Niente in questi giorni ho riletto questo articolo di samuele dal suo blog, sostanzialmente una rielaborazione del pensiero che deriva dalla teorema della scimmia instancabile (qui).
Grazie per la riflessione, ora ho capito che “L’internet” non è altro che il bar dello sport a livello globale, grazie umanità.
Ok, il titolo di questo post è complicato ed è per addetti ai lavori, ovviamente non scendo troppo in tecnicismi… magari anche l’utente comune capisce che cosa sto raccontando.
Durante l’analisi di malware giunto alla mia casella e-mail personale ho scoperto una nuova tecnica di comunicazione di malware con il proprio centro di controllo, nonostante l’indirizzo HTTP di questo centro di controllo ritorni un HTTP Status 404; vediamola nel dettaglio.
Lo stage 1 si presenta come mail innoqua che mi spinge a cliccare sul finto file excel allegato, facendomi credere si tratti di una fattura a me intestata.
Ovviamente non si tratta di un file excel ma di un file eseguibile:
dreams@ai:~/Desktop/Malware/malware$ file Fat._febbraio_2016\ xls_.XLS.exe
Fat._febbraio_2016 xls_.XLS.exe: PE32 executable (GUI) Intel 80386, for MS Windows
Per ora ignoriamo i dettagli di funzionamento di questo specifico malware sapendo che il suo obbiettivo è solo quello di scaricare lo stage 2 una volta avviato, download che avviene dall’indirizzo hxxp[:]//www.tajjquartet.com/ff/serif/payload.exe.
Difatto lo stage 1 si caratterizza per un attacco di phishing verso l’utente con l’incoulazione di un trojan-downloader.
A questo punto inizia la vera e propria infezione della macchina, payload.exe oltre ad effettuare alcune verifiche tecniche (ad es: se sta girando su un ambiente virtuale, se si tratta di una sandbox etc etc) si preoccupa di disattivare il firewall di windows e altre feature di sicurezza e successivamente rilascia (drop) un ulteriore eseguibile contenuto al suo interno, lo avvia e gli garantisce la persistenza al riavvio (crea la chiave di registro per l’autostart), il file droppato si chiama winhelp.exe posizionato nella home directory dell’utente.
Lo stage 2 si caratterizza per l’esecuzione di un trojan-dropper e la modifica della politica di sicurezza della macchina (all’insaputa dell’utente).
A questo punto la macchina risulta compromessa, ad ogni avvio viene avviato winhelp.exe ipotizzo che il suo compitoa principale sia quello di mantenere attiva la comunicazione con il C&C, ok in che modo??
Dall’analisi delle stringhe in memoria non si trova nessun riferimento a URL in particolare, però mi ha colpito immediatamente la presenza di header HTTP e di un base64
dreams@ai:~/Desktop/Malware/malware$ strings winhelp.exe.txt | grep “=”
=uhj
=hH8A
hh=A
exec=1&task_id=%S
cmd=1&uid=%s&os=%s&av=%s&version=%s&quality=%i
fail=1&task_id=%S
OPEN=%s
action=Run
aHR0cDovL2NvbnNpbGRlcnR1ZnVuLnh5ei9jc3MvYWpheC5waHA= <—- BASE64
auth=1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 <—- header
Accept-Language: en-us,en;q=0.5
[…]
A questo punto passo la stringa base64 al motore di decodifica e vediamo che accade:
dreams@ai:~/Desktop/Malware/malware$ decode aHR0cDovL2NvbnNpbGRlcnR1ZnVuLnh5ei9jc3MvYWpheC5waHA=
Decoding base64
hxxp[:]//consildertufun.xyz/css/ajax.php
“bingo!” mi viene da affermare anche perchè dal resto dell’analisi non emerge alcun altro URL ne, tanto meno, altri metodi di comunicazione verso l’esterno, quindi non può essere che questo il mio c&c.
Purtroppo qualcosa non torna, difatto facendo una prova per vedere se effettivamente il C&C fosse ancora attivo ottengo come risultato un bel 404 file not found.
A questo punto un analista normalmente penserebbe che il C&C non è più attivo e quindi l’analisi finisce qui… eppure il giorno successivo accade un altro fatto, ricevo una nuova mail contenente un nuovo stage 1, nome diverso, mittente diverso allegato diverso ma l’analisi di questo emerge che punta al medesimo stage 2, ovvero payload.exe.
Perchè continua la distrubuzione di un malware verso un C&C che non funziona?
Probabilmente sono stato troppo frettoloso nel classificare il centro di controllo come morto.. inizio a vagliare le possibilità, magari il C&C viene attivato solo in determinati orari o in determinati giorni… o forse… forse c’è dell’altro.. così ricontrollo meglio le stringhe di winhelp.exe e noto una caratterista che pensavo fosse semplicemente un camuffamento per far sembrare la sessione http in uscita più uamana.
dreams@ai:~/Desktop/Malware/malware$ strings winhelp.exe.txt | grep cooki -i
document.cookie=
Cookie: %s
Cookie: authkeys=21232f297a57a5a743894a0e4a801fc3
Cookie: authkeys=21232f297a57a5a743894a0e4a801fc3
Cookie: authkeys=21232f297a57a5a743894a0e4a801fc3
Cookie: authkeys=21232f297a57a5a743894a0e4a801fc3
Perchè utilizzare veramente un cookie?
Incuriosito da questo dettaglio passo a fare una analisi del malware in contesto reale, con una reale connessione ad internet. Dopo qualche tempo recupero il file pcap generato con tutte le connessioni di rete e noto che effettivamente i post avvengono verso il sito, ed il sito risponde 404, ma qualcosa cambiava:
La dimensione (Length) della sessione variava, e anche di tanto… come era possibile? cosa stava facendo realmente questo malware?
Approfondisco l’analisi di una specifica sessione HTTP (la prima, tanto per iniziare), ed ecco l’estratto:
Per chi è abituato a vedere codice HTML noterà subito il commento appeso a fine pagina tra le righe chiamate DEBUG, anche in questo caso abbiamo un bel base64 che passato subito al motore di decodifica ci mostra quanto segue:
dreams@ai:~/Desktop/Malware/malware$ decode cG9uZw==
Decoding base64
pong
PONG? ebbene si… il c&c è vivo e risponde correttamente…
Ovviamente l’analisi poi è continuata, il malware ha scaricato ulteriori stage per effettuare altre attività che ora ometto.
Nella mia piccola carriera di analisi malware e di attacchi informatici non ero mai capitato in una casisitica come questa.
Mi ha colpito la semplice genialità dell’utilizzare una stato HTTP permesso e “valido” ma per abitudine considerato “non valido” per ingannare tutte le potenziali analisi.
Ne vedremo delle belle…
In questi giorni mi domando quale sarà il futuro del campo in cui lavoro, ovvero la sicurezza informatica, fino a non poco tempo fa si diceva che la cyberwar non esisteva o che l’APT fosse inventato invece ora questa attività, reali, sembrano già vecchie.
Personalmente credo che il mercato della sicurezza si dovrà ampliare mostrusamente visto ormai come l’informatica venga applicata anche a realtà che “informatiche” non erano; pensiamo allo scandalo della jeep cherokee uscito in questi giorni.
In particolare quello che mi affascina di più sono tutte le future applicazioni nel campo della domatica; stiamo andando verso la casa iper-connessa ma con una livello di sicurezza non adeguato (almeno a mio parere) sopratutto visto quanto sarà calata nella riservatezza o alla privacy tutta domestica.
Che sia ora di mandare il CV a BTicino? 🙂
Siamo la generazione della guerra digitale.
Guerra senza limiti. L’arte della guerra asimmetrica fra terrorismo e globalizzazione
Qiao Liang; Wang Xiangsui
[…]
L’epoca dei “soldati forti e coraggiosi, eroici difensori della patria” è tramontata. In un mondo in cui persino l’espressione “guerra nucleare” diverrà forse gergo militare obsoleto, è probabile che un pallido, occhialuto studioso sia più adatto a diventare un soldato moderno rispetto ad un giovane muscoloso senza grosse pretese intelletuali. La miglior dimostrazione di questo è forse una storia, che circola negli ambienti militari occidendali, di un tenente che ha utilizzato un modem per mettere in ginocchio una divisione navale.
[…]
Nel 1994 in tema di sicurezza vi sono state 230.000 intrusioni nelle reti della difesa americana. Quante di queste erano atti distruttivi organizzati da combattenti non professionisti?
[…]
Proprio come la tecnologia moderna sta modificando le armi e il campo di battaglia, nello stesso tempo sta offuscando il concetto di partecipanti alla guerra. D’ora in poi, i soldati non avranno più il monopolio della guerra.
[…]
(“chi combatte” – Guerra senza limiti)
Faceva caldo, la notte che bruciammo Chrome. Nei viali e nelle piazze le falene sbattevano fino a morire contro le luci al neon, ma nella mansarda di Bobby l’unica luce era quella del monitor
La notte che bruciammo Chrome – William Gibson
Oggi in pausa pranzo sono rimasto affascinato da questo articolo apparso su corriere:
(leggi tutto)
Ovviamente l’articolo è scritto da un giornalista Italiano, quindi sarà molto approsimativo, però quello che mi interessa è la notizia in sè…si perché questi scenari sono stati argomento di dibattito da “bar” con alcuni amici e insomma… credo di aver sbagliato paese.
Grillo Parlante
Che ricordo incredibile d’infanzia che è questo…. ora penso che tutti quelli della mia generazione in passato abbiano avuto a che fare con il grillo parlante (io lo avevo… e spero di averlo ancora in cantina!)
Per fortuna su internet è possibile trovare tanto materiale video al riguardo ma per prima cosa, lo spot:
Notevole… sopratutto gli effetti di speciali… diavolo erano gli anni 80 !!! 😀 ahahah
Comunque, sostanzialmente, era un minicomputer che faceva text-to-speach e spelling (tra l’altro il nome originale era speak & spell prodotto dalla Texas Instruments e distribuito in Italia dalla Clementoni).
Comunque devo ammettere che era veramente bello… e teoricamente anche istruttivo… anche se ora non ne sono più così convinto…(viste le mie scarse capacità calligrafiche!)
Ma ancora oggi mi rimane un dubbio… perchè quando non capiva diceva “NON RICEVO” ?
Giusto per farvi capire (o commuovere) eccovi come funzionava:
Ilota a tutti!!!
il K&R
Articolo tratto da mal di tech (corriere.it)
Dennis Ritchie se n’è andato 6 giorni fa (ma la notizia si è diffusa in rete ieri). Senza grande clamore, se non fra gli addetti ai lavori. Il che è comprensibile. Non era un venditore e i suoi gadget non sono entrati nelle case di miliardi di persone. Non guidava aziende quotate al Nasdaq. Né faceva keynote ammaliando le folle.
Ma senza di lui non esisterebbero Linux, né Mac Os X. E neppure Windows. E parecchia altra roba. Di fatto Ritchie, una delle colonne dei Bell Labs, ha inventato – con altri – l’informatica moderna. Tra i “figli” di Ritchie c’è Unix, il primo sistema operativo che ha conquistato l’ambiente professionale (server, super-computer). Grazie Unix è nato Linux. E più tardi anche Mac Os X.
L’altra creazione di Ritchie è il linguaggio di programmazione C. Il cosiddetto K&R (il titolo italiano è Il linguaggio C) dai nomi degli autori (Brian) Kernighan e (Dennis) Ritchie, è tuttora uno dei testi fondamentali per impadronirsi della materia. Una gran bella fetta del kernel (il “nocciolo”) di Windows NT e delle sue evoluzioni come Xp e Seven, è stata scritta proprio in C. Il C ha figliato altri diffusissimi linguaggi come il C++ e Objective-C, che tanta importanza ha per le app di iOs. Insomma, senza Ritchie forse non giochereste neanche a Angry Birds. Pensateci mentre tirate giù quei maledetti porcelli.
etica - da internet
Storicamente il problema “etico” c’è sempre stato per chi ha a che fare con la sicurezza informatica, sopratutto per chi arriva dall’underground… si sente spesso di parlare di “White hat” o di “Black Hat” (i Red Hat sono una cosa diversa..) ed effettivamente il discorso l’ho sempre smarcato abbastanza facilmente “dici X tanto poi fai quello che vuoi, chi ne paga le conseguenze sei tu… ” questo perchè effettivamente non hai visibilità su quello che le tue azioni possono portare alle persone…
Ma se un giorno non tutto cambiasse… e quel giorno potessi vedere candidamente che dal tuo operato può dipendere la vita lavorativa di una persona (più o meno sconosciuta ma che “vedi” , che è tangibile) cambierebbe qualcosa nel tuo pensiero? Ti farebbe riflettere di più su quello che fai?
Per semplificare il discorso, è come se il progettista di armi da fuoco si è mai domandato “Ma qualcuno perderà la vita per quest’arma che io sto progettando”? come si è rispoto? a parte “si” vista la banalità della domanda…
Di certo per mettersi l’anima in pace potrebbe aggiungere”non sono responsabile dell’incompetenza o dell’abuso che ne faranno terzi” o anche “per 1 che ne muore magari 100 se ne salvano facendone un uso <<legittimo>>”… ma non rimane comunque il pensiero quei 100 giustificheranno quel singolo?
Ma se non avessi mai progettato quell’arma da fuoco oltre a non morire quel singolo non è che i rimanenti 100 non sarebbero mai stati in pericolo?
Ok l’esempio non è calzante con il mondo dell’informatica ma era per semplificare.. ma tanto la conclusione è la medesima… boh!
ok adesso partite pure con il dire “tanto se non lo faccio io lo farà qualcun’altro…” oppure “basta che mi paghino bla bla bla”.
/* * WARNING: Don't even consider trying to compile this * on a system where sizeof(int) < 4 sizeof(int) > 4 is fine; * all the world's not a VAX. */
