che sanno come risolvere bnably.com
Questi server, come si vede, si occupano di domini .com e allora impostiamo uno di questi come default con il seguente comando server seguito da un IP di quelli in elenco (es. 192.41.162.30 )
> server 192.41.162.30
192.in-addr.arpa nameserver = figwort.ARIN.NET
192.in-addr.arpa nameserver = chia.ARIN.NET
192.in-addr.arpa nameserver = dill.ARIN.NET
192.in-addr.arpa nameserver = BASIL.ARIN.NET
192.in-addr.arpa nameserver = henna.ARIN.NET
192.in-addr.arpa nameserver = indigo.ARIN.NET
192.in-addr.arpa nameserver = epazote.ARIN.NET
Default Server: [192.41.162.30]
Address: 192.41.162.30
adesso il server che usiamo e' quello all ip 192.41.162.30 e possiamo procede ad interrogarlo con il nome de sito.
Vediamo cosa conosce al riguardo del sito bnably.com.
Digitiamolo nuovamente.
> bnably.com
Server: [192.41.162.30]
Address: 192.41.162.30
Name: bnably.com
Served by:
- ns10.bnably.com
77.197.44.76
bnably.com
- ns11.bnably.com
209.30.158.167
bnably.com
- ns12.bnably.com
72.40.18.87
bnably.com
- ns13.bnably.com
74.71.79.115
bnably.com
- ns2.bnably.com
75.39.129.64
bnably.com
- ns3.bnably.com
121.247.204.148
bnably.com
- ns4.bnably.com
87.206.196.165
bnably.com
- ns5.bnably.com
97.81.53.248
bnably.com
- ns6.bnably.com
74.73.209.16
bnably.com
- ns7.bnably.com
68.47.243.53
bnably.com
La riposta e' un lungo elenco di name servers che ci permetteranno finalmente di risalire all'IP del sito che vogliamo visualizzare.
Impostiamone uno di default per poterlo interrogare
> server 72.40.18.87
Default Server: [72.40.18.87]
Address: 72.40.18.87
e nuovamente digitiamo il nome del sito
> bnably.com
Server: [72.40.18.87]
Address: 72.40.18.87
Name: bnably.com
Address: 76.223.90.20
abbiamo risolto il nome del sito che corrisponde all'IP Address: 76.223.90.20 interrogando uno dei name server della lista.
Ma ora succede una cosa particolare
Proviamo ad interrogarlo ancora un po di volte
> bnably.com
Server: [72.40.18.87]
Address: 72.40.18.87
Name: bnably.com
Address: 75.47.201.158
> bnably.com
Server: [72.40.18.87]
Address: 72.40.18.87
Name: bnably.com
Address: 69.148.48.29
Come vediamo gli IP cambiano in continuazione, ci troviamo di fronte ad una tipologia fast flux
Con quale velocita' cambiano ?
Nslookup ci aiuta a capirlo poiche' puo' visualizzare piu' informazioni
Settiamolo in madalita' DEBUG.
> set debug
ed ora ripetiamo l'interrogazione
> bnably.com
Server: [72.40.18.87]
Address: 72.40.18.87
------------
Got answer:
HEADER:
opcode = QUERY, id = 12, rcode = NOERROR
header flags: response, auth. answer, want recursion
questions = 1, answers = 1, authority records = 0, additional = 0
QUESTIONS:
bnably.com, type = A, class = IN
ANSWERS:
-> bnably.com
internet address = 204.210.227.247
ttl = 0 (0 secs)
Notate la voce ttl (time to live) che e' posta uguale a zero.
Questo significa che il tempo di vita dello specifico IP associato al nome nella cache DNS e' zero secondi e quindi cambia subito ad ogni nuova interrogazione.
Se fossimo in presenza di una tipologia di rete double fast flux anche gli IP dei server NS 1 ...NS 2 ecc cambierebbero , non cosi velocemente ma comunque dopo qualche ora,
Digitiamo exit per uscire da NSLOOKUP
Abbiamo visto come e' possibile semplicemente seguire il percorso di una ricerca dns, utilizzando un comando presente di default in XP.
Fortunatamente quando usiamo il browser per conneterci ad un sito tutti questi passaggi sono automatici ed eseguiti in maniera trasparente dal notro pc senza che noi ce ne accorgiamo.
Edgar
venerdì 14 settembre 2007
Stormworm Fast Flux ritorna in funzione.
La pagina visualizzata e sempre riferita alla NFL americana ma adesso il file che viene scaricato ha cambiato nome da tracker.exe a NFLSeasonTracker.exe.
Come si poteva pensare il nuovo exe, sottoposto al controllo multiplo degli antivirus di Virus Total, non e' riconosciuto da molti antivirus e questa volta nell'elenco delle risposte negative spicca anche il NOD32 che, per ora, non scopre il pericoloso file.
Edgar
giovedì 13 settembre 2007
Ci sarebbe un problema di sicurezza su Firefox usando QuickTime
Usando un formato modificato di media file QuickTime l'aggressore potrebbe eseguire un javascript in Firefox oppure lanciare un programma.
Cio' dipenderebbe da come il plugin QuickTime di Firefox tratta i files .QTL (QuickTime links file).
Perche' l exploit funzioni bisogna che sia installato QuickTime ( anche QuickTime alternative sembra che abbia questo problema) e che Firefox sia il browser di default.
Sembra che l'uso dell' addon NOSCRIPT proteggerebbe dall'esecuzione dell exploit.
Soluzioni al problema: usare di default un altro browser, disinstallare QuickTime attendendo la patch Apple oppure attivare NOSCRIPT su Firefox (cosa che consiglio vivamente di fare anche perche' e' comunque' utile nel bloccare qualsiasi altro script java pericoloso).
Maggiori dettagli su http://www.heise-security.co.uk/news/95927
Edgar
Schema di funzionamento di rete botnet con tecnica Double-Flux.
Questo post non presenta immagini in quanto cancellate da account Google per motivi di spazio disco.Una copia integrale del post comprensiva delle immagini la trovate QUI
Precedentemente abbiamo visto uno schema semplificato che illustrava il funzionamento di una rete botnet in tipologia Single-Flux.
Honeynet Project individua anche una tipologia piu' complessa chiamata Double-Flux che prevede un doppio livello di cambio a rotazione degli IP utilizzando i pc infetti della rete botnet sia come server web che come server dns.
Proviamo, ad esempio, a vedere cosa succede se un utente di internet dal proprio pc casalingo clicca su un link che ci connette ad un ipotetico sito di nome www.pippo.com.
Sul disegno abbiamo una sequenza numerata di steps con i diversi passaggi che, come nello schema Single-Flux, inizia dalla consultazione del server DNS ROOT.
La differenza con Single-Flux la vediamo al momento di andare a consultare l'Hosted DNS Server che adesso non e' piu' un server reale ma e' costituito da pc zombies della rete botnet.
Questi pc della rete botnet devono, per poter risolvere l'ip del sito, a loro volta consultare il server principale (MotherShip) che adesso oltre a eseguire il controllo della rete botenet ed es. a contenere le pagine web da inviare, deve anche fare la funzione di DNS server. Una volta interrogato "MotherShip" restituisce al pc botnet l'ip che a sua volta verra' passato all'home pc.
A questo punto, i seguenti steps sono gli stessi dello schema single flux.
La differenza con single-flux e' che ora abbiamo due diversi tipi di pc botnet, uno che funziona da collegamento al DNS server e uno da collegamento al WEB server del computer 'mothership'
La rotazione degli IP in questo caso avviene su due livelli, vengono fatti ruotare sia gli IP relativi ai computer botnet usati come per il collegamento al server web ( i tempi possono essere di qualche minuto) e vengono anche ciclati gli ip dei computers che fungono da DNS server (qui i tempi sono piu' alti , qualche ora, anche perche' non e' facilissimo andare a modificare in continuazione le tabelle degli Ip nei TOP LEVEL SERVER)
In seguito vedremo come utilizzare un semplice comando, presente in tutti i sistemi operativi (Linux, Unix, MAC OS X, Windows) chiamato Nslookup, per interrogare i server DNS collegati ad un sito e vedere, con un esempio reale, tutti i vari passaggi descritti nello schema, compresa la rotazione degli IP.
Edgar
mercoledì 12 settembre 2007
Schema di funzionamento di rete botnet con tecnica Single-Flux.
Visto che pare non esistano in rete schemi semplificati, che descrivono questa tipologia di rete in lingua italiana, ho disegnato con Open Office Draw (versione portable) (che consiglio vivamente in alternativa a programmi commerciali ) questo piccolo schema che visualizza, con le dovute semplificazioni , il funzionamento di botnet con fast-flux.
Lo schema “Single Flux” e' scaricabile anche in formato PDF da qui.
Proviamo esempio a vedere cosa succede se un utente di internet dal proprio pc casalingo clicca su un link che ci connette ad un ipotetico sito di nome www.pippo.com
Sul disegno abbiamo una sequenza numerata di steps con i diversi passaggi che iniziando dalla consultazione del server DNS ROOT ci portano fino alla connessione con uno dei pc della rete botnet e di qui al computer che abbiamo chaimato 'MotherShip' (nome che ci ricorda l'stronave madre dei film di fantascienza...) per evidenziare che e' il responsabile del controllo della rete botnet con relativa distribuzione di malware, attacchi informatici ecc....
Nello schema non si entra nel dettaglio della rotazione degli IP che sono restituiti dall' HOSTED DNS SERVER che implementano la tecnica Fast-Flux ma che vedremo in seguito.
Rimane da fare una considerazione circa questo server che contiene la risoluzione dei nomi dei computers della rete bootnet (nel disegno HOSTED DNS SERVER) spesso anche chiamato "Bullet Proof Domain" (server DNS a prova di proiettile....) ossia un server DNS che non possa essere facilmente identificato, chiuso, e comunque garantisca l'anonimato a chi lo ha attivato.
Esistono hosters specialmente in paesi come Cina, Korea, Brasile .... che garantiscono una registrazione anonima a domini .com .net ecc... e senza chiedere grandi importi di denaro e che si pubblicizzano anche in rete (vedi immagine).
Edgar
martedì 11 settembre 2007
Un worm si diffonde attraverso il messenger di Skype.
Attivando il link, invece si scarica un file .scr, che se cliccato, installa sul computer un worm che FSecure chiama W32/Skipi.A. mentre Symantec chiama W32.Pykspa.D.
Questa e' una schermata di esempio tratta dal blog http://blog.spywareguide.com.
Il worm una volta installatosi sul pc per prima cosa cerca di visualizzare una immagine che di solito e' contenuta di default nel nel folder di installazione di windows (Soap Bubbles.bmp)
facendosi quindi passare quindi per un reale file immagine.
Inoltre cerca di chiudere i softwares di sicurezza che stanno funzionando sul pc colpito e per prevenirne gli aggiornamenti modifica il file host di windows.
Poi attraverso la lista contatti di Skype si autoinvia agli altri utenti Skype modificando la lingua usata nel messaggio inviato in funzione dei setting del client Skype.
Questo , oltre al fatto che il falso messaggio simula proprio una sessione di chat di Skype e non si limita all'invio del solo link, puo' trarre facilmente in inganno.
I principali produttori di antivirus hanno aggiornato o stanno aggiornando i programmi di rimozione del malware.
Edgar
Un altro esempio di tecnica Fast-Flux
Come abbiamo visto, una tecnica molto usata e' quella di utilizzare la rete botnet ruotando gli indirizzi DNS delle macchine infette (tecnica FAST-FLUX).
L utilizzo di Fast-flux pero' non e' solo limitato alla diffusione di malware (che a sua volta genera nuovi computers infetti) ma Fast Flux e' anche utilizzato per supportare siti di spam che propongono ad esempio acquisto di medicinali di vario genere o contenuti per adulti.
Vediamo un esempio pratico.
Su internet si trovano parecchi falsi siti cosiddetti di 'Pharmacy" che reclamizzano vendite di falsi medicinali e che si pubblicizzano attraverso mails di spam.
Uno di questi e' rxpillsoffice.com registrato a HONG KONG.
Questa tabella, ottenuta temporizzando un whois attraverso un piccolo script autoit ci mostra come varia l IP del sito rxpillsoffice.com nel tempo.
A differenza della situazione riportata nel post riguardo ai siti con malware come esempio storm dove l'ip cambiava rapidamente,( pochi secondi) in questo caso vediamo che l intervallo prima di un cambio IP e' di circa 5 minuti e gli ip che ciclano nell intervallo di tempo sono abbastanza pochi.(quasi tutti gli ip si ripetono )
lunedì 10 settembre 2007
Nuova pagina malware.
Questo e' lo screenshot andando a visitare il sito.
Questa volta non sono presenti javascript ma solamente un gran numero di links che fanno tutti scaricare un file denominato TRACKER.EXE contenente malware.
Anche in questo caso l'IP della pagina sembra cambiare molto spesso, come riporta un blog USA.
Il file tracker.exe viene al momento (6 AM in Italia) rilevato solo dal 37% degli antivirus (non indicano la presenza di malware questa volta nod32, panda, prevx, mcafee ... come da lista ottenuta con Virustotal).
C'e' inoltre da rilevare che, differentemente da altre volte, questo sito ha contenuti prevalentemente rivolti agli utenti internet USA.
In ogni caso la diffusione di queste pagine con malware si serve di computers locati anche in Italia.
Ad esempio all'indirizzo IP 88.34.104.3 , che un whois ci fa vedere che corrisponde a provider italiano ed e' utilizzato da societa' italiana , e' presente un 'unique storm server IP' tuttora attivo che ci connette al sito sportivo contenente il malware tracker.exe.
Edgar
domenica 9 settembre 2007
Aggiornamento siti malware.
Un whois del sito fatto sul sito ARIN (American Registry for Internet Numbers ) comunque adesso da' snbane.com inesistente.
Edgar
venerdì 7 settembre 2007
Nuovo cambio di pagina web su snbane.com
Ora siamo tornati al falso filmato youtube con l'immagine di un falso player che se cliccato scarica il file malware movie.exe.
Inoltre e' sempre presente il file javascript offuscato con exploit per Microsoft video player.
La situazione antivirus e' leggermente migliorata poiche' quasi il 66% del software antivirus rileva il file movie.exe come malware. Purtroppo alcuni antivirus (Panda, Avast, ClamAV, Microsoft .. non rilevano la minaccia)
Aggiornamento 08 settembre
Facendo un po di letture del sito snbane.com , nell'orario corrispondente alle 19 in Europa, il grafico degli IP restituiti dal sito, suddivisi per nazione , mostra una maggiore presenza di stati europei rispetto al grafico precendentemente calcolato quando erano le 6 del mattino in Europa.
Questo potrebbe essere dovuto ad un maggiore utilizzo di personal computers anche in ambiente domestico a quell'ora in Europa e quindi alla maggiore presenza in rete di pc infetti che verrebbero utilizzati per gestire la distribuzione di malware.
NB. il numero corrisponde a quanti indirizzi IP letti appartengono alla nazione indicata in tabella ma non necessariamente al numero totale di pc in uso in quanto, a volte, scansionando la pagina, rileviamo un IP uguale ad uno gia' letto in precedenza per quella nazione.
Es. se abbiamo il numero 11 per l'Italia vuole dire che durante la scansione di snbane.com in quel periodo di tempo per 11 volte la pagina aveva un indirizzo proveniente dall'Italia
In realta' l'indirizzo IP poteva essere sempre lo stesso per piu' letture a distanza di tempo; quindi i computers italiani infetti in rete attivi in quel momento per la diffusione della pagina snbane.com potevano essere in numero minore di 11.
Una soluzione a questo problema, dato che la lista ottenuta con lo script Autoit, contiene anche il corrispondente l'indirizzo IP , potrebbe essere quella di eliminare dall'elenco IP ripetuti evitando quindi di conteggiare piu' volte lo stesso IP per la medesima nazione.
Un'altra particolarita': se a distanza di tempo, anche un giorno, si prova ad aprire un IP di quelli in lista, spesso risulta ancora attivo riportandoci sul sito snbane.com. questo succede piu' spesso con IP sulla lista di origine USA , ho provato con IP Italiani e l'indirizzo IP non visualizzava il sito.
Comuque, per curiosita', ecco una parte del log restituito dallo script Autoit che esgue l'acquisizione dell'indirizzo del sito ad intevalli regolari:
-----------------------------------------------------------------------------------------
6$07$RIPENCC$87.10.45.131$Italy$TELECOM-ADSL-7$
TelecomItaliaS.p.A.TINEASYLITE$87.0.0.0$87.15.255.255$
Yes$BBBEASYIPSTAFF$ViaValCannuta,250,I-00100Roma,Italy$
ripe-staff@telecomitalia.itAbuse$$TEL+390636881$FAX
7$07$ARIN$98.195.43.214$USA-NewJersey$HOUSTON-3
$ComcastCableCommunications,Inc.$98.194.0.0$98.195.255.255$
Yes$ComcastCableCommunications,Inc.$1800BishopsGateBlvd,MtLaurel$
CNIPEO-Ip-registration@cable.comcast.comAbuse$abuse@comcast.net$TEL+1-856-317-7272$FAX
8$07$RIPENCC$86.2.122.33$UnitedKingdom$NTL
$NTLInfrastructure-Oxford$86.2.112.0$86.2.127.255$
Yes$NTLINetworkManagementCentre$NTLInternet,CrawleyCourt,Winchester,Hampshire.......
-----------------------------------------------------------------------------------------------
In sequenza abbiamo : numero progressivo scansione, time (solo ora), source whois, indirizzo IP , nazione , provider, range ip assegnati al provider e dati relativi al provider (indirizzo, tel fax ecc....) Il simbolo del dollaro viene aggiunto dallo script per separare i diversi campi e renderne facile l''import esempio in excel.
Come si vede ho fatto salvare su file, allo script Autoit, piu info di quante in realta' ne servano per una statistica di provenienza degli IP poiche in effetti serve solo conoscere la nazionalita' , l'IP e al limte l'ora della lettura dell'IP.
Aggiornamenti malware via Fast-Flux e statistiche
Adesso il file TOR.EXE presente nelle pagine collegate alla rete FAST-FLUX e' rionosciuto come malware dal 53% dei software antivirus presente nella lista di Virus Total. (tra quelli che ancora non lo riconoscono abbiamo Microsoft... Avast ... Panda ecc....)
Da notare che sia Kasperski che F.Secure identificano il malware come Email.Worm win 32 Zhelatin.ir, probabilmente una variante di quello gia' noto per i precedenti attacchi via e-mail.
E come avevo preannunciato nel precedente post puntualmente sta iniziando ad arrivare la mail con l'iinvito a scaricare TOR.
Tramite un piccolo script in AUTOIT ho cercato di vedere se si poteva risalire all'origine dei computers che fungono da tramite per la distribuzione delle pagine webs contenenti in malware.
Un primo risultato (sempre che sia attendibile verificare come cambia l IP del sito con malware in un loop di letture) e questo grafico, relativo al dominio snbane.com che mostra il numero degli ip rilevati suddivisi per nazione interrogando ripetutamente la pagina web contenente malware.
A mio avviso e' anche importatante rilevare che al momento della scansione l'orario corrispondeva ad un intervallo dalle 5 alle 6 AM in Europa e quindi sara' interessante vedere in ore diverse se il numero degli ip europei connessi alla pagina web cambiera' con la presumibile accensione di piu' pc nell vecchio continente.
La tabella qui sotto riporta il numero degli ip sempre suddivisi per nazione a cui faceva riferimento snbane.com nell'arco delle 300 scansioni.
Sembra che , sempre considerando attendibile lo script, in USA i computers compromessi dal malware siano parecchi.
work in progress .............
Edgar
giovedì 6 settembre 2007
Fast-Flux Service Networks (aggiornamento)
Un botnet computer e' un pc che infettato da un malware viene costretto a fare parte di una rete di computers che rispondono ai comandi dell'aggressore che puo' utilizzare il pc per inviare spam o per attacchi DoS siti web ...ecc..
In pratica l'indirizzo IP a cui si connetterebbe il browser varia, per la medesima URL, esempio ogni tre minuti collegandoci ad un differente computer che fa parte della rete botnet.
A questo punto risulta diffcile risalire al server principale che diffonde l'infezione e inoltre il fatto di cambiare continuamente l'IP consente all'aggressore di avere sempre un numero notevole di computers 'zombies' attivi o pronti all'utilizzo.
Esistono due tipologie di rete FAst-Flux, una denominata da Honeynet Project come Single Flux ed una Double-Flux che utilizza una piu' complessa tecnica aggiungendo un doppio livello di cambiamento degli indirizzi IP.
Un esempio di questi attacchi che sfruttano FAST-FLUX lo abbiamo con il worm Storm che continua a diffondersi in vari modi tra cui il recente tentativo di propagarsi via falsi filmati di YouTube anche su blogger.
Il problema e' serio in quanto la diffusione del worm e' molto elevata e i computers attualmente infetti che fanno perte della rete botnet potrebbero essere secondo alcuni ricercatori vicini ai due milioni di unita'
Chi controla questa rete potrebbe non solo diffondere e-mails di spam ma anche lanciare attacchi DoS a siti web anche a livello di istituzioni pubbliche di interi paesi.
Un esempio pratico di questa tecnica di cambio continuo di IP address lo si puo vedere andando a calcolare l'indirizzo IP e il relativo Whois di un dominio appartenente alla rete gestita con il sistema FAST FLUX e la cui URL ci visualizza questa pagina contente un javascript offuscato che scarica il relativo trojan.
L'IP in questione cambia in continuazione come si puo vedere facendo un ping del'url della pagina web.
ed il riferimento al paese di origine fatto con un whois sull'IP risulta quindi variabile come nazionalita' con un forte predominio di IP riferiti agli Stati Uniti seguiti dalla Bulgaria
Cio' trova conferma anche in una statistica pubblicata dal Google security blog dove compare una mappa della distribuzione mondiale dei server malware.
Per quanto si riferische al dominio della pagina con la falsa e-card non c'e' da meravigliarsi che sia registrato a nome di Estdomains, sinonimo di malware, spam ecc...
Aggiornamento
Come mi segnala, nei commenti a questo post gmg, che ringrazio, adesso alle url di cui sopra e' visibile una pagina web con le info su TOR e l'invito a scaricarlo.
Analizziamo in dettaglio il contenuto della pagina:
Il bottone DOWNLOAD TOR attiva il download di un file denominato TOR.EXE che analizzato con Virus Total viene riconosciuto come file pericoloso SOLO!!!! dal 37% dei software antivirus !!!
Tanto per fare qualche esempio Kaspersky, Panda, F prot. Microsoft.... al momento non riconoscono il file come pericoloso.
Il virus in questione sembra essere riconosciuto come Tibs.gen134 ma non c'e' al momento una definizione univoca da parte dei software che lo individuano.Si tratta probabilmente di una nuova variante.
Inoltre nella pagina e' presente uno script offuscato che sfrutterebbe una vulnerabilita' Windows Media Player Plug-In EMBED Overflow Exploit (MS06-006) cioe' uti;izzerebbe una vulnerabilita del media player Microsoft quando non aggiornato con le necessarie patch.
A questo punto forse,visto il cambio di argomento delle pagine da e-card a descrizione di TOR, si puo pensare che da ora incominceranno ad arrivare mails con l'invito a provare TOR per navigare in tutta sicurezza............ (ed in effetti e' successo ...vedi aggiornamenti )
Edgar