Nel prossimo numero dedicheremo un approfondimento specifico alle recenti falle Meltdown e Spectre, volutamente non argomentate in questo bollettino

Attacchi DDoS e Botnet

La botnet Necurs distribuisce ransomware
La botnet Necurs è viva e vegeta e partecipa alla distribuzione di ransomware tramite almeno tre campagne distinte, secondo quanto rilevato da MyOnlineSecurity.
La prima campagna riguarda il ransomware Scarab, ed è condotta tramite email. La mail ha come mittente [email protected], Scanned from HP (o altra marca) come oggetto, il corpo della mail è vuoto e il ransomware è allegato. Simula la consegna di documenti scansionati tramite stampante di rete.
Anche la seconda campagna è condotta via email, e riguarda il ransomware Globeimposter. La mail ha come mittente [email protected], oggetto una stringa di numeri e caratteri random del tipo FL-610025 11.30.2017, il corpo della mail è vuoto e naturalmente è allegato il ransomware, travestito da file legittimo.
La terza campagna  è in parte simile alle precedenti e simula la consegna di una fattura (in allegato) da parte di Amazon, ma in realtà nasconde un malware. Non un ransomware in questo caso, bensì un banking trojan.


La botnet ProxyM viene usata per attaccare siti Web
Dr.Web ha identificato una botnet, soprannominata ProxyM, e basata sul malware Linux.ProxyM.1, in precedenza usata per campagne email spam (fino a 400 messaggi al giorno per dispositivo)
Il malware infetta i dispositivi Linux e crea un proxy server SOCKS; recentemente è cambiata la tattica di attacco, ed oggi ProxyM si occupa di violare i siti. Gli host infetti conducono attacchi di tipo SQL Injection, XSS (Cross-Site Scripting) e LFI Local File Inclusion verso siti che includono forum, game server e siti generici, quindi senza uno schema ben preciso; gli attacchi registrati spaziano da 10mila a 40mila al giorno.

I creatori della botnet Mirai si dichiarano colpevoli
I tre creatori della botnet Mirai si sono dichiarati colpevoli.
Si tratta di Paras Jha, Josiah White e Dalton Norman, tre ragazzi di 20 anni che nell’estate del 2016 hanno creato la botnet responsabile, tra gli altri, di attacchi DDoS al sito KrebsOnSecurity e alle infrastrutture di OVH e DynDNS, che ha causato danni a moltissimi siti Web.

Nello specifico, White ha creato lo scanner Telnet, Jha l’infrastruttura e le funzioni di controllo remoto del malware, Norman ha creato nuovi exploit. Secondo i documenti del processo, le pene includono 5 anni di carcere.


La botnet Satori è composta da quasi 280.000 dispositivi infetti
360 Netlab avverte di aver rilevato una botnet composta da quasi 280mila dispositivi infetti.
La botnet si chiama Satori ed è basata su Mirai ma ha delle caratteristiche diverse: non sfrutta uno scanner Telnet ma è direttamente il worm ad attaccare le porte 37215 e 52869.
L’exploit utilizzato sulla porta 52869 è derivato dalla vulnerabilità CVE-2014-8361 e consiste in Remote Code Execution tramite richiesta NewInternalClient; è un problema dello SDK di Realtek. Invece per quanto riguarda la porta 37215 non è stata ancora resa nota la disclosure della vulnerabilità; potrebbe trattarsi di un exploit zero-day dal momento che sono stati infettati un numero nettamente maggiore di dispositivi.
Dopo la pubblicazione dell’articolo, i gestori della botnet hanno inviato un comando di stop alle attività di scansione ai bot. In effetti l’attività per le due porte (Link1 - Link2) è drasticamente calata.


La botnet Andromeda è stata disattivata
Grazie ad un’operazione congiunta tra polizie di diversi paesi (tra cui FBI ed Europol) e società private (come Microsoft ed ESET), la botnet Andromeda (conosciuta anche come Gamarue) è stata disattivata.
La botnet è associata a 80 diversi tipi di malware inclusi i ransomware Petya e Cerber e negli ultimi sei mesi ha colpito o tentato di colpire in media 1 milione di dispositivi al mese
I dettagli tecnici di come operava Andromeda sono disponibili in questo post di Technet. 


Zealot usa exploit NSA per minare Monero su Linux e Windows
I ricercatori F5 hanno identificato una campagna spam che sfrutta degli exploit NSA per installare software su server Linux e Windows per minare Monero, una crypto-valuta.
La Rete viene scansionata in cerca di host sensibili che vengono attaccati sfruttando due exploit riguardo Apache Struts e DotNetNuke, due framework per web application, rispettivamente, Java e ASP.NET.
Se la macchina infettata è Windows, vengono impiegati anche gli exploit EternalBlue ed EternalSynergy, entrambi di NSA e usati per muoversi nella rete locale. Quindi tramite script PowerShell viene scaricato ed installato il malware che esegue il mining di Monero. Su Linux invece vengono usati script Python. Tra i tratti distintivi di questo attacco, che viene descritto dai ricercatori come molto sofisticato, c’è la modalità di comunicazione con il server C&C: il malware aggiunge degli header User-Agent e Cookie specifici, quindi chi, come i ricercatori, prova a raggiungere il server C&C via browser o strumento specifico, non riceve la stessa risposta che ottiene il malware.
Come rimedio, F5 suggerisce di applicare le patch per le due vulnerabilità in questione (questa).

Mirai: un’analisi retrospettiva
I suoi creatori hanno patteggiato una condanna, e ora la botnet Mirai si può considerare morta, anche se non mancano i cloni.
Cloudflare ha pubblicato un’interessante analisi retrospettiva sulla botnet che analizza il suo ciclo vitale, dalla creazione alla sua fine, passando per gli attacchi DDoS al sito KrebsOnSecurity, ad OVH e a DynDNS e spiegando il suo funzionamento.

Disponibile report Spamhaus su botnet
Spamhaus, società svizzera no-profit attiva in ambito sicurezza, ha pubblicato un interessantissimo report sullo stato delle botnet nel 2017.
Tra i risultati più in vista, segnaliamo che il numero di server C&C (Command & Control, sono i server che pilotano le operazioni degli host controllati della botnet) per botnet di dispositivi IoT è quasi triplicato rispetto al 2016, mentre il numero di indirizzi IP coinvolti in botnet è cresciuto del 32%: sono quasi 9500. Di questi, il 68% (circa 6500) appartengono a server affittati e appartenenti a compagnie di web hosting e cloud: gli hacker affittano direttamente i server per le loro operazioni.
Il malware più ospitato sui server C&C è Pony, un trojan che ruba le credenziali, seguono vari tipi di trojan, backdoor, bot DDoS e, naturalmente, ransomware.
Dal momento che VPS e account hosting richiedono spesso un domain name, gli hacker devono procurarsene alcuni: la maggior parte sono domini .com, .pw, .info e .top registrati su NameCheap.

Botnet attacca sistemi Linux via SSH per mining di Monero
I ricercatori F5 Networks hanno individuato una botnet che si propaga via SSH e ha lo scopo di minare criptovalute.
La botnet è composta da host Linux infettati via SSH e vulnerabili alla vulnerabilità CVE-2017-12149 che coinvolge il server per applicazioni Java JBoss 5.2.
Dal momento che viene usato Python per il codice del malware (file .py), la botnet è stata soprannominata PyCryptoMiner; il servizio PasteBin viene usato per ospitare i comandi del server C&C nel caso quello principale sia irraggiungibile. PasteBin è un servizio che consente di pubblicare in forma anonima del codice che poi risulta pubblico.
Il malware poi inserisce un miner per Monero negli host infetti. Dal momento che è Python, il codice riesce a passare abbastanza inosservato ai controlli.
Come rimedio si consiglia di adottare tecniche di sicurezza SSH; JBoss 6 e 7 non sono affetti dalla vulnerabilità.


Botnet basata su Satori attacca i circuiti di mining Ethereum
In un post, come al solito dettagliato, sul loro blog, Qihoo 360 Netlab presenta le ultime attività di una botnet basata su Satori.
L’8 gennaio è stato registrato per la prima volta un attacco diretto verso host esposti in Rete attraverso la porta 3333 su cui gira il software Claymore Miner, che si occupa di mining di cripto-valute (in questo caso, Ethereum). L’attacco consiste nel sostituire l’indirizzo del portafoglio virtuale (su cui sono assegnate le criptovalute) con uno proprio: in sostanza gli host continuano a minare ma indirizzando sul portafoglio degli hacker i risultati del lavoro.
Per questo motivo la botnet è stata nominata Satori.Coin.Robber.
L’attacco è reso possibile dal fatto che Claymore Miner utilizza la porta 3333 per la gestione del file EthMan.exe, e in particolare sono consentite operazione come il riavvio del miner, caricamento file ed altre operazioni che esulano dalla lettura remota dello stato del miner; non sono stati diffusi i dettagli dell’exploit.

Ransomware

StorageCrypt infetta i dispositivi NAS tramite SambaCry
Lawrence Abrams di BleepingComputer spiega in un articolo i dettagli di un nuovo ransomware, chiamato StorageCrypt, che colpisce i dispositivi NAS sfruttando una vulnerabilità nota.
La vulnerabilità CVE-2017-7494, soprannominata SambaCry, permette di eseguire una shell remota. In questo caso viene sfruttata per scaricare un file eseguibile che contiene il ransomware StorageCrypt.
Come metodo di prevenzione, si suggerisce di non esporre il NAS direttamente in Rete e, se proprio è necessario, usare una VPN dedicata. È disponibile una patch per SambaCry.


Il ransomware HC7 sfrutta le connessioni desktop remote
È apparso un nuovo ransomware che è particolarmente insidioso in quanto sfrutta le connessioni RDP visibili da Internet; una prima versione, chiamata HC6, conteneva nel codice la chiave di decrittazione, per cui è stato possibile creare uno strumento di decifratura senza particolari problemi. Purtroppo gli sviluppatori hanno rimosso la chiave e HC7, questo il nome della versione “migliorata” del ransomware, ma comunque è disponibile uno strumento di decrittazione.
HC7 è un ransomware che sfrutta le connessione desktop remoto esposte in Rete per essere installato manualmente dagli hacker, per poi propagarsi indisturbato sui computer presenti sulla rete locale. Ulteriori informazioni sul ransomware sono disponibili in questo post.
Come prevenzione, si consiglia di proteggere le connessioni RDP tramite VPN dedicata.


Disponibili nuovi strumenti di decifrazione per diversi ransomware
Se da una parte il mondo dei ransomware ogni mese vede nuove minacce, è anche vero che grazie al lavoro di volontari e ricercatori vengono sviluppati strumenti per decifrare i dati cifrati dai ransomware: se non si hanno dei backup pronti da ripristinare, il consiglio è di conservare i file cifrati in attesa di un tool apposito.
Il ricercatore Michael Gillespie ha rilasciato uno strumento per HC6 e un’altro strumento per Crypt12, Fare9 (questo il nickname su Twitter) ha creato uno strumento per Crypton (che viene distribuito tramite un finto keygen per il programma EaseUS Data Rcovery) da richiedere via email o DM, Ryan Zisk ha scritto un tutorial su come decrittare i file cifrati da HC7, Dr.Web ha messo a disposizione uno strumento per il ransomware Blind & Kill.
McAfee ha rilasciato Ransomware Recover, uno strumento che mette a disposizione vari strumenti di decrittatura, similmente a quanto offerto dal progetto NoMoreRansom.
La pagina dedicata del progetto NoMoreRansom rimane il punto di riferimento, e il servizio Ransomware ID di MalwareHunter Team permette di identificare quale ransomware ha cifrato i vostri file tra i 500 in catalogo.

VenusLocker passa da ransomware a mining Monero
Negli ultimi mesi il valore delle cripto-valute è cresciuto vertiginosamente fino a raggiungere cifre notevoli, e anche gli hacker si adeguano.
Ad esempio il gruppo che sviluppa VenusLocker, come spiega Fortinet, passa dai ransomware al mining di Monero, una cripto-valuta che garantisce l’anonimità delle transazioni (al contrario di, ad esempio, BitCoin) e ha un algoritmo di mining pensato per computer ordinari e non server ad alte prestazioni, e per questo è particolarmente apprezzata da chi fa mining non autorizzato in sistemi altrui.
La campagna malware in questione viene veicolata tramite email phishing che contengono un allegato infetto o un link al miner.
Vista l’elevata rendita, il focus degli hacker, secondo le previsioni, si sta spostando verso il mining sono per un aumento delle attività di mining (e relative botnet) di criptovalute a discapito dei ransomware, meno redditizi e più facili da combattere.


Vulnerabilità

Client VPN di Fortinet espone credenziali
FortiClient è l’antivirus di Fortinet per piattaforme Windows, macOS e Linux, sia per utenze home che enterprise.
I ricercatori SEC Consult hanno identificato una vulnerabilità nel client VPN integrato che espone le credenziali salvate ad attacchi. Queste sono salvate su file locale e cifrate con chiave che è inserita (hardcoded) nei binari del client, inoltre i permessi di lettura del file sono molto permissivi e ne consentono la lettura anche ad utenti non autorizzati.
Fortinet ha pubblicato una nota pubblica con i rimedi suggeriti che consistono nell’aggiornare il client.

Firewall Palo Alto vulnerabile ad attacco remoto
Il ricercatore Philip Pettersson ha scoperto che sfruttando 3 diverse vulnerabilità è possibile eseguire del codice remoto con permessi root sui firewall Palo Alto con il sistema operativo proprietario PAN-OS.
L’attacco di tipo Remote Code Execution può essere condotto solo se l’interfaccia di gestione è raggiungibile via WAN, contrariamente alle regole di buon senso che impongono di limitare l’accesso alla LAN.
Palo Alto raccomanda https://securityadvisories.paloaltonetworks.com/ di non esporre l’interfaccia di gestione in Internet (ID PAN-SA-2017-0027); le versioni PAN-OS 6.1.19, PAN-OS 7.0.19, PAN-OS 7.1.14 e PAN-OS 8.0.6 sono aggiornate e sono disponibili a questo indirizzo

Keylogger trovato in driver di notebook HP
“ZwClose” ha pubblicato una dettagliata analisi che riporta i dettagli riguardo un possibile keylogger trovato nel driver Synaptics Touchpad usato da HP nei suoi notebook.
Mentre stava analizzando il driver per capire se fosse possibile regolare la retro-illuminazione della tastiera, si è insospettito in merito ad una riga di codice del file SynTP.sys, e ulteriori analisi hanno rivelato che il driver “saved scan codes to a WPP trace”. La funzione è disabilitata ma può essere attivata impostando un certo valore nel registro (UAC necessaria).
Synaptics ha rilasciato un comunicato in cui spiega che il driver in questione contiene nient’altro che uno strumento di debug inavvertitamente lasciato dagli sviluppatori, e che questa funzione è presente su tutti i driver prodotti da Synaptics e utilizzati in versione OEM dai produttori di computer. HP ha rilasciato una lista dei modelli con il keylogger e relativa patch.


Coinhive trovato in app Android
Coinhive è uno script Javascript per il mining di crypto-valute, ed è stato identificato da TrendMicro in due app presenti nello store Android.
Le due app, che sono state rimosse da Google Play, hanno un browser nascosto nel quale viene eseguito il mining fintanto che l’app rimane aperta, senza che l’utente possa accorgersi.

Vulnerabilità espone i computer con tecnologia Intel AMT
Harry Sintonen, Senior Security Consultant di F-Secure, in un articolo pubblicato sul blog di F-Secure,rende noti i dettagli di una vulnerabilità di AMT (Active Management Technology), la tecnologia di Intel presente sui laptop di fascia enterprise che consente l’accesso e la manutenzione da remoto del computer.
È possibile sfruttare una vulnerabilità che permette ad un attaccante locale di prendere possesso del laptop senza troppi problemi, anche aggirando sistemi di sicurezza come password BIOS pin TMP, BitLocker (Windows), firewall o credenziali di accesso. L’attacco è semplice: l’attaccante riavvia la macchina, preme F12 durante la fase del POST e seleziona
la voce Management Engine BIOS Extension (MEBx) dal menu di boot, di fatto aggirando la protezione dalla password BIOS.
La password di accesso è “admin”, che difficilmente è stata cambiata dall’utente mancando delle indicazioni dal produttore. A questo punto basta cambiare la password, abilitare l’accesso remoto, impostare l’opzione dell’utente di opt-in per AMT su “None” ed abilitare il Wireless Management.
Sebbene l’attacco richieda la presenza fisica dell’attaccante, è bene prestare attenzione quando si è in luoghi pubblici.

News dai vendor

Github introduce strumento allerta sicurezza delle dipendenze
GitHub ha introdotto un’utilissima funzione che avvisa se un repo che si sta usando in un progetto ha delle vulnerabilità.
Si stima che il 75% dei progetti include librerie esterne; GitHub avvisa se è rilevata una vulnerabilità catalogata con numero CVE, e nel caso avvisa tramite email e con uno strumento chiamato Dependency Graph incluso nella parte degli Insights del repo, suggerendo inoltre una versione sicura della dipendenza se presente. Per ora sono monitorati e analizzati le librerie in Ruby e JavaScript, il supporto per Python è previsto per il 2018.


Firefox avviserà se si sta navigando su un sito che ha subito un data breach
Le future versioni di Firefox avranno un’utile strumento che indica se il sito che si sta visitando è stato oggetto di data breach.
Lo strumento, chiamato Breach Alerts, è disponibile in un repo GitHub come addon per Firefox, e attualmente è in fase di prototipazione. Si basa sui dati del servizio Have I Been Pwned? che da anni raccoglie informazioni in merito ai siti violati e permette di controllare se il proprio account è stato violato o è sicuro.
Gli scopi di Breach Alerts sono informare gli utenti di un data breach tramite Firefox, offrire documentazione sulle violazioni (tramite link “read more”), nonché un servizio via email di notifica violazione su siti su cui si è registrati.


Chrome 63 è ora disponibile
Google ha rilasciato la versione 63 del suo browser.
La maggior parte delle novità riguarda il funzionamento di Chrome, lato utente le novità principali riguardano i link FTP che sono segnati come non sicuri, un avviso in caso di attacco Man-in-the-Middle, un cambio nella modalità di richiesta delle user permissions (che determina un calo delle finestre di richiesta del 50%) e la possibilità di silenziare per sempre i siti (“mute”).
Sono state corrette ben 37 diverse vulnerabilità, l’elenco completo è disponibile a questo indirizzo.


Avira presenta SafeThings per i dispositivi IoT
Avira presenta SafeThings, la nuova soluzione softwareche protegge i dispositivi IoT in rete.
SafeThings è un software da installare su router e, analizzando il traffico in maniera mirata, rileva eventuali comportamente anomali e le blocca. Il software, chiamato SafeThings Sentinel, gira in background e scopre dispositivi, analizza gli header dei pacchetti e rinforza le regole di sicurezza del router, senza toccare i dati sensibili. Sentinel poi trasmette i dati al cloud di Avira SafeThings Protection Cloud che sfrutta l’AI per comprendere l’atività regolare del dispositivo e della rete. Non appena rileva un’anomalia, trasmette al dispositivo le istruzioni per Sentinel per bloccarla.


OpenSSH è disponibile su Windows
OpenSSH è una suite di strumenti a riga di comando relativi al protocollo SSH sviluppata dal team di OpenBSD che trova ampio uso in ambito Linux e BSD-like (NetBSD, OpenBSd, ma anche macOS). Oggi sbarca su piattaforma Windows, seppure in modalità preview.
OpenSSH è disponibile come Feature-on-Demand in Windows 10 Fall Creators Update e Windows Server 1709 ed è attivabile sia da interfaccia grafica con Apps and Features, sia da linea di comando con PowerShell o DISM.exe.
È supportato naturalmente sia il server che il client, e l’autenticazione tramite password o chiavi. Maggiori informazioni, incluso stato del progetto, roadmap e istruzioni d’uso, sono disponibili nella wiki del repo GitHub di OpenSSH.


Microsoft Patch Tuesday
Come ogni secondo martedì del mese, Microsoft ha rilasciato il pacchetto cumulativo di aggiornamenti per sistemi Windows noto come Patch Tuesday. Viene installato automaticamente se gli aggiornamenti automatici sono abilitati, altrimenti è disponibile tramite Windows Update.
Tra i 56 problemi sistemati, citiamo quelli relativi a Internet Explorer e Microsoft Edge, Microsoft Windows, Microsoft Office, Microsoft Office Services and Web Apps, SQL Server, ChakraCore, .NET Framework e .NET Core, ASP.NET Core e Adobe Flash, In nessun caso le vulnerabilità sono state in precedenza sfruttate per attacchi.
A novembre (link fonte) e dicembre (link fonte) sono stati risolti problemi relativi a decine problemi, anche in questo caso le vulnerabilità non sono state sfruttate.
È possibile selezionare i singoli pacchetti di aggiornamento e trovare ulteriori informazioni sulle patch tramite la Security Update Guide

L'autore

Riccardo Gallazzi

Sistemista JR, tra i suoi campi di interesse maggiori si annoverano virtualizzazione con vSphere e Proxmox e gestione ambienti Linux. È certificato VMware VCA for Data Center Virtualization.

banner5

fb icon evo twitter icon evo

Parola del giorno

L'acronimo IPsec (InternetProtocol security) indica un set di protocolli che forniscono sicurezza per il protocollo IP, ad esempio aggiungendo opzioni di...

>

Il termine ISP (Internet Service Provider) indica quelle compagnie o aziende che forniscono la connettività internet agli utenti. Esistono diverse tecnologie...

>

Il termine Load Balancing o Bilanciamento di Carico descrive tutte quelle tecniche utili a distribuire in modo dinamico il carico computazionale...

>

Il termine NsLookup indica uno strumento incluso nella maggior parte dei sistemi operativi, in grado di effettuare il look up...

>

Nel contesto delle infrastrutture IT, il termine Consolidamento descrive la situazione in cui un server fisico viene utilizzato per fare girare...

>
Leggi anche le altre...

Download del giorno

DNS DataView

DNS Lookup  è un tool a interfaccia grafica per effettuare il lookup DNS dal proprio PC, sfruttando i...

>

Network Inventory Advisor

Network Inventory Advisor  è uno strumento che permette di scansionare la rete e acquisire informazioni riguardanti tutti i...

>

Process Monitor

Process Monitor è uno strumento per il monitoraggio in tempo reale dei processi attivi nel sistema. Permette una interazione...

>

DiskMon

DiskMon è un utile strumento per monitorare e registrare tutte le attività di I/O sul disco di sistemi Windows...

>

Disk2vhd

Disk2vhd è una utiliy gratuita per la migrazione P2V (phisical to virtual) in ambiente virtuale Hyper-V. Permette di convertire...

>
Tutti i Download del giorno...

Archivio numeri

  • GURU advisor: numero 16 - ottobre 2017

  • GURU advisor: numero 17 - gennaio 2018

  • GURU advisor: numero 15 - luglio 2017

    GURU advisor: numero 15 - luglio 2017

  • GURU advisor: numero 14 - maggio 2017

    GURU advisor: numero 14 - maggio 2017

  • GURU advisor: numero 13 -  marzo 2017

    GURU advisor: numero 13 - marzo 2017

  • GURU advisor: numero 12 -  gennaio 2017

    GURU advisor: numero 12 - gennaio 2017

  • GURU advisor: numero 11 -  ottobre 2016

    GURU advisor: numero 11 - ottobre 2016

  • GURU advisor: numero 10 - 8 agosto 2016

    GURU advisor: numero 10 - 8 agosto 2016

  • 1
  • 2
  • 3
  • Teslacrypt: rilasciata la chiave

    Gli sviluppatori del temuto ransomware TeslaCrypt hanno deciso di terminare il progetto di diffusione e sviluppo e consegnare al pubblico la chiave universale per decifrare i file. Read More
  • Proxmox 4.1 sfida vSphere

    Proxmox VE (da qui in avanti semplicemente Proxmox) è basato sul sistema operativo Debian e porta con sé vantaggi e svantaggi di questa nota distribuzione Linux: un sistema operativo stabile, sicuro, diffuso e ben collaudato. Read More
  • Malware: risvolti legali

    tutti i virus e in particolare i più recenti Ransomware, che rubano i vostri dati e vi chiedono un riscatto, violano la legge. Vediamo insieme come comportarsi, per capire anche se e quando bisogna sporgere denuncia. Read More
  • 1