Prevx CSI+ is alive

È stato pubblicato da poche ore il riassunto dell’ultima delle quattro comparative annuali tenute da AV-Comparatives che prende in analisi le tecnologie euristiche presenti nei software antivirus. Per chi ha meno dimestichezza sull’argomento, in parole povere la tecnologia euristica è quella tipologia di scansione che permette ad un software antivirus di individuare nuovi malware senza la necessità di firme virali specifiche, di prevenire quindi nuove possibili epidemie di malware.

La comparativa vera e propria sarà rilasciata il 1 Dicembre 2007, intanto è possibile però leggere un riassunto con lo score raggiunto da ogni singolo prodotto.

Livello ADVANCED+

• Kaspersky
• Nod32

Livello ADVANCED

• Avast
• AVG
• AVK
• McAfee
• OneCare
• Norman
• Symantec

Livello STANDARD

• Avira
• BitDefender
• Dr.Web
• eScan
• F-Prot
• F-Secure
• Trustport

Prima di commentare su eventuali sorprese - sia in negativo che in positivo - è comunque consigliabile attendere il writeup completo per verificare quanto abbia influito il numero di falsi positivi sul giudizio finale.

AV-Comparatives

Sta girando da diversi giorni nelle caselle di posta elettronica degli italiani una sedicente e-mail che recita:

Oggetto: Ecco quel che ti ho promesso

Ciao Ragazzi, non mi sono scordato della promessa di Sabato sera… Ecco il video de Fiorella! Non mi importa se lo scopre, visto che lei non ha avuto nessun problema a scoparsi 7 uomini assieme. Quindi se volete farlo girare no problem ok? http://xxxxxx.freemoviepro.com/coso.asx

Ciao a presto!

Gianni A. Perutti

L’e-mail è ovviamente falsa e rimanda ad un sito web ospitante malware. La tipologia di infezione è vecchia e di stampo prettamente italiano, molto simile ad una vecchia famiglia di altri trojan che girarono mesi addietro.

L’infezione si presenta sottoforma di falso codec, denominato codec_8-2.exe, necessario per visualizzare il famigerato video promesso nell’e-mail. Nel momento in cui l’utente tenta di aprire il file coso.asx, Windows Media Player è istruito per richiedere il download di questo codec, che a sua volta installerà nella directory di sistema di Windows un Browser Helper Object denominato wbspark.dll. La dll viene riconosciuta da Prevx come Adware.BHO.gen.

Vengono create inoltre le seguenti chiavi di registro:

HKEY_CLASSES_ROOT\CLSID\{bc42164f-2c53-1b42-1563-1a7624a24c11}

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{bc42164f-2c53-1b42-1563-1a7624a24c11}

Viene aggiunta la seguente riga al file HOSTS:

210.14.129.6 www.myfilmcodeclive.com

Al momento l’individuazione del BHO è minima, come da immagine:

Mentre il dropper è riconosciuto da più software antivirus:

Il server, freemoviepro.com (210.14.129.3), è attivo da diversi mesi e contiene vari sottodomini ricollegabili allo stesso falso codec. È assolutamente sconsigliabile la navigazione all’interno di questo sito web. Se ne consiglia, per gli amministratori di rete, il blocco dell’IP.

Per verificare se il proprio PC è infetto, è possibile utilizzare gratuitamente Prevx CSI.

DEBKAfile - sito d’informazione militare localizzato in Gerusalemme che fornisce informazioni e analisi su fatti terroristici, strategie militari e mosse politiche nel medio oriente - avrebbe rilasciato alcune news secondo le quali una cyber-jihad sarebbe stata dichiarata dai seguaci di Osama Bin Laden contro i maggiori obiettivi cybernetici occidentali. Le fonti delle news sarebbero però ignote.

In un comunicato in lingua araba rilasciato Lunedì 29 Ottobre, i seguaci di Osama Bin Laden avrebbero indetto l’inizio della Electronic-Jihad per Domenica 11 Novembre. In quel giorno, gli esperti di sicurezza informatica di Al Qaeda dovrebbero iniziare ad attaccare importanti siti web dell’Occidente, di nazionalità ebraica, israeliana e sciita.

Il primo giorno gli esperti dovrebbero testare le loro abilità contro 15 siti web già scelti e la guerra dovrebbe proseguire fino a quando centinaia di migliaia di pirati informatici islamici saranno entrati in azione contro un non meglio precisato numero di siti web anti-musulmani.

Sempre dalle stesse fonti, sembrerebbe inoltre che un e-mail-network impenetrabile sia stato configurato in maniera tale da poter coordinare le azioni di questa cyber-guerriglia.

Ora, se è vero che DEBKAfile non abbia mai brillato per attendibilità delle notizie comunicate (durante la guerra in Iraq nel 2003 comunicò che Saddam Hussein avrebbe utilizzato armi nucleari e biologiche) e che non è sicuramente la migliore tecnica di attacco quella di avvertire gli eventuali bersagli in anticipo, è altresì vero che gli attacchi DDoS verso importanti siti web internazionali siano aumentati in maniera vertiginosa durante questi ultimi mesi. Stiamo registrando una diffusione di nuovi malware - totalmente sconosciuti ai software antivirus - che desta pensiero, soprattutto perché spesso non fanno rumore e non vengono facilmente individuati.

Lo scopo degli attacker non è più quello di diffondere la propria creatura in tutto il mondo per far parlare di sé, anzi lo scopo è tutto l’opposto. Colpire in maniera precisa un limitato e circoscritto territorio, senza far troppo rumore, al fine di ottenere un certo numero di PC sotto il proprio controllo. Ottenere una botnet di decina di migliaia di pc, sparsi in tutto il mondo non è un’opera difficile, basti vedere come un’infezione come Gromozon si diffuse in maniera silenziosa per mesi.

Una botnet da almeno 25.000 zombie basta per mettere in crisi molti server e al momento sono tracciate botnet anche più numerose, secondo alcune statistiche i pc che potrebbero far parte di botnet sono un quarto dei pc connessi ad internet - circa 150 milioni.

Continuo a pensare che la prossima guerra mondiale sarà virtuale, almeno in parte.

Sono passati alcuni giorni dal mio primo articolo relativo alla compromissione dei siti web su alcuni server dell’hoster Seeweb ed è arrivata, per mezzo di Punto Informatico, una interessantissima risposta da parte della stessa società. A prescindere dai motivi tecnici e dall’analisi delle cause dell’attacco, è da apprezzare la veloce risposta pubblica che il CEO di Seeweb Antonio Baldassarra ha rilasciato per chiarire la situazione e mettere al corrente, indice di interessamento della società verso i propri clienti.

Detto questo, più importante di quanto possa sembrare, si può passare a ragionare sulle possibili modalità con cui questo attacco sia stato sferrato.

Da quanto si apprende dalle dichiarazioni di Seeweb, le pagine modificate sembrerebbero essere state modificate previo accesso ftp con le credenziali corrette. Su questo punto non ci dovrebbero essere grossi dubbi, anche perché si è già a conoscenza di numerosi tool venduti nel mercato nero online adibiti a questo scopo - cioè alla modifica delle pagine web con accesso via ftp e credenziali corrette, controllo se il codice iniettato sia ancora presente dopo un lasso di tempo e in caso possibile nuova re-iniezione del codice.

Ora bisogna fare un passo indietro e tentare di immaginare come sia stato possibile ricavare le credenziali di accesso per i siti web.

Seeweb ha dichiarato che le macchine colpite non presentano vulnerabilità note né sono soggette ad exploit zero-day a livello di rumors. Tralasciando per un momento gli attacchi zero-day, che non sono di facile individuazione sebbene si possano utilizzare strumenti di prevenzione e di analisi statistica, il problema, almeno secondo il mio parere, non è stato totalmente centrato.

Il fatto che in questo momento le macchine non soffrano di alcuna vulnerabilità nota non esclude a priori che in periodi passati non ci possa essere stato un qualche - seppur breve - periodo in cui le macchine siano state vulnerabili a qualche tipologia di attacco zero-day poi patchata nel giro di qualche giorno. Non voglio né posso assolutamente affermare che i tecnici di Seeweb non abbiano aggiornato tempestivamente le macchine con le ultime patch di sicurezza non appena queste siano state rilasciate.

Ciò su cui volevo far riflettere è il fatto che non necessariamente il lasso di tempo intercorso tra i due attacchi - tra quando le credenziali di accesso sono state recuperate e quando sono state utilizzate - sia minimo. In altre parole le credenziali potrebbero essere state recuperate molto tempo prima, magari in un periodo durante il quale era stato scoperto un possibile zero-day exploit o una vulnerabilità nota non tempestivamente sistemata. Poi, una volta recuperate, potrebbero essere state vendute al miglior offerente - identità digitali e password sono, ahimé, merce pregiata.

Come anche Baldassarra ha fatto notare, infatti, c’è una sorta di differenziale tecnologico nelle due fasi dell’attacco, il che lascia presumere che non siano state le stesse persone ad averli effettuati.

Altra ipotesi, rimarcata dallo stesso product manager di Seeweb, è quella di un probabile sniffing della rete. Quello che, almeno a prima vista, mi sembra particolarmente difficile è che sia stato effettuato al di fuori fuori della rete Seeweb. Insomma, in altre parole o gli attacker sono stati bravi e fortunati a beccare tutti gli username e password di gran parte degli utenti che erano ospitati su precisi server o qualcosa non torna. Le modalità di attacco sono state le stesse utilizzate contro Aruba e Hosting Solutions, anche se gli iframe iniettati non sempre sono stati gli stessi - questo a rafforzare l’ipotesi di gruppi differenti nell’utilizzo delle credenziali mentre un possibile unico gruppo in grado di recuperarle in qualche maniera. Le ipotesi che potrebbero venir fuori sono:

• gli attacker sono stati fortunati e sniffando li hannno beccati tutti di Seeweb;
• visti i siti compromessi sia su Aruba che su Seeweb e Hosting Solutions, questi eventuali pirati informatici sono in possesso di centinaia di migliaia di credenziali di accesso ricavati da continui sniffing della rete nazionale (magari con keylogger installati su centinaia di migliaia di pc) e li utilizzano in gruppi di singoli hosting provider ogni volta che lanciano un attacco (il che sarebbe veramente preoccupante);
• lo sniffing è avvenuto in qualche maniera all’interno della rete, magari da qualche macchina che risiede nel percorso di rete tra l’utente e il proprio server e che può interfacciarsi sul traffico; magari una macchina che è stata compromessa per un breve lasso di tempo per poi essere formattata e reinstallata da parte dei tecnici ignari che la macchina appena formattata stesse in realtà funzionando da sniffer di rete.

Cercare un elemento che accomuni i clienti colpiti non è semplice, soprattutto perché a questo punto non si tratta solo dei clienti di Seeweb ma anche le migliaia di utenti colpiti su Aruba e poi ancora Hosting Solutions. In tutti e tre i casi sembrerebbe che gli iframe siano arrivati legalmente da un accesso ftp. Ma cosa possono avere migliaia di utenti in comune? Personalmente ritengo sia difficile trovare qualcosa che li possa accomunare.

Interessante potrebbe essere svolgere la seguente indagine: controllare su uno dei server colpiti le date di creazione e di ultimo update del dominio attraverso un servizio Whois e controllare quale è il limite massimo in termini di data temporale tra i domini colpiti; controllare poi se i domini non colpiti siano stati creati dopo questo limite temporale. Se c’è una certa corrispondenza, con un lieve margine di errore e imprecisione, si potrebbe già restringere il campo e le date su quando l’attacco si potrebbe essere svolto.

Io purtroppo il tempo di fare questa indagine non ce l’ho al momento.

Come avrete potuto notare, il sito PC Al Sicuro risulta ultimamente poco aggiornato. Lavoro, studio e impegni personali mi stanno saturando di molto il tempo libero, limitando il tempo dedicato a sito e forum.

Approfitto di questi due minuti durante una lezione universitaria per aggiornare queste pagine con una segnalazione che mi è stata riportata giorni fa.

Come si è parlato già addietro, il 2007 è diventato di diritto l’anno delle compromissioni dei siti web da parte dei malware writer. Si è parlato di Hosting Solutions, si è parlato di Aruba, si è parlato di alcuni siti di rilevanza nazionale infettati da iframe nocivi.

Continuando nelle indagini, anche il noto fornitore di connettività e hosting/housing Seeweb sembrerebbe essere stato preso di mira durante questa ondata di pirateria informatica.

Un discreto numero di siti web ospitati su alcuni server della nota società italiana sono stati alterati, molti dei quali sembrerebbe inoltre siano stati modificati durante queste ultime settimane.

Poco meno di un centinaio di siti web, di cui circa 70 gli ultimi arrivati, contengono nel codice della propria home page un iframe che reindirizza il browser dell’utente ignaro verso un terzo server contenente codice maligno.

L’infezione che ne deriva, in caso si utilizzi software non aggiornato, è il solito Rootkit.DialCall con sample aggiornati per evitare di essere individuati dai software antivirus. Il nuovo indirizzo IP utilizzato dai malware writer è 81.29.241.238, sempre appartenente allo stesso range degli indirizzi IP precedentemente utilizzati per la stessa infezione e facente capo al range generale 81.29.240.0/20 gestito da LLC GlobalWholesaleTrade.

I file e le voci di registro create sono:

%Windir%\service32.exe
%Windir%\syss.dll

HKLM\software\microsoft\windows\currentversion\policies\explorer\run\
[6G98D2X74V = %Windir%\service32.exe]

HKLM\software\6g98d2×74v\

Sembrerebbe che gran parte dei server che ospitano i siti web compromessi siano basati su GNU/Linux Debian e web server Apache, sebbene alcuni siano ospitati anche su Microsoft IIS. I controlli che sono stati fatti sono stati effettuati su un range limitato di indirizzi IP per cui non è possibile fornire un resoconto completo dei siti compromessi, resoconto che potrebbe fare esclusivamente Seeweb.

Rimane, come per gli altri casi, il dubbio su come sia stato possibile per i malware writer inserire iframe all’insaputa degli amministratori di siti web. Se per un sito web o per un paio potrebbe essere stato possibile il furto di credenziali, già questa opzione risulta più difficile da concepire per una trentina di siti ospitati su uno stesso IP e un’altra ventina su un altro IP.

Per chi vuole può fare una scansione gratuita con Prevx CSI, scanner standalone che non necessita di installazione e verifica eventuali infezioni all’interno del PC.

*** UPDATE ***

A pochissime ore dalla pubblicazione della notizia sembrerebbe Seeweb abbia rimosso tutti gli iframe dalle pagine infette. Tuttavia, parrebbe che qualche script automatico sia installato in alcuni dei server poiché - se è vero che Seeweb ha filtrato e pulito i siti precedentemente compromessi - sono apparsi pochissime ore fa altri siti infetti sugli stessi server, differenti dai primi.

Come semplice utente - ma anche come ricercatore - mi è sempre piaciuto poter avere dei tool standalone da portarmi dietro su una usb pen drive o comunque da poter utilizzare indistintamente su qualunque pc senza dover ricorrere ad una procedura di installazione. Inoltre, anche il poter verificare se il proprio sistema sia esente da infezioni in maniera rapida e senza dover ricorrere a troppi tecnicismi può risultare qualcosa di utile e di interessante, soprattutto se può servire come check aggiuntivo per controllare la bontà del software di sicurezza scelto che protegge quotidianamente il pc.

È per questo che dopo alcuni mesi di lavoro Prevx rilascia Prevx CSI, uno scanner totalmente free e standalone per poter verificare in maniera rapida - due minuti circa - se sul proprio sistema operativo siano attive infezioni. Solo nel caso ve ne siano, allora si può ricorrere al download di Prevx 2.0 per la rimozione e la bonifica del sistema.

Prevx Computer Security Investigator (CSI) si appoggia al già vastissimo database comunitario di Prevx e non necessita - come d’altronde Prevx 2.0 - di aggiornamenti di firme virali poiché è il database centrale ad essere costantemente aggiornato. Basta scaricare il tool per poter verificare con pochi rapidi click se il proprio PC è veramente pulito, come il prodotto di sicurezza dall’utente scelto sembrerebbe affermare.

Prevx CSI unisce la potenza del database comunitario di Prevx alla semplicità di un tool free standalone, utilizzabile ovunque senza dover ricorrere a procedure di installazioni e senza rischiare eventuali conflitti software.

Prevx CSI è scaricabile da qui.