venerdì 28 settembre 2012

ZeroAccess botnet. Alcuni dettagli.(28 settembre)

E di qualche giorno fa la pubblicazione di due posts ( qui e qui ) di cui uno dal titolo che dice tutto sulla estensione a livello mondiale della botnet definita “ZeroAccess”
 ZeroAccess: We're Gonna Need a Bigger Planet  …..... in pratica,  occorrerebbe un pianeta piu' grande per ospitare l'attuale botnet “ZeroAccess”

Questa affermazione deriva da quanto emerge da una analisi degli indirizzi IP coinvolti nella botnet che, geo localizzati su Google Earth, produco un risultato sicuramente interessante 

Ecco la mappa degli IP di macchie infette da ZeroAccess riferiti all'Europa


ed ecco quella relativa agli USA.


Una notevole quantita' di PC infetti  che dimostrano come questa botnet, peraltro non recente come comparsa, si sia diffusa in maniera notevole specialmente negli ultimi mesi.
Si trova infatti in rete della documentazione che porta come data di rilevamento della botnet, l'anno 2010. anche se in seguito la botnet si e' evoluta presentando codici differenti dai primi analizzati.

A titolo di curiosita' su http://ethicalhackers.info/  si riporta come nel mese di Agosto 2012  piu' di  850 computer di studenti di universita' americane siano stai coinvolti nella botnet ZeroAccess ed e' stato calcolato che larghezza di banda totale consumata a causa della botnet nelle 24 ore e' stata di ben  1,59 Terabits.

In due successivi 'papers' pubblicati da Sophos vengono esaminati i vari aspetti della botnet ZeroAccess sia dal punto di vista della struttura che dei sistemi di 'distribuzione' dei codici pericolosi.

Nel primo 'paper' di Aprile 2012  Sophos ricorda come, “.. Il rootkit ZeroAccess e' una minaccia pericolosa che sta circolando da diversi anni............  SophosLabs ha visto di recente il numero di macchine infettate da  ZeroAccess aumentare bruscamente in quanto vi  e' stata una proliferazione di differenti varianti del codice.....” .
Si legge inoltre come la diffusione del malware e  attuata essenzialmente utilizzando sia pratiche di 'Social engineering”  che attraverso  exploits tra cui il noto “BlackHole”
Le tecniche di supporto alla distribuzione degli Exploits sono sempre le 'solite' praticate da tempo con l'uso di siti legittimi che sono stati compromessi da un aggressore (spesso attraverso le credenziali FTP rubate, SQL injection.. ecc....)
I siti compromessi servono sia come redirector al sito di attacco principale (tipicamente, piccoli JavaScript sono inseriti in pagine di un sito compromesso che inviera' l'utente al sito di attacco)  ma anche come sito che contiene gli exploits veri e propri.
Per diffondere i links a tali siti compromessi si utilizzano, a loro volta, tecniche note di SEO (Search Engine Optimization) con cui posizionare i link malevoli ai primi posti nei risultati dei motori di ricerca, aumentando cosi' il traffico utile verso il sito malevolo (redirect e/o exploits).
Naturalmente anche le  e-mail possono venire usate allo scopo.
Una e-mails di spam con links alla pagina di redirect al malware e' una delle scelte possibili per reindirizzare l'ignaro utente al sito Web compromesso che ospita il codice di exploit.
Gli exploit vettori di infezione per ZeroAccess sono molto efficaci e di solito non richiedono alcun input da parte della vittima oltre che l'esplorazione di un sito apparentemente legittimo o facendo clic su un link apparentemente innocuo. 

Il secondo vettore principale di infezione ZeroAccess e' quello che sfrutta pratiche di ingegneria sociale. 
Avremo cosi'  l'uso di software fake quale keygen, programmi di crack posizionati su siti di download anche torrent ecc.... 
Si tratta di programmi che se eseguiti  provvederanno ad installare il malware di gestione della botnet.

Tra le varie info interessanti, il 'paper Sophos' cita ad esempio il fatto che al momento dell'installazione il software malevolo puo' scegliere se installare codice a 32 o 64 BIT

Il documento segue poi con una dettagliata analisi dei codici di installazione della botnet ed altre info interessanti.

Il secondo paper recentemente pubblicato (settembre 2012) si apre con alcune info al riguardo di recenti sviluppi  della botnet ZeroAccess.
Si apprende cosi' che sono sono state apportate modifiche significative ai codici malevoli e che si stima che software  ZeroAccess e' stato installato piu' di 9 milioni di volte. 
La  dimensione attuale della botnet e' di 1 milione di macchine infette diffuse in tutto il mondo, con la maggior parte negli Stati Uniti, ma anche, a vedere dal report su f-secure , in Europa.
Inoltre si evidenzia come il guadagno per i “gestori” della botnet sia, almeno in maniera potenziale,  di  $ 100.000 ogni giorno.

Il 'paper' si sofferma anche su come in pratica la botnet generi guadagni per chi la gestisce attraverso ad esempio pratiche 'Click fraud 'e  di 'Bitcoin mining'.

Edgar

domenica 23 settembre 2012

Nuovamente attivo lo spam di mails contenenti link a redirects su siti con probabili exploits (23 settembre)

Ecco le ultime mails ricevute, dal testo del messaggio in un italiano ricco di errori,  e che comunque tenta di incuriosire  lo legge, allo scopo di fargli cliccare il link presente.


Queste altre mails ricevute da qualche giorno con messaggi e links  simili.


Specialmente nelle ultime mails ricevute si nota come nel testo messaggio venga ripreso l'indirizzo a cui la mail e' inviata, nel tentativo di rendere ancora piu' ingannevoli i contenuti di spam.

La pagina linkata contiene redirect


che punta a


con presenza di links a differenti contenuti che vediamo in questo report Wepawet


Come successo spesso non e' agevole downloadare quanto rilevato poiche' i codici linkati parrebbero essere non raggiungibili piu' volte dal medesimo IP o comunque probabilmente non da IP thai.
In ogni caso questo e' quanto presenta una analisi Virus Total, del fake PDF linkato: 


con


Si tratta di codice poco riconosciuto dai piu' diffusi softwares AV.

Uno spam quindi che potrebbe essere abbastanza pericoloso per i contenuti che seppur in un italiano poco corretto potrebbero indurre chi ricevesse la mail a seguire il link presente, contenuti che, almeno al momento, quasi tutti i piu' conosciuti software AV parrebbero non rilevare come pericolosi.

Edgar

giovedì 20 settembre 2012

Sembrava un 'normale' phishing .. invece … Un ingegnoso uso 'concatenato' di servizi free disponibili in rete che potrebbero agevolare la creazione di enormi quantita' di pagine clone 'usa e getta' (20 settembre)

Visto online senza analizzarlo in dettaglio sembrava uno dei soliti e numerosi cloni di phishing che tentano di acquisire credenziali di accesso a servizi di web-mail free presenti in rete.

Questa la pagina 


che presenta la solita lunga serie di loghi di noti servizi di web-mail allo scopo di ingannare meglio chi la caricasse nel browser e fargli credere di essere su pagina web di legittimo accesso alla web-mail.

In realta' esaminando nel dettaglio il layout, si notava la presenza di un ulteriore logo relativo  al servizio free PasteHTML.


PasteHTML, come dice il nome, e' un servizio free che permette, con un semplice copia e incolla di codice html, di mettere online una pagina web perfettamente funzionante e che ricalca fedelmente l'originale.


In effetti PasteHTML permette di  mettere online e testare una propria pagina copiando del codice html creato anche al momento e testarne il funzionamento senza utilizzare un copia e incolla da sorgenti online, ma tra le varie opzioni possibili, esiste anche quella di integrare nel browser un “Bookmarklet for PasteHTML”  che automatizza proprio il copia  e incolla di un sorgente di pagina web esistente.


In ogni caso si legge  nella presentazione di PasteHTML “.Use PasteHTML.com to put a HTML file online, quickly and with no registration …..........”

Quindi in maniera del tutto anonima e con pochi click si puo'  mettere online un clone che , almeno nella prova fatta, parrebbe essere perfettamente funzionante.

Prendendo ad esempio il source della home di questo blog e con un semplice copia e incolla abbiamo questa preview in PasteHTML


da cui,  cliccando sul pulsante Pubblish, si ottiene  il link PasteHTML che puntera' alla pagina appena creata (o meglio clonata)


Per curiosita' ecco il link che e' stato creato dal sorgente del blog


e che mostra la relativa home


Anche se presente in basso il logo PasteHTML e un link ad alcuni siti sponsor distinguere il clone dall'originale potrebbe comunque essere non cosi' immediato

Il sito PasteHTML, come gia' illustrato,  permette (a parte il copia e incolla di sorgenti tratti dalla rete) anche ovviamente di 'incollare'  un codice personalizzato e ,registrandosi, anche di avere la possibilita' di successive modifiche dei contenuti.

Tornando al phishing che stiamo analizzando possiamo notare che PasteHTML serve ad hostare in maniera del tutto free ed anonima il fake login web-mail.

Ma le sorprese non sono finite

Esaminiamo infatti il codice collegato al form di login 


Notiamo che si punta ad un dominio particolare e precisamente FormBuddy e che mostra quindi  un ulteriore uso di servizio free  e precisamente quello di creazione gestione form con possibilita' di invio dati raccolti via email a chi gestisce il form stesso.

Ecco la pagina di  FormBuddy


tradotta con Google


e con le istruzioni su come linkare il form  creato


Esaminando il source della pagina hostata su PasteHTML troviamo infatti


in linea con le 'istruzioni' presenti sul sito FormBuddy  e che vediamo essere presenti nella gestione del form


A questo punto dopo la gestione del form chi ha inserito le credenziali parrebbe venir rediretto (come da codice sorgente) su altro dominio che presenta


e che a giudicare dal link proposto parrebbe essere collegato ad altro  servizio di free hosting


Come c'era da aspettarsi l'uso di PasteHTML sembra abbastanza diffuso per clonare pagine legittime, come ad esempio questo clone di Alibaba (Alibaba Group is a privately-owned Hangzhou-based family of Internet-based businesses that cover business-to-business online marketplaces, retail and payment platforms, shopping search engine and data-centric cloud computing services. Its products and services are designed to make the benefits of the Internet accessible to small businesses, entrepreneurs and consumers. It operates primarily in the People’s Republic of China.)(fonte Wikipedia)



In conclusione si tratta di un phishing del tutto particolare come struttura, che sfrutta al meglio quanto offerto free in rete da servizi di hosting particolare come PasteHTML o servizi di gestione form online con FformBuddy.
Quello che appare interessante e' come, con pochi click, si riesca a mettere online in maniera del tutto anonima e in modo veramente semplice un codice di pagina html che (vedi test con sorgente di questo blog) dimostra  essere ben eseguito e proposto dal browser.
Il rischio e' che possa trattarsi di una facile scelta alternativa per phishers anche improvvisati,  che attraverso questi tools online avrebbero la possibilita' di creare  con pochi click del mouse e senza troppo impegno, pagine clone  e form di acquisizione credenziali  'usa e getta' ma perfettamente funzionanti.
Da notare infine come il servizio di PasteHTML permetta comunque la segnalazione di Report Abuse per evidenziare eventuali pagine  dai contenuti inappropriati “........ Although we try to monitor new uploads for inappropriate contentand delete it when found or requested, we are not responsible for pages created by PasteHTML.com users. …..”

Edgar

lunedì 17 settembre 2012

Siti IT compromessi. Ancora una azione di 'defacement' (agg.17 settembre)

Un buon numero (35) di siti IT hostati su


appaiono aver subito una tipica azione di 'defacement'.

Ecco come si presenta la  homepage dei siti colpiti


mentre, questo, un  report ottenuto con script Autoit 


che evidenzia come i sorgenti delle homepage (indirizzi web da reverse IP) scaricati  presentino il codice di hacking.
Sempre sul medesimo IP appare anche un sito che pur presentando la homepage accessibile risulta includere nel  layout  alcune scritte di hacking.


Questa invece una pagina inclusa in sito di Comune del Nord Italia che evidenzia una azione di hacking.
Da notare che l'url  parrebbe essere riferita ad intranet comunale.


Come sempre siamo di fronte ad hacking che, in questo caso oltre a bloccare al visualizzazione di alcuni siti, evidenzia la presenza di vulnerabilita' che potrebbero essere usate a supporto di phishing, distribuzione malware ecc.....

Edgar

domenica 16 settembre 2012

Markets Android sicuri e non. Pubblicato da TrustGo un interessante report al riguardo (16 settembre)

TrustGo, una societa' USA che si occupa di 'Antivirus & Mobile Security', ha pubblicato da qualche giorno un interessante report relativo ad una scansione di 175 market-places Android presenti in varie nazioni, controllando 1.700.000  applicazioni per verificarne la sicurezza.

Le applicazioni malevoli trovate sono state classificate in 3 categorie : malevoli, alto rischio e basso rischio.
Nel dettaglio appare sul report un notevole incremento delle applicazioni malevoli presenti in rete con una percentuale di incremento rilevata nel periodo Giugno-Agosto del  216% rispetto ai precedenti 3 mesi.


Relativamente alla provenienza di queste applicazioni oltre il 33% parrebbe provenire da stores cinesi ed, in particolare, quello denominato  Anzhi presenterebbe sino al 63% di rischio nello scaricare una applicazione e trovarla non sicura.
Come si nota dal report ai primi 5 posti di market non sicuri ne abbiamo 5 di provenienza cinese.


Invece i market piu' sicuri, sempre a giudizio di TrustGo, sarebbero Aproov (Europa) con il 2.1% di rischio seguito da  Amazon(USA) D.cn(China), Handster (Europa) e Google Play (USA)

1. Aproov (Europe) - 2.1 percent risk
2. Amazon (U.S.) - 2.7 percent risk
3. D.cn (China, partnered with Rovio Mobile) - 7.0 percent risk
4. Handster (Europe) - 7.3 percent risk
5. Google Play (U.S.)  - 8.4 percent risk


Per quanto si riferisce a Google Play in effetti il fatto che si trovi solo al quinto posto come rischio di scaricare applicazioni non sicure puo' anche derivare dalla estesa diffusione di utilizzo del market in questione.

Per quanto riguarda invece la tipologia delle applicazioni coinvolte come c'era da aspettarsi i giochi sono quelli che in maggior percentuale compaiono tra le applicazioni piu' rischiose mentre la percentuale piu' bassa riguarda applicazioni della categoria 'produttivita''

Il report si conclude indicando i virus piu' diffusi su Android e elencando alcuni consigli su come evitare di caricare una applicazione malware.


Oltre al fatto di evitare applicazioni che chiedono un elevato numero di permessi per venir eseguite c'e' anche il consiglio di scegliere tra applicazioni note su marketplaces con chiare policies di sicurezza e protezione e  di dare sempre una occhiata ai commenti di chi ha scaricato e installato il programma in precedenza ponendo, attenzione, in particolare, a quelli negativi.

Edgar


Particolari dell'immagine dell'infografica tratti da 


venerdì 14 settembre 2012

Ritorna ancora una volta lo spam pericoloso con link a malware (14 settembre)

Questo riepilogo non è disponibile. Fai clic qui per visualizzare il post.

domenica 9 settembre 2012

Phishing internazionale. Colpita la maggiore azienda produttrice e distributrice di energia in Francia (9 settembre)

Come e' evidente, il phishing ai danni di banche ed aziende italiane e' solo una piccola parte di quello che, a livello globale, propone ogni giorno centinaia di pagine clone ai danni di aziende piu' o meno note.

Quello che si nota, non solo per obiettivi IT, e' la tendenza nel cercare di acquisire, da parte dei phishers, credenziali di carta di credito piuttosto che  dati di login a conti bancari online, anche se ultimamente appaiono in rete tentativi di bypassare accessi ad internet banking che utilizzano protezioni basate su OTP (passwords generate da dispositivi hardware o gestite tramite SMS)

Non sorprende quindi che una verifica del report  Autoit che acquisisce le segnalazioni online di phishing mostri questo interessante clone ai danni della nota societa' elettrica francese EDF


EDF (Électricité de France) è la maggiore azienda produttrice e distributrice di energia in Francia.(fonte Wikipedia) e questo phishing potrebbe quindi garantire a chi lo gestisce, una notevole 'raccolta' di 'dati' sensibili anche considerato l'elevato numero di utenti coinvolti.

Vediamo alcuni dettagli.

Il clone e' ospitato su server 


e presenta in evidenza il logo dell'azienda


con un primo form di richiesta dei dati anagrafici ma anche della mail con la relativa password (anche l'acquisizione di credenziali di login a web-mail appare sempre piu' diffusa on-line attraverso false pagine di login)


La pagina seguente mostra poi l'acquisizione dei dati relativi alla carta di credito 


ed e' predisposta per accettare un buon numero di differenti nomi di banche


Successivamente si viene reindirizzati al reale sito di EDF.


Da un  punto di vista piu' tecnico si evidenzia il fatto che il sito clone parrebbe essere gestito con l'uso di una procedura gia' molto vista su phishing VISA (vedi questo post) e che consiste nel creare al momento del login al sito clone un folder dal nome random su cui duplicare il clone base in maniera automatica, e questo per garantire una probabile migliore contrasto ad eventuale blacklist dell'indirizzo web.


Al momento appaiono generati circa 180 nuovi folders


 che dovrebbero corrispondere quindi al numero degli accessi alle pagine clone EDF.


Questo sistema utilizzato spiega anche come mai sia notevole il numero di segnalazioni effettuate online in quanto ad ogni accesso abbiamo differente URL nella parte relativa al folder che ospita il fake sito EDF.
Notevole anche il fatto che dopo circa un minuto di intervallo il numero di folders clone aumenti di 5 ….8 volte dimostrando un elevato  numero di accessi al sito.


Come si vede, quindi,  un phishing estremamente curato nei dettagli e che va a colpire una azienda che pur non essendo una banca assicura comunque ai phishers un elevato numero di utenti da cui tentare di acquisire le credenziali di carta di credito.

Edgar