Articoli

Sulle tracce di un Botmaster…

Heartbleed

Gianni Amato ha pubblicato lo scorso 10 giugno un articolo in cui evidenzia un attacco Malware su base webinject ai danni di tre istituti di credito Italiani, vista la coincidenza dei tre istituti con un precedente caso che ho analizzato lo scorso Febbraio ho voluto approfondire nuovamente la vicenda.

Seguendo le tracce del Botmaster e il codice JS pubblicato da Gianni ho capito quanto fosse ben strutturata l’organizzazione criminale alle spalle di questo nuovo caso, gli istituti di credito coinvolti non sono solo Italiani ma sono coinvolti gli istituti dei principali continenti sviluppati. Il botmaster sfrutta diverse tecniche per oscurare il pannello di controllo online e si appoggia a diversi server per rimbalzare i dati provenienti dai bot.

SSL Trusted

Schermata 2015-06-13 alle 12.22.37La raffinatezza del Botmaster la possiamo cogliere già da questa prima immagine, il dominio che viene sfruttato per diffondere il malware e per raccogliere i dati sottratti sfrutta il protocollo SSL con un certificato valido! Il certificato SSL rilasciato da GeoTrust permettono una comunicazione sicura dal sorgente al destinatario (end-to-end) sulla rete fornendo autenticazione, integrità dei dati e cifratura operando al di sopra del livello di trasporto.

Errore 404

Not_Found

Se avete letto l’articolo di Gianni avrete notato che il malware per sottrarre le informazioni bancarie dal portale di csebanking è proviene da questo url: http://………../sajf98wquioijhsa/scripts/csebanking.js ed è pubblicamente consultabile! Conseguentemente anche la sottocartella http://………../sajf98wquioijhsa/ deve esistere, ma invece accedendoci  appare l’errore Not Found. Impossibile? No, è un trucchetto voluto dal botmaster per confonderci le idee! La sottodirectory /sajf98wquioijhsa/ esiste realmente ma è stata creata una regola contenuta in .htaccess per consentire l’accesso alla relativa sottodirectory solo passandoli un valido parametro nella richiesta GET! Se tale parametro non viene passato verremo reindirizzati ad una fittizia pagina x.php la quale genera il layout Not Found.

Ho scoperto questa particolarità tentando di accedere casualmente a qualche pagina nella cartella principale del dominio, come potete vedere dalla precedente immagine accedendo all’indirizzo http://………../script.php mi appare l’errore No Found ma vengono anche fornite le informazioni sul server “Apache/2.2.15 (CentOS) Server at…..” mentre accedendo alla sottodirectory sajf98wquioijhsa/ questa informazioni non appaiono. La pagina Not Found di Apache è solitamente standard per tutto il dominio/server e salvo personalizzazioni contiene anche le informazioni sulla versione di Apache. Notando questa diversità ho voluto indagare scoprendo quanto precedentemente detto.

Gate

In questo screenshot ho voluto farvi un esempio pratico della mia precedente teoria, accedendo normalmente alla pagine http://………../sajf98wquioijhsa/gate visualizziamo l’errore 404 Not Found, se invece alla richiesta GET gli aggiungo uno o più paramenti (es. ?x=yzv&q=werty) correttamente validati dalle regole di .htaccess visualizzo la pagina e la relativa risposta come potete vedere dallo screenshot. In questo caso il sistema ci conferma di aver ricevuto correttamente le credenziali sottratte alla vittima.

Gate_IndexModificando i parametri che vengono convalidati dalle regole di .htaccess sono riuscito ad ottenere una porzione della pagina di index, dove probabilmente vengono memorizzate le credenziali sottratte o reportizzati i bot attivi. Non avendo i pieni diritti di accesso, ovvero non conoscendo le credenziali, la visualizzazione dei dati è limitata alla sola struttura del pannello di controllo.

Secondo Server

BootMaster Panel

Successivamente ho scoperto che il primo server utilizzato dal Botmaster è vulnerabile, sfruttando quindi il data leak ho individuato un secondo server in uso. Questo secondo server riceve i dati dal primo, a tale server non è associato alcun dominio internet secondo il database di Domaintools probabilmente per mantenere il più possibile nascosto tale server.

Istituti di Credito Coinvolti (e non solo)

Attraverso il leak di memoria estratto dalla vulnerabilità ho potuto, in una analisi durata poco più di 2h, recuperare un’importante lista degli istituti di credito coinvolti in questa operazione. Il botmaster è in grado di sottrarre informazioni dei seguenti istituti, e non solo:

  1. https://www.nwolb.com
  2. https://bankingportal.sparkasse-essen.de/
  3. http://www.co-operativebank.co.uk/
  4. https://www.csebanking.it
  5. https://banking.credem.it
  6. https://www.chebanca.it
  7. https://banking.postbank.de
  8. https://www.rbsdigital.com
  9. https://finanzportal.fiducia.de/
  10. http://www.assist.ru/index.html
  11. https://www.fineco.it/
  12. https://www.citibank.ru
  13. https://www.paypal.com/
  14. https://www.usbank.com/
  15. http://libertyreserve.com
  16. http://www.mbna.co.uk/
  17. http://www.ebay.com
  18. http://www.ebay.fr
  19. http://www.poste.it
  20. http://wachovia.com
  21. http://www.ybonline.co.uk/
  22. http://www.banquepopulaire.fr
  23. https://www.cmb.fr
  24. http://www.credit-agricole.fr/
  25. https://www.labanquepostale.fr/
  26. https://www.secure.bnpparibas.net/
  27. https://www.ing.nl
  28. https://www.discover.com/
  29. https://www.credit-du-nord.fr/
  30. https://www.caisse-epargne.fr
  31. https://www.exabanque.net
  32. https://www.norisbank.de/
  33. https://bankofamerica.com
  34. https://www.chase.com/
  35. https://www.koodomobile.com/
  36. http://www.scotiabank.com
  37. http://www.bancopopular.es
  38. https://www.creval.it
  39. http://www.mybusinessbank.co.uk
  40. http://www.intesasanpaolo.com/

Come avrete notato in questa lista vi sono prevalentemente Istituti di Credito ma anche altri servizi come PayPal, Liberty Reserve che era moneta elettronica ora posta sotto sequestro ed eBay. La lista è bella numerosa e probabilmente con analisi sul target di 24h avrei estrapolato altri target.

Conclusione

La cronaca di questi ultimi dieci giorni ci ha dimostrato quanto è proficua l’attiva di un Phisher o di un Botmaster, in un breve tempo sono riusciti a trafugare 6 milioni di euro. L’indagine ha portato a un raid multiplo in 58 diversi luoghi d’Europa, dove i criminali informatici operavano per effettuare soprattutto attacchi di tipo phishing, ottenendo così i dati d’accesso dagli stessi proprietari degli account per poi trafugare i soldi dalle banche.

Questi avvenimenti ci insegnano sempre più che l’utente finale deve imparare a navigare su internet e a proteggersi da queste minacce molto proficue, bisogna inoltre intensificare i controlli da parte delle istituzioni per fermare questi criminali.

Volutamente ho evitato di scrivere dettagli e passaggi tecnici che mi hanno permesso di estrarre l’elenco degli istituiti, meglio non dare troppi vantaggi al Botmaster! 😉

Il Phishing passa anche attraverso le applicazioni Android

Phishing-Attack-Launched-from-Android-Market-2

La scorsa settimana i contatti tra il D3Lab e gli istituti di credito hanno permesso il recupero di un complesso sistema di gestione di una Botnet dedicata a carpire le credenziali bancarie degli utenti. Sono stato interpellato durante l’analisi di questo caso con l’incarico di analizzare ogni sfaccettatura dell’attacco, ricevuti i file è stato possibile installarli su una macchina di test che ci permettesse di esaminarne il funzionamento.

Non voglio soffermarmi oltre sugli aspetti tecnici, ma bensì su una tipologia di attacco che i malviventi attuano ai danni degli utenti Android. Trattandosi di un attacco non convenzionale credo che rispecchierà una nuova frontiera per i Phisher ed ho deciso di documentare l’accaduto per sensibilizzare l’attenzione degli utenti.

I malcapitati utenti venivano invitati tramite pagine web dedicate ad hoc o tramite l’invio di SMS ad installare una applicazione dedita alla protezione dei propri dati personali e alla criptazione di essi, ma tale applicazione realmente è stata sviluppata con l’intento di sottrarre le credenziali che gli utenti digitavano sul Browser del proprio Smartphone. Il servizio online AndroTotal ci dimostra come 4 Antivirus su 6 riportano come malevole tale applicativo.

Homepage_Phishing_Android

La precedente immagine, volutamente oscurata in alcune parti, vi riportata l’homepage del pannello online di gestione dei bots Android in cui vengono configurati alcuni servizi fondamentali per il buon esito dell’attacco. Come potrete notare è possibile impostare il servizio Jabber così che l’attaccante possa ricevere istantaneamente la notifica di avvenuta acquisizione di credenziali (username, password e token) e velocemente possa ripetere il login dal suo terminale con un codice token ancora valido. Inoltre è possibile configurare un servizio SMSc per l’invio di SMS, impostare il testo del messaggio di testo e il link per il download dell’applicazione.

Bots_Phishing_Android

L’elenco dei bots/vittime ci riporta le credenziale carpite, l’indirizzo IP, l’eMail, il numero di cellulare e il sistema operativo della vittima oltre alla data di acquisizione delle credenziali.

 

Credenziali_Phishing_Android

Infine per ogni vittima è possibile aprire un pannello dedicato dove poter leggere le credenziali e il sito internet fonte di tali dati.

Vulnerabilità nell’Alice Gate AGPF – “CSRF Reconfiguration Vulnerability”

Una nuova ed imponente vulnerabilità affligge i router di Telecom Italia, marchiati Alice Gate AGPF, a scoprire la nuova falla è stato Emilio Pinna del team BackBox.

La vulnerabilità permette ad un utente malintenzionato di acquisire il pieno controllo del router in maniera permanente con gravi conseguenza sulla privacy dell’utente, una volta acquisito l’accesso al router l’attaccante potrà:

  • Intercettare i siti visitati dall’utente e redirezione verso siti copia fasulli per rubare credenziali di mail, social network, home banking, etc modificando i record del DNS;
  • Ascoltare le chiamate telefoniche, telefoni analogici compresi, sostituendo l’indirizzo del server VoIP ufficiale con quello di uno preparato per le intercettazioni;
  • Instradare tutto il traffico verso una macchina dell’attaccante allo scopo di analizzare il traffico e sottrarre dati sensibili;
  • Aprire dei pannelli di controllo del router verso internet con il quale l’attaccante mantiene l’accesso remoto al router nel tempo, con una interfaccia web esposta verso internet e tracciata via dns dinamico.

Secondo una prima stima approssimativa sui 9 milioni di clienti di Telecom Italia il 25% è in possesso del modem vulnerabile, circa 2 milioni di clienti sono vulnerabili all’attacco mettendo gravemente a rischio la privacy degli utenti.

È possibile ottenere il pieno controllo del router  grazie alla presenza di due vulnerabilità nel software che opportunamente sfruttate in conseguenza danno accesso ai parametri interni, in primis il parametro HTTP stack_set della pagina admin.cgi dell’interfaccia web permette di riscrivere qualsiasi parte della configurazione interna del router (vulnerabilità comunemente sfruttata dal legittimo proprietario del router per sbloccare funzionalità nascoste). Inoltre il router di Alice non offre nessuna protezione contro gli attacchi CSRF: pubblicando una semplice pagina appositamente preparata si può forzare il browser dell’utente che la visita ad effettuare una richiesta HTTP post verso l’interfaccia web del router.

In pratica per sferrare l’attacco è necessario effettuare una particolare richiesta HTTP all’URL http://192.168.1.1/admin.cgi con la quale è possibile riscrivere completamente la configurazione interna del router, ipotizzando un attacco su larga scala un utente malintenzionato potrebbe pubblicare una porzione di codice HTML in una pagina internet molto trafficata e in poche ore trovarsi una botnet di Router a propria disposizione.

Emilio ha reso disponibile una pagina  per verificare autonomamente se il proprio router Alice ADSL è vulnerabile, inoltre per chi volesse approfondire gli aspetti tecnici è disponibile la Full Disclosure.

Analisi delle BotNet di Matteo Cavallini

Analisi delle Botnet dall’ENISA

 

ENISA ha rilasciato recentemente due documenti sulle botnet, il primo si intitola “Botnets: 10 tough Questions” ed il secondo invece “Botnets: Detection, Measurement, Disinfection & Defence“. Questi due documenti rientrano nella strategia messa in atto da ENISA per dare maggiore enfasi ed efficacia alla lotta alla criminalità su Internet.
Il primo documento, come riferisce il comunicato stampa di ENISA, è un distillato dei risultati di una ricerca condotta da ENISA con i massimi esperti della lotta contro le botnet, inclusi gli Internet Service Provider, i ricercatori di sicurezza, le forze dell’ordine, i Computer Emergency Response Team (CERT) e i produttori di anti-virus. Le analisi di ENISA vertono su domande che investono temi generali e a cui è molto spesso difficile dare delle risposte. Infatti, ripensare alla affidabilità dei dati sulle botnet, al ruolo dei governi, alle necessità di aggiornamento delle norme o agli investimenti che si rendono necessari è certamente un modo per affrontare i nodi alla radice e cercare di trovare delle soluzioni che possano essere direttamente applicate sul campo.
Il secondo documento, invece, affronta il tema della valutazione delle minacce portate dalle botnet.  “Le dimensioni non sono tutto – il numero di macchine infette, da solo, è un modo inadeguato per misurare la minaccia” dice il Dott. Hogben, editor del rapporto.
Questo documento, inoltre, cerca di comparare le modalità di risposta da mettere in campo contro le botnet ed infatti riporta un set di 25 best-practice per attaccare le botnet seguendo tutti i possibili approcci, neutralizzandole, prevenendo nuove infezioni e riducendo al minimo la redditività del cybercrime che le utilizza.
La relazione sottolinea infine la necessità di una stretta cooperazione internazionale tra governi e istituzioni. “La cooperazione globale è indispensabile per raggiungere il successo nella lotta contro le botnet”, dice il Prof. Udo Helmbrecht, il direttore esecutivo di ENISA.
Fonte | Punto 1

Botnet, possibile strumento per le ricerche di Yara!

Una Botnet è una rete di computer controllata illecitamente attraverso internet da un Cracker, comunemente viene sfruttata per attività illecite quali attacchi Denial of Service (DoS), Phishing, Spam e tanto altro con l’obbiettivo di arricchire economicamente il pirata informatico.

In Italia secondo le ultime statistiche di G Data quasi 500 mila computer appartengono ad una o più BotNet e notevoli sono i pirati informatici del bel paese a gestire tali strutture.

Sarebbe pertanto ipotizzabile lo sfruttamento di queste reti per cercare dettagli ancora sconosciuti sulla vicenda di Yara Gambirasio o tante altre vicende di cronaca ancora senza una risposta, inviterei i Cracker che ci leggono di mettersi una mano sul cuore e lanciare un semplice comando find sulle macchine in loro controllo.

Web Hacking – Statistiche 2010 – 2° Puntata: “Obiettivi Degli Attacchi Informatici”

Nella prima puntata di questa serie, abbiamo parlato dei paesi che si sono messi in evidenza come maggiori fonti di origine degli attacchi informatici di questo 2010.

Oggi parleremo di quali sono i principali obiettivi degli attacchi, cosa ad un hacker veramente interessa.

Qui di seguito la relativa classifica:

  1. 20.38%   Furto di Informazioni
  2. 18.47%   Defacciamento di Siti Web
  3. 14,01%   Diffusione di Malware
  4. 12,74%   Perdite Finanziarie / Disservizio
  5. 04,46%   Disinformazione
  6. 03,82%   Furto di Carte di Credito
  7. 01,91%   Link Spam / Truffe / Dirottamento di Sessioni (Session Hijacking)
  8. 01,27%   Divulgazione di Informazioni / Danni alle Vendite
  9. -0,64%   Worm / Furto di Dati / Estorsione / Inclusione in BotNet / Phising

Rispetto agli anni scorsi, risalta l’incremento di posizioni delle Perdite Finanziarie, giunta nel 2010 alla 4° posizione, ovvero quelle attività che possono causare ingenti entrate economiche, in breve tempo, ai cybercriminali mossi da scopi di realizzare profitti illeciti.

Le attività di “Hacking for Profit” sono essenzialmente realizzate da cybercriminali professionisti, che implementano sempre nuovi metodi per generare ricavi compromettendo direttamente applicazioni web.

Continua a leggere

La BotNet Asprox sfrutta il Malware Zeus per diffondersi nelle Banche!

Il McAfee Lab ha recentemente scoperto un nuovo bersaglio ed una relativa nuova metodologia di diffusione del famoso Malware Zeus, questa volta viene sfruttato il marchio FedEx per attrarre via eMail l’attenzione dei dipendenti delle maggiori banche Mondiali.

La mail diffusa informa il Bancario di un mancato recapito di merce e lo invita ad aprire un allegato contente i dettagli sulla spedizione (mittemte, destinatario, tracking e contenuto del pacco).

Ovviamente l’allegato contiene realmente un file eseguile del Malware Zeus in grado di trasformare il PC in un Zombie ed allimentare la BotNet Asprox.

Via | AvertLabs

FBI arresta “Hacker” Sloveno, ha infettato 12 milioni di PC.

In un’operazione congiunta l’FBI e le autorità internazionali hanno arrestato un hacker ritenuto responsabile della creazione del codice di un virus altamente pericoloso che ha infettato oltre 12 milioni di computer in più di 190 Paesi e danneggiato i database delle maggiori banche e corporazioni di tutto il mondo.

Il giovane Iserdo, 23 anni, è stato stanato a Maribor in Slovenia, dopo una lunga e difficoltosa indagine della Polizia criminale slovena condotta insieme ad agenti americani e della Guardia Civil Spagnola. La sua cattura giunge cinque mesi dopo la scoperta di un’enorme cyber-truffa e l’arresto di tre presunti creatori di un’organizzazione conosciuta come «botnet Mariposa». Con il termine si intende una rete di computer che, ad insaputa dei proprietari, viene controllata da pirati informatici in grado di sottrarre i dati sensibili degli utilizzatori: i cybercriminali si infiltravano, infatti,  nel personal computer di ignari proprietari, spedendo elevate quantità di mail infette per colpire specifici server e impossessarsi dei dati sensibili. Nel mirino della banda, coordinata da un 31enne di origini basche, numeri e password di carte di credito, informazioni personali e credenziali bancarie di oltre 800 mila persone cadute nella trappola informatica. La pericolosa organizzazione è riuscita ad infiltrarsi attraverso le debolezze del browser Internet Explorer, successivamente ha contaminato le porte USB fino ad arrivare al software di messaggistica istantanea MSN.

Gli agenti hanno rifiutato di fornire alla stampa le vere generalità del giovane hacker e esplicitare le accuse mosse contro di lui. Jeffrey Troy, direttore della divisione informatica dell’FBI, ha affermato che l’arresto di Iserdo – avvenuto dieci giorni fa – è cruciale, il maggior colpo assestato alla banda. «Per usare un’analogia, rispetto al ladro che si potrebbe intrufolare in casa vostra, noi abbiamo arrestato colui che potrebbe dargli il piede di porco, la mappa e la possibilità di accesso alle più belle case del vicinato».

Troy si aspetta a breve molti fermi in Spagna e Slovenia: presumibilmente si spera di riuscire a rintracciare tutti coloro che hanno comprato sulla rete il malware venduto da Iserdo e soci in pacchetti personalizzati o con caratteristiche aggiuntive speciali, per un prezzo variabile da 500 dollari per la versione base a più di mille dollari per quelle avanzate. L’indagine è stata una delle più complicate mai affrontate e ha interessato oltre un centinaio di specialisti tra agenti federali statunitensi, ricercatori ed esperti di industrie private. A lungo è stato facile per la banda nascondere la propria identità al traffico Internet con sistemi di «anonymizer» per mascherare il proprio indirizzo IP e facendo attenzione a utilizzare computer rubati. Il botnet Mariposa – ora smantellato – era uno dei più grandi al mondo, molto più sofisticato rispetto a quello che in passato è stato utilizzato per penetrare Google Inc. e che ha portato il motore di ricerca a minacciare di ritirare i propri server dalla Cina.
Via | LaStampa

Ragazzo Australiano e posessore di BotNet si dichiara Colpevole!

Un giovane cracker Australiano si dichiarato colpevole di aver infettato oltre 3000 PC in Australia ed in altri Stati, il giovane puntava a catturare esclusivamente dati bancari, login e carte di credito.

La sentenza della Corte distrettuale di Adelaide sarà pronunciata in settembre.

Via | Ansa