Articoli

In diversi luoghi ho parlato dell’attacco avvenuto alla RSA Security lo scorso Giugno 2011 oggi voglio invece mostrarvi un video realizzato da J. Oquendo nel quale viene analizzata la prima fase dell’attacco. Per introdursi nell’azienda è stata utilizzata la tecnica di Spear Phishing inviando ad un dipendente della nota società di sicurezza informatica una eMail contenente una file Excell nel quale vi era con codice VBScript che sfruttava una falla 0Day di Adobe Flash Player.

Grazie a questa escalation è stato possibile accedere ai sistemi interni della RSA Security sottraendo una o più Master Key in grado di generare i codici dei Token OTP (One Time Password).

Nel video vengono utilizzate le principali tecniche ed utility di OSINT (Open Source INTelligence).

Vi riporto il video di una relazione di Raphaël Rigo, della French Network and Information Security Agency (ANSSI), nel quale descrive in maniera esaustiva come effettuare una analisi forense del sistema operativo Google Android.

Nelle ultime ore risulterebbero più di 100 mila sita internet infettati da un iFrame maligno con lo scopo di installare un Malware sul PC dell’ignaro utente.

Il frame conterrebbe un richiamo al seguente indirizzo:

Esso porterà all’esecuzione del seguente Java Script:

Quest’ultimo script sfrutterebbe le seguenti vulnerabilità per installare il malware:

Una volta portato a termine l’exploit lo script provvederà a scaricare il Malware reperibile in questo indirizzo:

Lo script iFrame è stato inserito esclusivamente in siti internet con piattaforma osCommerce probabilmente grazie ad una SQL Injcetion.

Infine vi riporto una completa analisi dell’attacco effettuata dai ricercatori Wayne Huang, Chris Hsiao e NightCola Lin:

 

ENISA ha rilasciato recentemente due documenti sulle botnet, il primo si intitola “Botnets: 10 tough Questions” ed il secondo invece “Botnets: Detection, Measurement, Disinfection & Defence“. Questi due documenti rientrano nella strategia messa in atto da ENISA per dare maggiore enfasi ed efficacia alla lotta alla criminalità su Internet.
Il primo documento, come riferisce il comunicato stampa di ENISA, è un distillato dei risultati di una ricerca condotta da ENISA con i massimi esperti della lotta contro le botnet, inclusi gli Internet Service Provider, i ricercatori di sicurezza, le forze dell’ordine, i Computer Emergency Response Team (CERT) e i produttori di anti-virus. Le analisi di ENISA vertono su domande che investono temi generali e a cui è molto spesso difficile dare delle risposte. Infatti, ripensare alla affidabilità dei dati sulle botnet, al ruolo dei governi, alle necessità di aggiornamento delle norme o agli investimenti che si rendono necessari è certamente un modo per affrontare i nodi alla radice e cercare di trovare delle soluzioni che possano essere direttamente applicate sul campo.
Il secondo documento, invece, affronta il tema della valutazione delle minacce portate dalle botnet.  “Le dimensioni non sono tutto – il numero di macchine infette, da solo, è un modo inadeguato per misurare la minaccia” dice il Dott. Hogben, editor del rapporto.
Questo documento, inoltre, cerca di comparare le modalità di risposta da mettere in campo contro le botnet ed infatti riporta un set di 25 best-practice per attaccare le botnet seguendo tutti i possibili approcci, neutralizzandole, prevenendo nuove infezioni e riducendo al minimo la redditività del cybercrime che le utilizza.
La relazione sottolinea infine la necessità di una stretta cooperazione internazionale tra governi e istituzioni. “La cooperazione globale è indispensabile per raggiungere il successo nella lotta contro le botnet”, dice il Prof. Udo Helmbrecht, il direttore esecutivo di ENISA.
Fonte | Punto 1

Questo post ha l’intenzione di spiegare ed illustrare la vulnerabilità del DLL Load Hijacking scoperta la scorsa settimana dalla società di sicurezza Acros che imputava la falla esclusivamente ad iTunes ma poi si è scoperto essere un problema nettamente più diffuso a tutti i software che hanno interazioni con le libreria dinamiche DLL.

Microsoft ha rilasciato il Security Advisory (2269637) lo scorso 23 Agosto 2010 e conferma l’esistenza della vulnerabilità e specifica che sono soggette esclusivamente le applicazioni che non caricano le librerie esterne in modo sicuro secondo le loro linee guide disponibili in questo articolo di MSDN, Dynamic-Link Library Security.

La vulnerabilità viene attivata quando viene aperto un determinato tipo di file all’interno di una directory gestita dall’attaccante, la directory può essere su un chiavetta USB, all’interno di un archivio oppure in una condivisione di rete (SMB). Per far attivare l’exploit l’utente, nella maggior parte dei casi, dovrà accedere alla directory e quindi aprire il file. Il file aperto dall’utente sarà sicuramente innocuo ma avrà il compito di avviare l’applicazione “difettosa” che andrà a recuperare dal percorso remoto le DLL malevoli contenenti malware, trojan, ecc ecc.

In pratica, questa falla può essere sfruttata inviando all’utente bersaglio un link ad una condivisione remota contenente uno o più file innocui, ma realmente l’apertura di essi porterà al caricamento di DLL infette a causa di una errata gestione delle DLL del programma associato al file.

Prendendo in esame iTunes, che si associa automaticamente a diversi file multimediali (mp3,waw, ecc ecc), e ciascuno di questi comporta l’esistenza di una DLL all’interno della directory dell’applicazione l”utente potrebbe essere tratto in inganno fornendogli una directory remota piena di contenuti multimediali, del tipo \…\server\film\.

Se l’utente tenta di aprire qualsiasi file contenuto nella directory \film\, iTunes caricherà sicuramente il film ma cercherà nella medesima directory una eventuale DLL per il caricamento del video senza considerare le DLL originali contenute nella cartella di installazione “\iTunes”. Se l’attaccante ha fornito una DLL compatibile per il caricamento del film iTunes provvederà ad aprirla ed automaticamente infetterà il PC dell’utente se quest’ultima contiene codice malevolo.

Il team di metasploit ha già sviluppato il kit DLLHijackAuditKit in grado di analizzare ogni applicazione e determinare se è afflitta da tale vulnerabilità, ed in pochi giorni ha già raggiunto la seconda versione, tale applicativo può essere scaricamento tramite questo collegamento.

Il funzionamento di tale KIT è spiegato sul blog ufficiale di MetaSploit ma contiamo di crearvi una guida in Italiano a breve.

Fonti: