martedì 31 marzo 2009

Aggiornamenti 31 marzo 2009

Waledac Botnet:
Sempre basso il riconoscimento del file eseguibile malware distribuito dalle pagine Waledac botnet che continuano a proporre la falsa notizia dell'Agenzia Reuters di un attentato terroristico.

Come si vede e' sempre presente la geo localizzazione in base all'IP di provenienza del 'visitatore' della pagina di false news, cosa che permette di personalizzare la notizia (qui vediamo come appare la pagina caricandola utilizzando una connessione a proxy locato in Italia).
Non sembra essere invece piu' presente , almeno al momento l'iframe con link ad altra pagina.
Per quanto si riferisce ad una scansione online con VT questo e' il risultato attuale:


Forum .IT con falsi post e links malware:

Continua la presenza massiccia di falsi post su forums .IT che al momento linkano anche a falso player che distribuisce malware sotto forma eseguibile e che VT riconosce come

Sempre molto bassa la percentuale di software che evidenzia la minaccia.

Siti che propongono links a pagine che redirigono su malware:

Questo sito italiano che propone annunci di ricerca personale sembra non essere esente dalla pratica dell'inserimento di links che a sua volta puntano alle solite pagine di distribuzione di malware (soto forma di falsi codecs, player flash, ecc.....).

Questa la home page degli annunci dove si notano due recenti inserimenti (data odierna)

che in dettaglio
propongono links a pagine che, a loro volta, redirigono su malware, falsi AV ecc...

Edgar

lunedì 30 marzo 2009

GhostNet botnet, cyber spionaggio su vasta scala

In questi giorni sono apparsi numerosi articoli in rete al riguardo della botnet GhostNet, che si distingue non tanto per il numero di PC compromessi ma perche' quasi tutte le macchine colpite sarebbero utilizzate da enti governativi di svariati paesi o dagli uffici del Dalai Lama tibetano in esilio
In pratica una sorta di operazione di cyber spionaggio su vasta scala i cui dettagli possiamo scoprire sul documento che riporta i risultati ottenuti da ricercatori canadesi
Qui un link al testo del report

Il report presenta il risultato di ricerche durate parecchi mesi e che erano iniziate per una analisi di possibili azioni di hacking hai danni di computers appartenenti alla comunita' tibetana in esilio, ma il cui risultato finale e' stato la scoperta di una piu' ampia rete di computer compromessi che e' stata denominata GhostNet.

Si tratta a tutti gli effetti di una rete botnet che ci ricorda, come funzionamento le note e diffuse botnet, come ad esempio la Waledac, (uso di mails con allegato file malware)

ma che questa volta, pur avendo ridotte dimensioni, si distingue per gli attacchi mirati a specifici computers con contenuti definiti dai ricercatori come “with a high degree of confidence” ossia contenenti dati riservati e confidenziali.

L'indagine eseguita da ricercatori di Ottawa del SecDev Group e del Munk Centre for International Studies dell'University of Toronto ha portato alla luce un numero di almeno 1.295 computer, molti appartenenti a ambasciate, ministeri degli Affari esteri e di altri uffici governativi, cosi' come alcuni appartenenti agli uffici del Dalai Lama tibetano in esilio (in India, Bruxelles, Londra e New York).

Significantly, close to 30% of the infected computers can be considered high-value and include the ministries of foreign affairs of Iran, Bangladesh, Latvia, Indonesia, Philippines, Brunei, Barbados and Bhutan; embassies of India, South Korea, Indonesia, Romania, Cyprus, Malta, Thailand, Taiwan, Portugal, Germany and Pakistan; the ASEAN (Association of Southeast Asian Nations) Secretariat, SAARC (South Asian Association for Regional Cooperation), and the Asian Development Bank; news organizations; and an unclassified computer located at NATO headquarters.

Come si legge, altri computer compromessi sono stati scoperti presso le ambasciate di India, Corea del Sud, Indonesia, Romania, Cipro, Malta, Thailandia, Taiwan, Portogallo, Germania e Pakistan.

Tra i vari computer compromessi risultano ad esempio quelli appartenenti alle Embassy of India, Italy e Embassy of Malaysia, Italy. , come si puo' vedere dal report delle macchine colpite, presente sul documento.



E' chiaro che attraverso un sistema del genere , e con uno sforzo minimo, chi vuole disporre di informazioni riservate, puo' trovare una fonte di dati aggiornata, esaminando sia i contenuti dei pc compromessi nella botnet ma anche,e come pare sia successo, tenendo sotto controllo il traffico di dati generato ad esempio da una chat attiva sul pc sotto sorveglianza...

Ecco quanto scritto sul report al riguardo di un fatto accaduto nel periodo delle indagini sulla botnet

........................................Durante il corso della nostra ricerca, siamo stati informati di quanto segue.
Un membro del Drewla (progetto correlato ad attivita' di propaganda sul Tibet), una giovane donna, ha deciso di tornare al suo villaggio, in famiglia in Tibet dopo aver lavorato per due anni per Drewla.
Arrestata al confine nepalese-tibetano per un provvedimento di fermo e tenuta in isolamento per due mesi e' stata interrogata sulla sua occupazione a Dharamsala.
Ha negato di essere stata politicamente attiva ed ha insistito sul fatto che lei si era recata a Dharamsala per gli studi.
In risposta a cio', i funzionari dell'intelligence gli hanno mostrato un fascicolo con trascrizioni della sua chat Internet ........
In seguito e' stata rilasciata ed e' tornata al suo villaggio..........

Per quanto si riferisce all'attribuzione di chi controlli realmente la botnet, anche se ad esempio il caso precedente farebbe pensare ad una origine cinese dei controllori della rete GhostNet, bisogna pero' evidenziare che non ci sono prove concrete che sia cosi'.

Una possibile spiegazione potrebbe essere anche quella di un singolo individuo o un insieme di individui (reti criminali) che hanno organizzato questo sistema per attuare il furto di informazioni finanziarie o confidenziali poi vendute ai clienti, che, non e' da escludere potrebbero anche appartenere ad intelligence di singoli stati.
Inoltre vi sono innumerevoli esempi di frodi su larga scala e di furto di dati in tutto il mondo e non si puo' scartare le iniziative autonome di hackers che attuino questi attacchi come 'sostegno' al proprio paese.

In ogni caso il potenziale di ricaduta politica e' enorme specie in riferimento alla tipologia dei siti colpiti e questo studio prova che la sicurezza delle informazioni e' un punto che richiede urgente attenzione ai piu' alti livelli.

Edgar

Alcuni riferimenti a GhostNet

http://www.f-secure.com/weblog/archives/00001637.html

http://www.nytimes.com/2009/03/29/technology/29spy.html

http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-746.pdf

sabato 28 marzo 2009

Ancora falsi utenti Moodle per diffondere links a siti pericolosi

Nonostante gli aggiornamenti di sicurezza presenti sul sito ufficiale Moodle ed anche alcune facili misure da prendere per evitare il problema della compromissione e dell'utilizzo del sito di e-learning per distribuire links a malware, falsi Av, siti di pharmacy o comunque pagine poco attendibili, sembra che la situazione sia sempre la stessa.

In particolare, per quanto si riferisce a siti Moodle .IT c'e' da rilevare ancora oggi la presenza in rete di 'aggiornamenti' quotidiani con links, questa volta abbastanza pericolosi.

Vediamo alcuni casi:

Questa la pagina Moodle, aggiornata il 25 marzo

con inserite sia immagini cliccabili di natura porno che links che puntano , tramite sito intermedio, al solito e conosciuto clone di Yotube che distribuisce file eseguibile malware sotto forma di falso setup di player flash.

Il medesimo sito Moodle presenta inoltre un ulteriore aggiornamento in data di ieri, che questa volta invece linka a siti casino online, ecc...

Questa invece la pagina Moodle di falso utente che , tramite un player simulato, e numerosi links, punta direttamente a pagina che tenta di far scaricare un eseguibile sotto forma di install.

Come vediamo, in questo report riassuntivo

entrambi i files exe sono hostati su server in paese Est Europeo , e su range gia' noto ed utilizzato per ospitare files e pagine pericolose.
Inoltre da una analisi VT vediamo che specialmente il falso player presenta scarso riconoscimento del file malevolo.

Tra l'altro sembra che forse le vulnerabilita Moodle vengano anche utilizzate per inserire links nascosti all'interno di pagine del sito di e-learning e non necessariamente solo su profili fasulli.

Qui vediamo infatti una pagina Moodle di introduzione ad un corso

che nel codice

trova inseriti centinaia di links nascosti che vengono rilevati solo se l'user agent utilizzato dal browser simula quello di un motore di ricerca. (scopo evidente di forzare i risultati di ricerche in rete verso pagine dai contenuti dubbi o pericolosi).

C'e' infine da notare che i links aggiunti su falsi profili Moodle di solito utilizzano la tecnica di un redirect intermedio per variare il link finale proposto (falsi Av, malware, siti di vendita online di video.., pharmacy).
Questo sitema permette anche di filtrare l'IP di provenienza del visitatore, reindirizzandone (quando IP non ritenuto utile) la navigazione es. su Google. (cosa che succede spesso con IP thai).

Edgar

venerdì 27 marzo 2009

Pagine nascoste su sito .IT e nuovo layout di falso player

N.B. Le URLS degli screenshots ma anche la lista di siti presente nel post puntano a pagine con links, nella maggior parte dei casi, a files eseguibili malware scarsamente riconosciuti dai principlai softwares AV.
Evitate quindi di aprire le pagine linkate e scaricare i files se non avete preso le dovute precauzioni (Uso di Firefox con Javascripts disabilitati (es. tramite l'addon Noscript) e Sandboxie) e meglio ancora il tutto eseguito su pc virtuale adeguatamente configurato (firewall ecc...)

Continua la presenza di pagine html inserite in maniera nascosta all'interno di 'normali' siti .IT

Il testo contenuto ha come sempre lo scopo di generare il maggior numero di links possibili a queste pagine, attraverso una ricerca in rete, per reindirizzare su siti con contenuti malevoli o comunque poco affidabili.

Una ricerca in data odierna ha portato all'individuazione di questo sito .IT che al suo interno ospita centinaia di codici html relativi a due differenti layout di pagina web che al loro interno contengono un link a javascript offuscato


come vediamo in questo dettaglio (altra tipologia di pagina)

Se gli scripts sono attivi si viene reindirizzati su questo nuovo falso player , dal layout aggiornato,

che propone il solito falso codec in realta' malware

e che e' hostato su

Una analisi dell'IP in questione porta ad individuare una lunga serie di indirizzi web, molti dei quali attivi e che, in parte, redirigono su altrettanti falsi player video , sia hostati sul medesimo server che su altri.

Da notare ad esempio due url che ricordano da vicino quella di Youtube e che chiaramente tentano di sfruttare un errore di digitazione per poter aprire il falso player (typosquatting) e che linkano tramite redirect a sito


Sono inoltre presenti alcuni siti che ricordano falsi AV... ecc....

Come sempre, si tratta nella maggior parte dei casi di pagine con contenuti pericolosi che cercano di far scaricare eseguibili in realta' malware o falso software AV.

Edgar

giovedì 26 marzo 2009

Ambasciate e malware

N.B. Ricordo sempre che eventuali links elencati nel post o negli screenshot possono puntare a siti tuttora online e pericolosi ed ai relativi files eseguibili scarsamente riconosciuti dai principlai softwares AV.
Evitate quindi di aprire le pagine linkate se non avete preso le dovute precauzioni (Uso di Firefox con Javascripts disabilitati (es. tramite l'addon Noscript) e Sandboxie).

Securitylabs.websense.com informa che il sito dell'ambasciata del Portogallo in India risulta compromesso con l'inserimento di codici che redirigono verso siti contenenti exploits di vario genere:

Ecco la homepage

dove l'addon Firefox Noscript evidenzia la presenza dei codici pericolosi

e questi alcuni dettagli del source del sito che come vediamo contiene appunto codici java che tramite iframe



linkano a diverse pagine locate su

Il contenuto di queste pagine a cui puntano i links inseriti nel sito compromesso evidenzia la presenza di exploits

che come vediamo in questa analisi cercano di sfruttare sia vulnerabilita' Flash che Adobe Reader per compromettere il pc di chi vista il sito dell'ambasciata

Ecco un dettaglio di alcuni dei files scaricati dalla pagina con exploits

con analisi VT

Un secondo script presente

linka invece a pagina su

ma, al momento di scrivere il post, , non e' stato possibile rilevare la presenza di exploits.


Adesso il sito dell'ambasciata e' offline per le necessarie misure di bonifica

Gia' in passato abbiamo, pero', assistito ad attacchi di vario genere a siti di ambasciate e nel caso che vedremo ora pare che la provenienza di chi ha compromesso il sito dell'Ambasciata in Pakistan dell'Azerbaijan presenti analogie.

La compromissione del sito segnalata l'undici marzo scorso da Dancho Danchev's Blog non pare. tra l'altro, essere stata bonificata, ma e' presente tuttora online lo script pericoloso.

Infatti se proviamo a visitare in data odierna, il sito dell'ambasciata dell'Azerbaijan abbiamo questa pagina

dove ancora una volta noscript evidenzia la presenza del codice pericoloso , con links simile (cambiano solo le due cifre finale del link) ai siti con exploits visti prima.

Da notare che questi siti contenenti exploit visti ora presentano il riconoscimento dell'IP del visitatore per cui dopo la prima volta che si caricano non propongono piu' i links ad exploits ma una pagina vuota.

Edgar

mercoledì 25 marzo 2009

Aggiornamenti vari 25 marzo

N.B. Ricordo ancora una volta che eventuali links elencati nel post o negli screenshot possono puntare a siti tuttora online e pericolosi ed ai relativi files eseguibili scarsamente riconosciuti dai principlai softwares AV.
Evitate quindi di aprire le pagine linkate se non avete preso le dovute precauzioni (Uso di Firefox con Javascripts disabilitati (es. tramite l'addon Noscript) e Sandboxie).

Si tratta di due brevi aggiornamenti:
1) il primo e' relativo ad un file eseguibile linkato da uno dei soliti post fasulli su forum .IT attraverso il redirect su pagina con falso player video.
La pagina del falso player presenta il testo visualizzato personalizzato in base al contenuto della URL che la richiama, (es video + active + object +error ...)

Una volta aperto il sito del falso player inizia in automatico, il tentativo di far scaricare questo file eseguibile che simula l'install di falso codec. (due dei tre softwares che rilevano il pericolo indicano il file come fake AV)

al momento veramente poco riconosciuto da una scansione online con VT

2) Il secondo aggiornamento riguarda un sito di pubblica amministrazione (Comune) che , questa volta in chiaro e NON in maniera nascosta, visualizza centinaia di links a codici inseriti all'interno del sito stesso
I vari links sono infatti tutti visibili a fondo pagina sia della home che di altre pagine

questa e' invece la struttura del sito ...

dove possiamo notare i contenuti inseriti.

In questo dettaglio della home vediamo invece il forte contrasto, al limite del divertente, tra i propositi di chi a creato le pagine e/o le gestiva e quello che ci viene suggerito dai links di chi ha compromesso il sito comunale.

Tra l'altro appare abbastanza strano che nessun fruitore del sito abbia segnalato questo problema in quanto si tratta di links ben visibili a chi visita le pagine del Comune ma e' probabile che, come successo molto spesso in passato, dopo l'entusiasmo iniziale per la novita' del sito web ci sia stato un calo di interesse fino all'abbandono completo del progetto di mantenimento e aggiornamento di queste pagine in rete.

Edgar

martedì 24 marzo 2009

Aggiornamento malware 24 marzo

N.B. Ricordo ancora una volta che i links elencati puntano a siti tuttora online e pericolosi ed ai relativi files eseguibili scarsamente riconosciuti dai principlai softwares AV.
Evitate quindi di aprire le pagine linkate se non avete preso le dovute precauzioni (Uso di Firefox con Javascripts disabilitati (es. tramite l'addon Noscript) e Sandboxie).

Ecco alcuni aggiornati files eseguibili sia di falsi AV che di malware scaricabili da siti di forum su dominio IT ma anche linkati da pagine inserite in maniera nascosta all'interno di siti in lingua italiana.

Da qualche tempo compaiono su ricerche in rete siti italiani che al loro interno ospitano un folder nascosto individuabile in genere da /x/ dove x puo' prendere un valore numerico di solito da 1 a 4....

Nel dettaglio , si tratta di siti compromessi nei quali l'inserimento di una o piu' pagine permette di avere una serie di links gestiti da script java che puntano a siti con contenuti di vario genere ma normalmente falsi Av o siti di falsi filmati video con relativi codec / players / install tutti rigorosamente malware.
Lo scopo di questa operazione e' quello di generare facilmente, quando si esegue una ricerca in rete, risultati che puntino a queste pagine hostate in maniera nascosta, ed, in automatico, se gli script sul browser sono attivati, redirigere esempio sul falso scanner av online.

Esaminiamo in dettaglio questo sito italiano, che compare su una ricerca odierna fatta in rete

Come vediamo il codice della pagina inserita contiene un riferimento a javascript offuscato

che possiamo facilmente deoffuscare

e che punta ad uno dei tanti falsi scanner Av presenti in rete, che propone un eseguibile di cui vediamo una analisi VT

Diverso e' il caso di questi aggiornati files linkati da falsi post su forum italiani che presentano uno scarso riconoscimento da parte dei piu usati software AV

ed anche

Si tratta sempre di falsi codec, install o players che vengono scaricati cliccando su una immagine (a volte animata) visualizzata sulla pagina che simula un player video.

Questo un riassunto dei files scaricati con relativi IP di provenienza che di solito fanno parte di ranges IP che puntano a siti di dubbia affidabilita' se non addirittura distributori di malware
Esaminato ad esempio il range locato in paese dell'est europeo vengono individuati numerosi siti di falsi filmati , di solito a carattere porno, che come in questo caso propongono il download del player o movie sotto forma di eseguibile ,

come sempre non molto riconosciuto dai softwares AV


Ricordo comunque che esistono differenze tra una scansione online e un riconoscimento dell'eseguibile pericoloso, quando questo viene lanciato su un pc dove gira un software AV, intervenendo, in questo caso, meccanismi di difesa (ad esempio tecnologie di tipo euristico) che su uno scanner ON-Demand ed online potrebbero essere solo in parte implementate ed efficaci

Edgar