Articoli

Sulle tracce di un Botmaster…

Heartbleed

Gianni Amato ha pubblicato lo scorso 10 giugno un articolo in cui evidenzia un attacco Malware su base webinject ai danni di tre istituti di credito Italiani, vista la coincidenza dei tre istituti con un precedente caso che ho analizzato lo scorso Febbraio ho voluto approfondire nuovamente la vicenda.

Seguendo le tracce del Botmaster e il codice JS pubblicato da Gianni ho capito quanto fosse ben strutturata l’organizzazione criminale alle spalle di questo nuovo caso, gli istituti di credito coinvolti non sono solo Italiani ma sono coinvolti gli istituti dei principali continenti sviluppati. Il botmaster sfrutta diverse tecniche per oscurare il pannello di controllo online e si appoggia a diversi server per rimbalzare i dati provenienti dai bot.

SSL Trusted

Schermata 2015-06-13 alle 12.22.37La raffinatezza del Botmaster la possiamo cogliere già da questa prima immagine, il dominio che viene sfruttato per diffondere il malware e per raccogliere i dati sottratti sfrutta il protocollo SSL con un certificato valido! Il certificato SSL rilasciato da GeoTrust permettono una comunicazione sicura dal sorgente al destinatario (end-to-end) sulla rete fornendo autenticazione, integrità dei dati e cifratura operando al di sopra del livello di trasporto.

Errore 404

Not_Found

Se avete letto l’articolo di Gianni avrete notato che il malware per sottrarre le informazioni bancarie dal portale di csebanking è proviene da questo url: http://………../sajf98wquioijhsa/scripts/csebanking.js ed è pubblicamente consultabile! Conseguentemente anche la sottocartella http://………../sajf98wquioijhsa/ deve esistere, ma invece accedendoci  appare l’errore Not Found. Impossibile? No, è un trucchetto voluto dal botmaster per confonderci le idee! La sottodirectory /sajf98wquioijhsa/ esiste realmente ma è stata creata una regola contenuta in .htaccess per consentire l’accesso alla relativa sottodirectory solo passandoli un valido parametro nella richiesta GET! Se tale parametro non viene passato verremo reindirizzati ad una fittizia pagina x.php la quale genera il layout Not Found.

Ho scoperto questa particolarità tentando di accedere casualmente a qualche pagina nella cartella principale del dominio, come potete vedere dalla precedente immagine accedendo all’indirizzo http://………../script.php mi appare l’errore No Found ma vengono anche fornite le informazioni sul server “Apache/2.2.15 (CentOS) Server at…..” mentre accedendo alla sottodirectory sajf98wquioijhsa/ questa informazioni non appaiono. La pagina Not Found di Apache è solitamente standard per tutto il dominio/server e salvo personalizzazioni contiene anche le informazioni sulla versione di Apache. Notando questa diversità ho voluto indagare scoprendo quanto precedentemente detto.

Gate

In questo screenshot ho voluto farvi un esempio pratico della mia precedente teoria, accedendo normalmente alla pagine http://………../sajf98wquioijhsa/gate visualizziamo l’errore 404 Not Found, se invece alla richiesta GET gli aggiungo uno o più paramenti (es. ?x=yzv&q=werty) correttamente validati dalle regole di .htaccess visualizzo la pagina e la relativa risposta come potete vedere dallo screenshot. In questo caso il sistema ci conferma di aver ricevuto correttamente le credenziali sottratte alla vittima.

Gate_IndexModificando i parametri che vengono convalidati dalle regole di .htaccess sono riuscito ad ottenere una porzione della pagina di index, dove probabilmente vengono memorizzate le credenziali sottratte o reportizzati i bot attivi. Non avendo i pieni diritti di accesso, ovvero non conoscendo le credenziali, la visualizzazione dei dati è limitata alla sola struttura del pannello di controllo.

Secondo Server

BootMaster Panel

Successivamente ho scoperto che il primo server utilizzato dal Botmaster è vulnerabile, sfruttando quindi il data leak ho individuato un secondo server in uso. Questo secondo server riceve i dati dal primo, a tale server non è associato alcun dominio internet secondo il database di Domaintools probabilmente per mantenere il più possibile nascosto tale server.

Istituti di Credito Coinvolti (e non solo)

Attraverso il leak di memoria estratto dalla vulnerabilità ho potuto, in una analisi durata poco più di 2h, recuperare un’importante lista degli istituti di credito coinvolti in questa operazione. Il botmaster è in grado di sottrarre informazioni dei seguenti istituti, e non solo:

  1. https://www.nwolb.com
  2. https://bankingportal.sparkasse-essen.de/
  3. http://www.co-operativebank.co.uk/
  4. https://www.csebanking.it
  5. https://banking.credem.it
  6. https://www.chebanca.it
  7. https://banking.postbank.de
  8. https://www.rbsdigital.com
  9. https://finanzportal.fiducia.de/
  10. http://www.assist.ru/index.html
  11. https://www.fineco.it/
  12. https://www.citibank.ru
  13. https://www.paypal.com/
  14. https://www.usbank.com/
  15. http://libertyreserve.com
  16. http://www.mbna.co.uk/
  17. http://www.ebay.com
  18. http://www.ebay.fr
  19. http://www.poste.it
  20. http://wachovia.com
  21. http://www.ybonline.co.uk/
  22. http://www.banquepopulaire.fr
  23. https://www.cmb.fr
  24. http://www.credit-agricole.fr/
  25. https://www.labanquepostale.fr/
  26. https://www.secure.bnpparibas.net/
  27. https://www.ing.nl
  28. https://www.discover.com/
  29. https://www.credit-du-nord.fr/
  30. https://www.caisse-epargne.fr
  31. https://www.exabanque.net
  32. https://www.norisbank.de/
  33. https://bankofamerica.com
  34. https://www.chase.com/
  35. https://www.koodomobile.com/
  36. http://www.scotiabank.com
  37. http://www.bancopopular.es
  38. https://www.creval.it
  39. http://www.mybusinessbank.co.uk
  40. http://www.intesasanpaolo.com/

Come avrete notato in questa lista vi sono prevalentemente Istituti di Credito ma anche altri servizi come PayPal, Liberty Reserve che era moneta elettronica ora posta sotto sequestro ed eBay. La lista è bella numerosa e probabilmente con analisi sul target di 24h avrei estrapolato altri target.

Conclusione

La cronaca di questi ultimi dieci giorni ci ha dimostrato quanto è proficua l’attiva di un Phisher o di un Botmaster, in un breve tempo sono riusciti a trafugare 6 milioni di euro. L’indagine ha portato a un raid multiplo in 58 diversi luoghi d’Europa, dove i criminali informatici operavano per effettuare soprattutto attacchi di tipo phishing, ottenendo così i dati d’accesso dagli stessi proprietari degli account per poi trafugare i soldi dalle banche.

Questi avvenimenti ci insegnano sempre più che l’utente finale deve imparare a navigare su internet e a proteggersi da queste minacce molto proficue, bisogna inoltre intensificare i controlli da parte delle istituzioni per fermare questi criminali.

Volutamente ho evitato di scrivere dettagli e passaggi tecnici che mi hanno permesso di estrarre l’elenco degli istituiti, meglio non dare troppi vantaggi al Botmaster! 😉

Aspetti di sicurezza in Android: Sviluppo e Implementazione di un Malware

Android SMS Malware: Facebook and WhatsApp account theft

Con piacere vi riporto un riassunto della Tesi di Laurea discussa da Fabrizio Severino tenta al Corso di Laurea in Sicurezza dei sistemi e delle reti informatiche.

La stretta interazione con l’utente e il sistema operativo dei dispositivi mobile (smartphone o tablet) consente alle applicazioni (APP) di accedere a molti più dati rispetto a un browser web internet tradizionale. Da recenti studi, infatti, è emerso che chi possiede un dispositivo mobile ha normalmente attive in media circa 20 applicazioni, alcune delle quali sono in grado di raccogliere in maniera illecita grandi quantità di dati personali accedendo alle raccolte di foto, video, dati di localizzazione , informazioni bancarie, contatti, cronologia di navigazione etc. Oggi giorno gli utenti tendono a delegare la gestione di molti aspetti della propria vita, sia personale che professionale, alle nuove tecnologie senza preoccuparsi della privacy personale. I rischi e le minacce in cui un utente può incorrere per un uso non accorto o non regolamentato delle mobile apps derivano da mancanza di “trasparenza” nelle modalità e nella finalità di raccolta dei dati, incapacità o impossibilità da parte degli interessati di esercitare o recuperare il “controllo” sui propri dati e sul modo in cui vengono comunicati a terzi e infine la mancanza di nozioni tecniche basilari di “sicurezza informatica”.
Spesso, a fronte della fornitura di applicazioni in via del tutto gratuita, le case produttrici o fornitrici della APP acquisiscono una serie di dati personali dell’utente senza fornire adeguate istruzioni circa il relativo trattamento. Molte volte capita che lo stesso utente, pur di utilizzare il servizio offerto, sia disposto a cedere le informazioni e i dati personali (propri o di terzi) in suo possesso, senza preoccuparsi delle eventuali conseguenze pregiudiziali. Lo scopo principale del mio lavoro di tesi è quello di fornire una buona base tecnica di Android con l’obiettivo di suscitare negli utenti la consapevolezza dei rischi connessi all’installazione di applicazioni senza che si presti la dovuta attenzione ai permessi richiesti, oppure il rischio che si corre nel lasciare incustodito il proprio dispositivo. Durante il mio lavoro di tesi ho studiato il funzionamento e la diffusione del malware in ambiente Android, analizzando nel dettaglio il sistema operativo anche dal punto di vista della sicurezza.
In particolare, ho studiato come i dispositivi con Androind possono avere “coscienza” di tutto quello che hanno attorno e a stretto contatto con il mondo reale. Durante il lavoro di tesi ho anche fornito una descrizione degli aspetti legali, del concetto di privacy in Italia e del parere dei garanti europei in merito alla protezione dei dati personali. La parte pratica della tesi comprende lo sviluppo e l’implementazione di un semplice malware, dimostrando che tramite il servizio SMS offerto dall’operatore e le autorizzazioni di base per la lettura e la ricezione dei messaggi è possibile rompere i sistemi di sicurezza di altri servizi che l’utente utilizza, come ad esempio WhatsApp e Facebook, e di conseguenza rubare la sua identità digitale. Per concludere il lavoro di tesi ho realizzato anche delle linee guida che consentono sia agli utenti che agli sviluppatori di APP di preservare il più possibile la privacy per enfatizzare il concetto di privacy dy design

Video Simulazione

Inoltre è disponibile la Presentazione della Tesi e l’Indice della Tesi!

AndroTotal: scansione online di APK sospette

AndroTotal
AndroTotal è un servizio gratuito, attualmente in versione Beta, in grado di ispezionare i pacchetti APK alla ricerca di vulnerabilità. I pacchetti APK (Android Package) sono una variante dei pacchetti JAR e vengono distribuiti per l’installazione di applicazioni nel mondo mobile Android.

AndroTotal non è il comune Antivirus da installare sul proprio dispositivo, ma un portale online accessibile da qualsiasi computer in cui caricare e scansionare i file APK. Creato dai laboratori del NECSTLab e DEIB del Politecnico di Milano e pubblicato lo scorso 15 Aprile 2013. Continua a leggere

Analisi della rete e del RAT DarkComet

Arbor Networks ha pubblicato sul proprio blog un’analisi relativa alle tracce lasciate in rete dai  Remote Access Trojan (RAT),  dei programmi malware che consentono  di acquisire da remoto il controllo del computer attraverso la connessione Internet.

Questi tool rappresentano una vera minaccia alla sicurezza in quanto riescono a spiare password e qualsiasi combinazione di tasti, controllano  i file in upload e in download, sottraggono documenti sensibili e possono inoltre scaricare e  installare altri malware , il tutto all’insaputa dell’utente.

L’osservazione di Arbor si concentra in particolare sul RAT Dark Comet, un software di semplice utilizzo recentemente balzato agli onori della cronaca dopo essere stato utilizzato anche dal Governo Siriano per spiare i propri oppositori politici. Nel blog post si analizzano diverse campagne Dark Comet , tra cui una probabilmente realizzata in Italia, e vengono individuati alcuni indicatori come password e indirizzi IP  per tentare di comprendere le motivazioni e l’origine degli attacchi.

L’analisi integrale è consultabile direttamente sul blog di Arbor Networks.

Android e la vulnerabilità della tecnologia NFC

Charlie Miller durante il recente Black Hat di Las Vegas ha dimostrato com’è possibile controllare i dispositivi Android attraverso la tecnologia NFC.

Sfruttando la tecnologia Android Beam è possibile indirizzare il dispositivo Android ad un sito internet malevole che sfrutta una vulnerabilità del Browser stock per installare nello Smartphone un Malware ottenendo la possibilità di consultare senza autorizzazione cookie e pagine web visitate. Se l’utente ha inoltre acconsentito all’installazione di applicazioni di terze parti è possibile prendere il controllo completo del telefono.

La vulnerabilità è stata dimostrata sulla linea di Smartphone Nexus supportata direttamente da Google, la versione più vulnerabile è Gingerbread, Ice Cream Sandwich risolve alcune vulnerabilità del Browser che rendono più difficile lo sfruttamento della falla mentre non sono stati effettuati test sulla recente versione Jelly Bean.

Via | The Inquirer

PEFrame – Analisi statica di malware

PEFrame è una nuova utility scritta da Gianni Amato in grado di effettuare una analisi statica di un Malware. Il software scritto in python e quindi multi-os offre le seguenti opzioni:

  • Hash MD5 & SHA1
  • PE file attributes
  • Version info & metadata
  • PE Identifier Signature
  • Section analyzer
  • Imported DLLs & API functions
  • Search for suspicious API & sections
  • Dumping all the information
  • Extract all the string
  • Extract all the url
  • Reverse Hex dump
  • List Entry instances

Potete scaricare gratuitamente il software attraverso Google Code.

La Top List dei Malware che chiude il 2011!

 

Bochum (Germania) – 09 gennaio 2012. I GData SecurityLabs rendono nota la lista dei dieci malware più attivi nel mese di dicembre  2011.  La percentuale  di diffusione nel mese conclusivo dell’anno appena trascorso  è la più bassa  ad essere stata registrata nella seconda metà dell’anno.  Di contro, però, il numero di attacchi registrati è cresciuto quasi costantemente e lo scenario dei diversi rilevamenti si fa sempre più ampio.

La classifica si rinnova con l’ingresso di due nuovi malware:  Trojan.IFrame.YX, legato alla diffusione degli adware  e Gen: Variant.Kazy.45847 che attacca il gioco per computer Anno 2070.

Riamane nella top 10, guadagnando adesso, il primo posto, l‘ Exploit.CplLnk.Gen già utilizzato da Stuxnet e ancora attivo; mentre sale in seconda posizione rafforzando, quindi,  la sua persistenza il Trojan.Wimad.Gen.1, file audio diffuso principalmente attraverso le reti di file sharing.

Dettaglio Top 10 dei malware – Dicembre 2011.

Exploit.CplLnk.Gen

Questo exploit utilizza una verifica difettosa dei file .lnk e .pif nel trattamento dei collegamenti di Windows ed è nota come CVE-2010-2568 a partire dalla metà del 2011. Non appena una versione manipolata di questi file viene aperta in Windows per visualizzare l’icona inclusa all’interno di Windows Explorer, il codice dannoso viene eseguito all’istante. Questo codice può essere caricato da un file system locale (ad esempio da un dispositivo di archiviazione rimovibile che ospita anche il file .lnk manipolato) o  tramite condivisione WebDAV su Internet.

Trojan.Wimad.Gen.1

Questo Trojan finge di essere un normale file audio .wma anche se uno di quelli che può essere riprodotto solo dopo aver installato un codec/decodificatore speciale sui sistemi Windows. Se un utente esegue il file, l’utente malintenzionato può installare tutti i tipi di codice dannoso sul sistema. I file audio infetti sono principalmente diffusi attraverso le reti di file sharing.

Java.Exploit.CVE-2010-0840.E

Questo programma malware basato su Java è un applet di download che tenta di utilizzare una vulnerabilità (CVE-2010-0840) per aggirare il meccanismo di protezione sandbox e scaricare malware addizionale sul computer. Una volta che l’applet ha ingannato il sandbox, si scarica un file .dll. Questo file non viene eseguito immediatamente ma registrato come un servizio con l’aiuto del Registro di Microsoft Server (regsvr32). Quindi, viene avviato automaticamente all’avvio del sistema.

Win32:DNSChanger-VJ [Trj]

Win32: DNSChanger-VJ [Trj] fa parte di un rootkit che cerca di proteggere altri componenti malware, ad esempio bloccando l’accesso a siti di aggiornamento per gli aggiornamenti di sicurezza e gli aggiornamenti delle firme. Qualsiasi accesso ai siti host sarà risolto a “localhost”, che lo renderà, in realtà, irraggiungibile. Questo è il motivo per cui viene chiamato DNSChanger, perché manipola risoluzioni DNS.

Worm.Autorun.VHG

Questo programma software maligno è un worm che si diffonde utilizzando la funzione autorun .inf nei sistemi operativi Windows. Utilizza supporti rimovibili come le unità flash USB o i dischi rigidi esterni. Si tratta di un worm Internet e di rete che sfrutta la vulnerabilità CVE-2008-4250 di Windows.

Trojan.AutorunINF.Gen

Si tratta di una rilevazione generica che rileva file autorun.inf dannosi, sia noti che sconosciuti. I file autorun.inf sono file di avvio che possono essere utilizzati come un meccanismo di distribuzione per i programmi informatici maligni su dispositivi USB, supporti rimovibili,  CD e DVD.

Trojan.IFrame.YX

Questa rilevazione è collegata alla potenziale diffusione degli adware ed è stata riscontrata principalmente su siti di hosting gratuito. Viene controllato se l’ IP del visitatore ha già avuto accesso al sito negli ultimi 30 minuti e se il controllo ha esito negativo, il frame avvia la “consegna” di pubblicità che può essere potenzialmente infetta.

Application.Keygen.BG

Si tratta di un generatore di chiavi molto popolare nelle reti P2P e siti warez in quanto consente (presumibilmente) l’uso di software altrimenti a pagamento. L’esecuzione di questa applicazione non è solo una questione legale, ma ha molti rischi connessi alla sicurezza.

Java.Trojan.Downloader.OpenConnection.A

Questo Trojan downloader si trova in applet Java manipolate sui siti web. Quando l’applet viene scaricata, viene generata una URL dai parametri dell’applet. Il downloader la utilizza per scaricare un file maligno eseguibile sul computer dell’utente e avviarne l’esecuzione. Questi file possono essere di qualsiasi tipo di software dannoso. Il downloader sfrutta la vulnerabilità CVE-2010-0840 al fine di bypassare la sandbox di Java e quindi scrivere i dati locali.

Gen: Variant.Kazy.45847

Gen: Variant.Kazy.45847 appartiene al gruppo di programmi potenzialmente indesiderati (PUP). Si tratta di un file .dll di nome solidcore32.dll, che viene utilizzato per crepare il gioco per computer Anno 2070. La modifica del file di gioco viene rilevato come dannoso.
Metodologia
La Malware Information Initiative (MII) si basa sulla forza della community online community ed ogni utente delle soluzioni di sicurezza di G Data ne può far parte. L’unico prerequisito è quello di attivare questa funzione all’interno dei programmi G Data. Se un attacco malware viene respinto questo evento viene riportato in maniera completamente anonima ai G Data SecurityLabs dove i dati vengono archiviati ed analizzati statisticamente.

 

Hacker Highschool – Una guida completa al mondo Hacker

Il progetto Hacker High School ha l’intento di fornire materiali istruttivi sul mondo dell’Hacking partendo dalle basi dell’etica Hacker affrontando i principali argomenti.
L’obbiettivo è quello di formare gli utenti sul mondo della Sicurezza Informatica scoprendo le principali tematiche partendo da una corretta etica Hacker, passando dalle porte e servizi di rete per finire in un capitolo dedicato alla legislatura.

Il progetto vede il patrocinio della ISECOM e anche se è datato (2005) è ancora ad oggi un ottima guida per tutti gli aspiranti Hacker, la versione Italiana è stata realizzata grazie alla partecipazione di:

Raoul Chiesa, ISECOM
Doriano Azzena, centro CSAS del progetto Dschola IPSIA Castigliano – Asti
Sophia Danesino, centro CSAS del progetto Dschola ITIS Peano – Torino
Nadia Carpi, centro CSAS del progetto Dschola ITIS Peano – Torino
Fabrizio Sensibile, OPST&OPSA Trainer, @ Mediaservice.net Srl, Torino – ISECOM Authorized
Training Partner
Claudio Prono, @ Mediaservice.net Srl, Torino – ISECOM Authorized Training Partner

È possibile scaricare i dodici capitoli del manuale attraverso i seguenti link:

Lezione 01 – Essere un hacker 26-01-05
Lezione 02 – Windows e Linux 26-01-05
Lezione 03 – Porte e Protocolli 26-01-05
Lezione 04 – Servizi e Connessioni 26-01-05
Lezione 05 – Identicazione del Sistema 26-01-05
Lezione 06 – Malware (Virus, Trojan, etc.) 26-01-05
Lezione 07 – Analisi di un attacco 26-01-05
Lezione 08 – Digital Forensics “casalinga” 26-01-05
Lezione 09 – Sicurezza nell’E-mail e Privacy 27-01-05
Lezione 10 – Sicurezza Web e Privacy 24-07-06
Lezione 11 – Le Password 27-01-05
Lezione 12 – Internet: Legislazione ed Etica 31-07-06

Un Malware potrebbe colpire i device Jailbroken di Apple

Il ricercatore indiano Atul Alex ha annunciato di dimostrare durante il MalCon 2011 un nuovo Malware in grado di introdursi in un dispositivo Apple iOS non solo compromettendo la privacy dell’utente con la possibilità di estrapolare informazioni sensibili ma sarà possibile prendere il pieno controllo del dispositivo.

I dispositivi vulnerabili sono tutti quelli dotati di iOS, compreso il recentissimo iOS 5, pertanto iPod Touch, iPad, iPhone e Apple TV . Il Malware sarà in grado di controllare il dispositivo tramite SMS, accedere alle eMail e alle Note, recuperare dati sensibili contenuti nel dispositivo (foto, registrazioni, video, ecc ecc), registrare le telefonate e visualizzare istantaneamente l’interazione dell’utente con il dispositivo attraverso una VNC.

È possibile essere infettati dal Malware accedendo semplicemente ad una pagina WEB e uno script creato ad hoc provvederà all’installazione del virus che risulterà completamente invisibile all’utente.

Gli utenti vulnerabili sono esclusivamente quelli in possesso di un dispositivo Jailbroken, ovvero con i permessi di root abilitati, lo stesso ricercatore dichiara:

“Apple products are extremely secure by design. The malware works on jailbroken devices – something which over 90% of users have. If your device is not jailbroken, you have nothing to worry about!”.

La dimostrazione della vulnerabilità avverrà il prossimo 26 Novembre 2011 durante il MalCon, conferenza internazionale dei Malware.

[VIDEO] Analisi dell’attacco alla RSA

In diversi luoghi ho parlato dell’attacco avvenuto alla RSA Security lo scorso Giugno 2011 oggi voglio invece mostrarvi un video realizzato da J. Oquendo nel quale viene analizzata la prima fase dell’attacco. Per introdursi nell’azienda è stata utilizzata la tecnica di Spear Phishing inviando ad un dipendente della nota società di sicurezza informatica una eMail contenente una file Excell nel quale vi era con codice VBScript che sfruttava una falla 0Day di Adobe Flash Player.

Grazie a questa escalation è stato possibile accedere ai sistemi interni della RSA Security sottraendo una o più Master Key in grado di generare i codici dei Token OTP (One Time Password).

Nel video vengono utilizzate le principali tecniche ed utility di OSINT (Open Source INTelligence).