Attacchi DDoS e Botnet

Cryptominer usa rootkit per nascondersi

Un report di TrendMicro illustra come sia iniziata l’era del cryptomining - cioè la generazione di criptovalute tramite l’utilizzo non autorizzato delle risorse computazionali delle vittime - tramite rootkit. Un rootkit è essenzialmente softwarecon privilegi d'accesso normalmente non consentiti. Un’attività di cryptomining è facilmente individuabile con quegli strumenti (Task Manager di Windows, top di Linux, etc..) che mostrano in tempo reale l’utilizzo di CPU, oltre che notando un generale peggioramento delle prestazioni della macchina, ed infatti esistono soluzioni affidabili di prevenzione.

Il malware individuato, ribattezzato Coinminer.Linux.KORKERDS.AB, sfrutta un rootkit, nella fattispecie Rootkit.Linux.KORKERDS.AA, che nasconde le sue attività ai sistemi di controllo, risultando virtualmente invisibile a sistemi e sysadmin: prestazioni degradate e nessuna traccia, in pratica un incubo. Infatti i rootkit hanno la caratteristica di lavorare a basso livello con privilegi e accessi altrimenti non consentiti che consentono di sfuggire agli strumenti tradizionali di scansione e monitoraggio.

Come best practices, TrendMicro raccomanda di rinforzare l’adozione del principio dei minimi privilegi minimizzando o, meglio, disabilitando l’uso di librerie non verificate, eseguire un hardening dei sistemi, proporre una corretta politica di controllo accessi, monitorare i sistemi ed eseguire aggiornamenti tempestivi.

Necurs è la botnet responsabile di una pesante campagna sextortion

Necurs è una botnet responsabile di diversi attacchi e distribuzione di spam, più volte apparsa in questa rubrica. Recentemente si è resa responsabile di un’ondata di spam di tipo “sextortion”, un portmanteau tra le parole sex ed extortion, come rilevato da Jaeson Schultz di Cisco Talos

Il contenuto della mail è facilmente indovinabile: vengono richiesti dei soldi (l’estorsione) in cambio della non divulgazioni di materiale riguardo la sfera sessuale della vittima. La campagna è stata più efficace grazie alla modifica del campo From contenuto nelle intestazioni (headers) del messaggio, che normalmente contiene l’indirizzo del vero mittente, mentre nel caso delle mail spam come queste, contiene l’indirizzo del destinatario, cioè della vittima, rendendo più credibile il contenuto del messaggio agli occhi di un utente poco avveduto.

In caso di ricezione di una mail simile, cestinarla senza pensarci e non cliccare link, rispondere o tantomeno pagare. Non solo ransomware o crypto-mining: anche la vecchia tecnica dello spam, unita al desiderio più primordiale del genere umano, arricchisce gli hacker.

Ransomware

KingMiner è un nuovo cryptominer in evoluzione

I ricercatori CheckPoint hanno individuato un cryptominer, cioè malware che sfrutta la potenza computazionale del computer vittima per fare mining di cripto-valute, con caratteristiche evolute.

Il malware attacca Windows Server (principalmente IIS e SQL Server) e guadagna accesso tramite attacchi brute force; quindi esegue un controllo sulla struttura del server, cancella tracce di attacchi di versioni precedenti e scarica il payload in formato non zip, bensì XML eludendo così i controlli. Il file contiene un blob codificato Base64 che contiene il vero payload in formato zip, che include il miner XMRig CPU. L’eseguibile contenente il miner viene eseguito dopo essere stato “assemblato” da libreria DLL, file di configurazione e ed eseguibile vero e proprio, risultando in un’attività di emulazione che non viene rilevata dagli antivirus.

I ricercatori CheckPoint hanno notato il pattern in evoluzione del malware: la prima versione, risalente a giugno, aveva un payload non offuscato e quindi facilmente individuabile; una seconda versione, risalente ad settembre, aveva il payload offuscato ma non il metodo corretto di emulazione. Infine la versione di ottobre, l’ultima, contiene miglioramenti nel file di configurazione di XMRig e la creazione di chiavi di registro, in modo da passare inosservato.

Disponibili nuovi strumenti di decifrazione per diversi ransomware

Se da una parte il mondo dei ransomware ogni mese vede nuove minacce, è anche vero che grazie al lavoro di volontari e ricercatori vengono sviluppati strumenti per decifrare i dati cifrati dai ransomware: se non si hanno dei backup pronti da ripristinare, il consiglio è di conservare i file cifrati in attesa di un tool apposito. L’instancabile Michael Gillespie ha rilasciato uno strumento per CryptoNar e uno per STOP Ransomware

BitDefender ha rilasciato strumenti per GandCrab 1, 4, 5 (che tuttavia sembra non decifrabile a seguito di una versione aggiornata di GandCrab 5, Alex Svirid ha rilasciato uno strumento per WannaCash ed infine, Dr.Web ha rilasciato uno strumento per DCRTR.

La pagina dedicata del progetto NoMoreRansom rimane il punto di riferimento, e il servizio Ransomware ID di MalwareHunter Team permette di identificare quale ransomware ha cifrato i vostri file tra i 500 in catalogo

Vulnerabilità

Attacco remoto consente di spegnere gli apparati di rete Cisco

Cisco ha rilasciato un security advisor in cui avverte della presenza di un bug che consente di spegnere e riavviare alcuni apparati di rete. Una vulnerabilità in un protocollo del motore di ispezione del software della serie ASA e TDF consente ad un utente remoto e non autenticato di riavviare il dispositivo o aumentare artificialmente il carico di lavoro della cpu, risultando in una condizione di attacco DoS.

Il bug è dovuto ad una gestione errata del traffico da parte del protocollo; Cisco ha rilasciato degli update che risolvono il problema, disponibili per i clienti con supporto tecnico attivo.

Vulnerabilità in Virtualbox consente di arrivare a ring3 dell’hypervisor

Il ricercatore InfoSec Sergey Zelenyuk ha scoperto una vulnerabilità in Virtualbox che consente di arrivare a ring3 dell’hypervisor.

La vulnerabilità coinvolge tutte le macchine virtuali create con Virtualbox fintanto che sono configurate con scheda di rete Intel PRO/1000 MT Desktop (82540EM) (per intenderci, la Intel E1000) e modalità NAT.

La E1000 ha una vulnerabilità che consente ad un attaccante con privilegi di root (o amministratore) in una vm di arrivare su host fino a ring3; qui può sfruttare altre vulnerabilità dell’host -se presenti- per arrivare addirittura a ring0 e avere il più totale controllo della macchine fisica.
Non è una vulnerabilità facilmente sfruttabile e richiede una certa competenza, tuttavia la falla di sicurezza è evidente e pone seri rischi.

In attesa di una patch da parte di Oracle ci sono due strade per mettersi al sicuro: o cambiare la scheda di rete virtuale, oppure non usare la modalità NAT (con la E1000).

Kubernetes rilascia patch per bug di tipo “privilege escalation”

Red Hat ha identificato  una vulnerabilità, catalogata come CVE-2018-1002105 e con impatto critico, che coinvolge Kubernetes e consente di guadagnare permessi di root (“privilege escalation”) in Kubernetes, un sistema di orchestrazione di container micro-servizi. Il bug consente di guadagnare permessi indipendentemente dal motore computazionale sottostante, ad esempio OpenShift Container Platform, e prendere controllo dei pod (il termine usato dal prodotto per indicare i cluster di container) se l’utente ha normali permessi di tipo exec/attach/portforward; in ambito OpenShift, le API metrics-server e servicecatalog consentono di guadagnare accesso anche ad utenti non autenticati.

Le seguenti versioni di Kubernetes contengono la patch risolutiva: v1.10.11, v1.11.5, v1.12.3 e v1.13.0-rc.1.

News dai vendor

PHP 5 sarà obsoleto nel 2019

Il ciclo vitale della versione 5 di PHP si avvia alla sua naturale conclusione: il 31 dicembre 2018 cesserà il Security Support alla versione 5.6, l’ultima della famiglia di PHP 5, come spiegato nella tabella di mantenimento delle release. Anche PHP 7.0 ha finito di ricevere il Security Support, addirittura a inizio dicembre. In entrambi i casi è richiesta l’adozione di una release più recente di PHP; le implicazioni relative alla sicurezza di un linguaggio considerato in EOL (End-of-Life) sono ovvie.

In questo post del blog Wordfence sono presenti ulteriori considerazioni.

Microsoft consente di eseguire Windows Defender in una sandbox

Per un corretto ed efficace funzionamento, gli antivirus hanno bisogno di avere visibilità totale sul sistema che controllano, hanno in genere permessi elevati: ma questo significa anche che possono offrire la massima esposizione nel caso in cui un malware riuscisse ad “evaderli”.
Da questa considerazione nasce l’idea di utilizzare un ambiente protetto in cui eseguire il programma, la sandbox appunto, in modo che un’eventuale fuoriuscita del malware non faccia danni al sistema; diversi antivirus supportano questa modalità.

Tra i quali c’è anche Windows Defender, l’antivirus che Microsoft include nel suo sistema operativo.

Ulteriori dettagli, incluso come abilitare la modalità, sono disponibili in questo post del blog Microsoft. 

Tuesday Patch di Microsoft

Come ogni secondo martedì del mese, Microsoft ha rilasciato il pacchetto cumulativo di aggiornamenti per sistemi Windows noto come Patch Tuesday. Viene installato automaticamente se gli aggiornamenti automatici sono abilitati, altrimenti è disponibile tramite Windows Update. Tra i 53 problemi sistemati in 12 diversi prodotti, citiamo quelli relativi a Office, Edge, Internet Explorer, Office e Office Services and Web Apps, ChakraCore, Adobe Flash Player, .NET Framework, ASP.NET, Skype for Business e Visual Studio. In nessun caso le vulnerabilità sono state in precedenza sfruttate per attacchi.

Questo post del blog GFI riassume bene gli aggiornamenti contenuti nel Patch Tuesday.

È possibile selezionare i singoli pacchetti di aggiornamento e trovare ulteriori informazioni sulle patch tramite la Security Update Guide. 

L'autore

Lorenzo Bedin

Laureato in Ingegneria delle Telecomunicazioni, svolge l'attività di libero professionista come consulente IT, dopo un periodo di formazione e esperienza in azienda nel ruolo di sistemista Windows e Linux. Si occupa di soluzioni hardware, siti web e virtualizzazione.

banner5

fb icon evo twitter icon evo

Parola del giorno

L'acronimo SoC  (System on a Chip) nasce per descrivere quei circuiti integrati che, all'interno di un singolo chip fisico, contengono un...

>

YAML è un formato utilizzato per serializzare (ovvero salvare oggetti su supporti di memoria ad accesso seriale) dati, in modo...

>

Il termine Edge Computing descrive, all'interno di infrastrutture cloud-based, l'insieme di dispositivi e di tecnologie che permettono l'elaborazione dei dati ai...

>

L'acronimo FPGA  (Field Programmable Gate Array), descrive quei dispositivi hardware formati da un circuito integrato e con funzionalità programmabili tramite...

>

Il termine Agentless (computing) descrive operazioni dove non è necessaria la presenza e l'esecuzione di un servizio software (demone o...

>
Leggi anche le altre...

Download del giorno

Fiddler

Fiddler è un server proxy che può girare in locale per consentire il debug delle applicazioni e il...

>

Adapter Watch

Adapter Watch è uno strumento che permette di visualizzare un riepilogo completo e dettagliato delle informazioni riguardanti una determinata...

>

DNS DataView

DNS Lookup  è un tool a interfaccia grafica per effettuare il lookup DNS dal proprio PC, sfruttando i...

>

SolarWinds Traceroute NG

SolarWinds Traceroute NG è un tool a linea di comando per effettuare traceroute avanzati in ambiente Windows...

>

Network Inventory Advisor

Network Inventory Advisor  è uno strumento che permette di scansionare la rete e acquisire informazioni riguardanti tutti i...

>
Tutti i Download del giorno...

Archivio numeri

  • GURU advisor: numero 19 - luglio 2018

    GURU advisor: numero 19 - luglio 2018

  • GURU advisor: numero 18 - aprile 2018

    GURU advisor: numero 18 - aprile 2018

  • GURU advisor: numero 17 - gennaio 2018

    GURU advisor: numero 17 - gennaio 2018

  • GURU advisor: numero 16 - ottobre 2017

    GURU advisor: numero 16 - ottobre 2017

  • GURU advisor: numero 15 - luglio 2017

    GURU advisor: numero 15 - luglio 2017

  • GURU advisor: numero 14 - maggio 2017

    GURU advisor: numero 14 - maggio 2017

  • GURU advisor: numero 13 -  marzo 2017

    GURU advisor: numero 13 - marzo 2017

  • GURU advisor: numero 12 -  gennaio 2017

    GURU advisor: numero 12 - gennaio 2017

  • 1
  • 2
  • 3
  • Teslacrypt: rilasciata la chiave

    Gli sviluppatori del temuto ransomware TeslaCrypt hanno deciso di terminare il progetto di diffusione e sviluppo e consegnare al pubblico la chiave universale per decifrare i file. Read More
  • Proxmox 4.1 sfida vSphere

    Proxmox VE (da qui in avanti semplicemente Proxmox) è basato sul sistema operativo Debian e porta con sé vantaggi e svantaggi di questa nota distribuzione Linux: un sistema operativo stabile, sicuro, diffuso e ben collaudato. Read More
  • Malware: risvolti legali

    tutti i virus e in particolare i più recenti Ransomware, che rubano i vostri dati e vi chiedono un riscatto, violano la legge. Vediamo insieme come comportarsi, per capire anche se e quando bisogna sporgere denuncia. Read More
  • 1