Il taccuino di Armando Leotta Rotating Header Image

hacking

Log e dintorni: 138 pagine di attacchi al daemon FTP

Un NAS casalingo, poco tempo e tanti interessi.

Questo è lo scenario di riferimento.

Questa volta spulciando i file di log ho isolato i soliti tentativi spot e improbabili del lamer di turno e quanto è rimasto ha catturato la mia attenzione : 138 pagine di tentativi di login falliti al daemon FTP.

Tutti il 30.03.14, tutti dallo stesso indirizzo IP.

FTP attack

FTP Attack (clicca per ingrandire)

Raccolgo info sull’IP. Di tutto, di più e per non farsi mancare nulla, botnet piuttosto attiva.

Mi vengono in mente le tecniche di fuzzing e le grammatiche sviluppabili su vari framework sia per scovare il buffer overflow che per sferrare l’attacco brute force o dictionary che sia.

Adesso, ringrazio della cortese attenzione ma il $token su cui ciclare è la $password, non lo $username (clicca sullo screenshot per ingrandire)

Detto questo, vedo di trovare il tempo di abilitare un ban dinamico a tempo.

 

Vogliamo guardare in faccia questo #phishing? Ancora #poste

Ancora una volta gli utenti di Poste Italiane sono le vittime di un attacco di phishing.

Una mail, una delle tante che arrivano e che non sono state rilevate dai sistemi di sicurezza?

Non propriamente “una delle tante”.

Guardiamola insieme: ecco come si presenta:

NOTA: tutti i link puntano a poste.it

NOTA: tutti i link puntano a poste.it (cliccare per ingrandire)

Perchè è “ben fatta”? Perchè tutti i link puntano al sito ufficiale di poste.it.

Ripeto per i lettori frettolosi.

Tutti i link puntano a poste.it: il login in alto a destra, il registrati, i banner in basso sia a sinistra che a destra.

Tutti.

Cosa non torna?

Per accedere ai servizi online nessuno si sognerebbe di chiedere i dati di carta di credito al completo (fullz, ndr)!

E’ il caso di controllare il sorgente di questo simpatico htm.

Bingo!

Vedete quel familiarissimo tasto “Accedi”?

_______<stralcio>____

Accedi ai Servizi Online </strong></p>

<form name=”loginform1″ method=”POST” onsubmit=”javascript: return logintest(this);” action=”http://www.XXXXXXXXXX.com/.XXXXXXXX/done.php“>

_______</stralcio>____

Che meravigliosa action!

Pertanto, chi inserisce le credenziali (leggasi i propri dati completi della carta di credito postepay / bancoposta comprensivo di cvv) per “accedere” ai servizi contatta tramite l’azione quel done.php.

Bene.

Verifichiamo cosa fa questo delizioso quanto inaspettato php.

Innanzitutto notiamo se c’è dell’altro sul sito per capire anche la dimensione del fenomeno.

Qui l’attaccante, per probabile dimenticanza o per poter usare la funzionalità con qualche bot, lascia la cartella XXXXXXXX con i permessi per il listing.

Quello che trovo è decisamente un arsenale di tool di attacchi e di spam. Il tutto sfruttabile via web sfruttando le risorse del malcapitato owner del sito web opportunamente bucato.

E non solo.

Trovo un file che non vorrei avere mai trovato.

Tornando sulla pagina incriminata,  scrivendo dei dati finti nella form e completando l’operazione cliccando su “Accedi” si ha l’ennesima triste evidenza: sul server XXXXXX un file è stato appena modificato.

E’ un innocente file di testo che contiene i dati delle carte di credito di tutti gli ignari ed ingenui malcapitati clienti di Postepay/Bancoposta, comprensi quelli fittizi appena inseriti come test.

Ovviamente ho rimosso il nome reale del sito in quanto è ancora raggiungibile.

Mentre vi scrivo ho già effettuato la segnalazione sul sito della Polizia di Stato.

Brutta storia.

Spero serva a riflettere.

#awareness is the key.

_____
Clusit

Hack attempts & good news #security

Un alert insolito.

Fare un po’ di manutenzione e ritrovare tracce di 6 attacchi di crew diverse: priceless.

Codice base64 come se piovesse.
Decodificando mi ritrovo un PHP con POST con tanto di echo “indonesian people is here“.

Se non bastasse, ritrovo altri due php contenenti, secondo sophos per mac, il trojan PhpShel-G e altri dei tentativi di injection test.

Dimenticavo una jpg pronta all’uso: potevano mancare i Martiri di Gaza?

Tentativo di defacement

Cortese visita

I presidi funzionano così come gli alert.

Grazie Bluehost: well done!

 

Iseclab security tool: anubis, wepawet & andrubis

Per gli addetti ai lavori sono tool noti.

In ogni caso segnalo dei tool della International Secure System Lab

Anubis: Analyzing Unknown BinariesParticolarmente attivi ed interessanti Anubis e Wepawet.

Anubis (ANalyze Unknown BInarieS)

Inizialmente era nato come servizio di analisi malware e permetteva di sottomettere esclusivamente eseguibili windows sospetti.

Di recente è stato integrato Andrubis che integra la scansione di APK Android.

E’ possibile anche sottomettere un URL per verificare il comportamento del browser alla ricerca di un drive-by-download attack o similari.

Ottima la reportistica e la profondità di dettagli.

Wepawet

Se invece avete a che fare con un pdf, un javascript o un file flash sospetto potete usare il servizio wepawet.

I sistemi utilizzano un’opportuna sandbox nella quale lanciano il contenuto inviato  che viene tracciato ed analizzato.

Nota: date un’occhiata anche al servizio Exposure.

E’ un servizio web che rileva i domini coinvolti in attività legate a diffusione di codice malevolo: è ancora in beta ma promette decisamente bene.

Akamai report: the state of internet, 2nd quarter 2012

E’ stato pubblicato il report Akamai sullo Stato di Internet, relativo al secondo quarter 2012.
Particolarmente interessanti gli aspetti legati alla sicurezza (traffico, fonti e vettori d’attacco).
Utile anche il punto di osservazione privilegiato di Akamai in termini di connessioni https/ssl e i loro relativi algoritmi di cifratura utilizzati. (SSLv3 e TLSv1).
State of Internet, report akamai

Fonte Akamai

Da notare come la 445 si confermi la porta più “ambita” e che è più che triplicato rispetto al I Quarter il numero dei tentativi di connessione alla 8080 (mi viene da pensare a proxy check e a targeted attack, ndr).

Fonte Akamai

La sezione 1 del report è interamente dedicata agli aspetti di sicurezza mentre le restanti fotografano lo stato di penetrazione e diffusione di Internet nei vari continenti e con le rispettive disponibilità di broadband.

NOTA: Rispetto al I Quarter abbiamo scalzato la Germania dalla TOP 10 … ma si tratta della classifica delle 10 nazioni da cui ha origine il traffico relativo ad attacchi informatici.

Son soddisfazioni

 P.S.: il report è liberamente scaricabile previa registrazione