giovedì 6 settembre 2007

Fast-Flux Service Networks (aggiornamento)

The Honeynet Project pubblica un interessante documento (sia in formato PDF che html) che spiega il funzionamento della tecnica FAST-FLUX per creare un sistema di diffusione malware con elevata possibilta' di occultamento dei server che contengono i codici malevoli.
La tecnica Fast Flux e' quella di cambiare continuamente, ad intervalli di tempo molto brevi, (sino a qualche minuto) gli indirizzi Ip relativi ai computer infetti 'botnet zombie home PC' che servono da tramite per la diffusione del malware.
Un botnet computer e' un pc che infettato da un malware viene costretto a fare parte di una rete di computers che rispondono ai comandi dell'aggressore che puo' utilizzare il pc per inviare spam o per attacchi DoS siti web ...ecc..
In pratica l'indirizzo IP a cui si connetterebbe il browser varia, per la medesima URL, esempio ogni tre minuti collegandoci ad un differente computer che fa parte della rete botnet.
A questo punto risulta diffcile risalire al server principale che diffonde l'infezione e inoltre il fatto di cambiare continuamente l'IP consente all'aggressore di avere sempre un numero notevole di computers 'zombies' attivi o pronti all'utilizzo.
Esistono due tipologie di rete FAst-Flux, una denominata da Honeynet Project come Single Flux ed una Double-Flux che utilizza una piu' complessa tecnica aggiungendo un doppio livello di cambiamento degli indirizzi IP.
Un esempio di questi attacchi che sfruttano FAST-FLUX lo abbiamo con il worm Storm che continua a diffondersi in vari modi tra cui il recente tentativo di propagarsi via falsi filmati di YouTube anche su blogger.
Il problema e' serio in quanto la diffusione del worm e' molto elevata e i computers attualmente infetti che fanno perte della rete botnet potrebbero essere secondo alcuni ricercatori vicini ai due milioni di unita'
Chi controla questa rete potrebbe non solo diffondere e-mails di spam ma anche lanciare attacchi DoS a siti web anche a livello di istituzioni pubbliche di interi paesi.

Un esempio pratico di questa tecnica di cambio continuo di IP address lo si puo vedere andando a calcolare l'indirizzo IP e il relativo Whois di un dominio appartenente alla rete gestita con il sistema FAST FLUX e la cui URL ci visualizza questa pagina contente un javascript offuscato che scarica il relativo trojan.

Il disegno dovrebbe essere parte di una falsa e-card di auguri che si viene invitati a scaricare tramite una e-mail. Cliccando sull'immagine si attiva un javascript offuscato che scarica sul pc un file eseguibile contenente malware.

L'IP in questione cambia in continuazione come si puo vedere facendo un ping del'url della pagina web.


ed il riferimento al paese di origine fatto con un whois sull'IP risulta quindi variabile come nazionalita' con un forte predominio di IP riferiti agli Stati Uniti seguiti dalla Bulgaria
Cio' trova conferma anche in una statistica pubblicata dal Google security blog dove compare una mappa della distribuzione mondiale dei server malware.

Per quanto si riferische al dominio della pagina con la falsa e-card non c'e' da meravigliarsi che sia registrato a nome di Estdomains, sinonimo di malware, spam ecc...


Aggiornamento

Come mi segnala, nei commenti a questo post gmg, che ringrazio, adesso alle url di cui sopra e' visibile una pagina web con le info su TOR e l'invito a scaricarlo.


Analizziamo in dettaglio il contenuto della pagina:
Il bottone DOWNLOAD TOR attiva il download di un file denominato TOR.EXE che analizzato con Virus Total viene riconosciuto come file pericoloso SOLO!!!! dal 37% dei software antivirus !!!

Tanto per fare qualche esempio Kaspersky, Panda, F prot. Microsoft.... al momento non riconoscono il file come pericoloso.
Il virus in questione sembra essere riconosciuto come Tibs.gen134 ma non c'e' al momento una definizione univoca da parte dei software che lo individuano.Si tratta probabilmente di una nuova variante.

Inoltre nella pagina e' presente uno script offuscato che sfrutterebbe una vulnerabilita' Windows Media Player Plug-In EMBED Overflow Exploit (MS06-006) cioe' uti;izzerebbe una vulnerabilita del media player Microsoft quando non aggiornato con le necessarie patch.


A questo punto forse,visto il cambio di argomento delle pagine da e-card a descrizione di TOR, si puo pensare che da ora incominceranno ad arrivare mails con l'invito a provare TOR per navigare in tutta sicurezza............ (ed in effetti e' successo ...vedi aggiornamenti )

Edgar

3 commenti:

Sbronzo di Riace ha detto...

Sono proprio dei simpaticoni.

Che gli venisse un accidenti.

GmG ha detto...

Ora simulano un sito da dove si può scaricare TOR
Tor: anonymity online
hxxp://tibeam.com/

lucass ha detto...

Quando l'ho scaricato io, il file veniva riconosciuto anche da altri per esempio, panda lo riconosceva come generic malware, probabilmente, il file aggiornato ogni tot di tempo, è una caratteristica di questo malware.

Ciao