Attacchi DDoS e Botnet
Variante di Mirai trasforma i dispositivi IoT in server proxy
Fortinet ha identificato una botnet variante di Mirai, la famosa botnet responsabile degli attacchi a DynDNS e KrebsOnSecurity, che oltre a lanciare attacchi DDoS trasforma i dispositivi IoT infettati in server proxy.
La botnet, soprannominata Mirai OMG, installa sui sistemi vittime un malware che genera due porte casuali, aggiunge le dovute regole firewall, quindi installa 3proxy, un server proxy minimale.
Fortinet non ha rilevato attacchi condotti dalla botnet, analizzata in stato di quiescenza, e si suppone che gli autori vendano l’accesso ai proxy server IoT.
Attacchi DDoS sfruttano server memcached malconfigurati
I server memcached sono esposti ad una vulnerabilità nell’implementazione del supporto al protocollo UDP che li rendere perfetti per gli hacker per lanciare attacchi DDoS di dimensioni finora inaudite.
Così GitHub ha registrato un attacco DDoS da 1.35Tbps e 126.9 milioni di pacchetti per secondo che lo ha reso inaccessibile per circa 10 minuti il 28 febbraio.
Qualche giorno dopo, Arbor Networks ha rilevato un attacco ancora più grande, 1.7Tbps, e indirizzato ad un provider americano non meglio identificato.
Entrambi gli attacchi sono stati possibili sfruttando una vulnerabilità di memcached.
Variante della botnet Hijame scansiona device MikroTik
I ricercatori Netlab 360 hanno identificato una possibile attività di scansione da una variante della botnet Hijame rivolta a router ed apparati di rete Mirkotik, preludio ad un possibile attacco che sfrutta i dispositivi vulnerabili trovati.
La botnet scansiona gli apparati disponibili in rete e in particolare sonda la porta 8921; se questa è aperta, ulteriori porte vengono sondate e viene sfruttata la vulnerabilità “Chimay Red” che consente l’esecuzione di codice remoto.
Come prevenzione, MirkoTik consiglia di bloccare le richieste su porta 8921 e di aggiornare RouterOS alla versione 6.41.3.
È disponibile il report Incapsula sugli attacchi DDoS Q4 2017
Incapsula ha pubblicato un interessante report riguardo gli attacchi DDoS registrati nel quarto trimestre del 2017.
Tra i risultati più significativi, segnaliamo un calo negli attacchi rivolti a livello di rete, mentre quelli al livello applicativo sono raddoppiati; gli USA non sono, come si potrebbe pensare, il paese più bersagliato (27%), bensì è Hong Kong (33%), con l’area APAC interessata da quasi il 70% degli attacchi totali; la tipologia di industria più presa di mira è quella degli internet provider (58%), seguita da scommesse e gioco d’azzardo (24%) e IT & software; circa il 68% delle vittime subisce attacchi ripetuti.
Ransomware
AVCrypt prima disinstalla l’antivirus, poi cifra i file
I ricercatori del team MalwareHunter hanno identificato un ransomware, chiamato AVCrypt, che prima di cifrare i file disinstalla l’antivirus presente sul sistema operativo.
AVCrypt usa dei comandi che fermano i servizi necessari a Windows Defender e Malwarebytes, due delle soluzioni AV più comuni, per funzionare; quindi tramite Windows Security Center sfrutta WMIC tenta di disinstallare l’antivirus presente sul computer.
Disponibili nuovi strumenti di decifrazione per diversi ransomware
Se da una parte il mondo dei ransomware ogni mese vede nuove minacce, è anche vero che grazie al lavoro di volontari e ricercatori vengono sviluppati strumenti per decifrare i dati cifrati dai ransomware: se non si hanno dei backup pronti da ripristinare, il consiglio è di conservare i file cifrati in attesa di un tool apposito.
L’instancabile Michael Gillespie ha rilasciato uno strumento per Tear Dr0p, uno per Pendor e uno per WhiteRose (decifrabile anche attraverso il servizio di Dr.Web), Jakub Kroustek ha scoperto che il ransomware RaruCrypt è facilmente decrittabile, Alexander Adamov di NioGuard Security Labs ha creato uno strumento per MoneroPay, BitDefender ha rilasciato uno strumento per GandCrab, la coreanas AhnLab ha rilasciato uno strumento per Magniber (tuttavia il sito non è disponibile in inglese, quindi va tradotto con un servizio di traduzione automatica online), il blog “File decrypters” ha rilasciato uno strumento BansomQare Manna (lo stesso blog mette a disposizione strumenti per Annabelle, Cryakl, GrandCrab ed altri). MalwareBytes ha scoperto come spezzare il sistema di cifratura di LockCrypt, un ransomware che viene installato manualmente sfruttando credenziali di connessione RDP deboli.
La pagina dedicata del progetto NoMoreRansom rimane il punto di riferimento, e il servizio Ransomware ID di MalwareHunter Team permette di identificare quale ransomware ha cifrato i vostri file tra i 500 in catalogo.
Vulnerabilità
Vulnerabilità UDP espone memcached ad attacchi DDoS
Cloudflare ha rilevato diversi attacchi originati da installazioni memcached, da porta UDP 11211. Memcached è un sistema di cache lato server utilizzato dai web server per migliorare le prestazioni.
Gli attacchi sono del tipo “amplification”; l’idea generale è che un attaccante invia richieste contraffatte ad un server UDP e questo, non sapendo che la richiesta è falsa, prepara puntualmente la risposta. Un host vittima rimane sopraffatto dal traffico quando riceve una quantità ingestibile di tali risposte.
Memcached supporta e abilita di default UDP; Cloudflare ha notato che una richiesta di 15 byte può risultare in una risposta da 750KB, con un fattore moltiplicativo di 51.200. Purtroppo UDP è supportato in maniera non sicura, e la porta 11211 è direttamente raggiungibile dall’estero se il server non è protetto da firewall.
La versione 1.5.6 disabilita il protocollo UDP per impostazione predefinita.
Malware viene distribuito tramite video su YouTube
Dr.Web ha recentemente scoperto che un malware viene distribuito tramite video su YouTube.
Il malware è un trojan scritto in Python, chiamato Trojan.PWS.Stealer.23012, che intercetta i cookie e le password salvati in diversi browser tra cui Opera e Chrome e copia i file presenti su desktop per poi inviarli ai server C&C.
L’infezione parte quando l’utente clicca un link pubblicato nei commenti dei video, in particolare video a proposito di trucchi per videogame. Il link rimanda a finti strumenti che in realtà sono archivi auto-estraenti che posizionano il trojan sul computer della vittima.
Identificata backdoor in macOS
Trend Micro annuncia la scoperta di una backdoor in macOS, il sistema operativo dei computer Apple.
La backdoor, soprannominata OSX_OCEANLOTUS.D, si pensa sia diffusa da OceanLotus, un gruppo di hacker vietnamita e responsabile di attacchi a società onlus, media e istituti di ricerca.
OSX_OCEANLOTUS.D colpisce i sistemi macOS con il linguaggio di programmazione Perl installato; la backdoor viene diffusa tramite un documento Word distribuito via email ed azionata tramite abilitazione macro.
La minaccia è circoscritta agli utenti del Vietnam (la mail fa riferimento alla registrazione ad un evento organizzato dall’associazione vietnamita HMDC), ma mette in rilievo il fatto che anche macOS è un sistema operativo che può essere sfruttato dagli hacker e quindi non esente da rischi.
Bug Java e SSH espone dispositivi Cisco
Cisco ha recentemente pubblicato aggiornamenti per due bug relativi a Java e SSH che possono esporre i suoi dispositivi.
Il primo riguarda Java ed è presente in Cisco Secure Access Control System (ACS) precedente alla versione 5.8 patch 9; consente ad un utente remoto non autenticato di eseguire del codice con permessi root sul dispositivo. Ciò è dovuto ad una non corretta deserializzazione del codice Java degli input utente.
Il secondo riguarda SSH e è presente nel software Cisco Prime Collaboration Provisioning (PCP) versione 11.6; consente di loggarsi tramite credenziali hard-coded come utente regolare, per poi potersi elevare a root.
Entrambe le vulnerabilità sono state risolte con gli aggiornamenti di ACS e PCP.
Vulnerabilità in Cacti espone server Linux
I ricercatori TrendMicro hanno identificato una vulnerabilità contenuta nel plugin WeatherMap di Cacti, una soluzione open source di network monitoring. Il plugin consente di creare una mappa grafica per visualizzare gli elementi della rete
La CVE-2013-2618 viene sfruttata per installare il miner XMRig Miner (MXR è una cripto-valuta) nei sistemi Linux infettati tramite vulnerabilità XSS che consente di iniettare del codice tramite il parametro map_title.
Non sono disponibili al momento aggiornamenti per il plugin.
News dai vendor
Office 365 aggiunge funzione anti-ransomware
Office 365 introduce diverse funzioni di lotta ai ransomware. File Restore di OneDrive consente di ripristinare versioni precedenti dei file fino a 30 giorni prima; non solo: la funzione è utile anche in caso di corruzione, cancellazione accidentale (o volontaria) o altri eventi che rendono non utilizzabile la versione corrente del file. Ransomware detection & recovery intercetta gli attacchi ransomware e allerta gli utenti via email, fornendo anche istruzioni per utilizzare la funzione File Restore. Vengono aggiunte anche funzioni di condivisione file con password, cifratura email, impedimento copia o inoltro email cifrate e controllo link in Word, Excel e PowerPoint e link ed allegati in Outlook.
Chrome da luglio segnerà i siti su HTTP come non sicuri
Come annunciato precedentemente, Chrome 68, release prevista per luglio, segnerà i siti su HTTP come non sicuri, quindi tutti coloro che hanno un sito Web dovranno adeguarsi per tale data con l’adozione di un certificato SSL, se non vogliono incorrere nella penalizzazione di Google.
L’adozione dei certificati SSL è piuttosto soddisfacente: 81 tra i primi 100 siti sono su HTTPS, così come il 78% del traffico Chrome su Chrome OS e macOS e il 68% del traffico Chrome su Android e Windows.
Da aprile i certificati Symantec non saranno più riconosciuti da Chrome
La prossima versione di Chrome, la 66 prevista per aprile, non supporterà i certificati SSL rilasciati da Symantec prima del 1 giugno 2016, decisione presa a seguito dell’incidente dello scorso settembre in cui si è scoperto la CA ha rilasciato nel corso degli anni più di 30mila certificati non validi. Symantec ha quindi venduto la su struttura PKI.
Novità in Chrome 65
Google ha rilasciato Chrome 65, la nuova versione del suo browser.
La novità più importante è il blocco dei reindirizzamenti “tab under”, ossia quelli che avvengono sulla vecchia pagina quando da questa si apre un link ad una nuova pagina, come spesso accade con strategie di malvertising.
Vengono introdotte anche delle nuove API e 45 vulnerabilità sono state corrette, tra cui 9 indicate di alto livello.
Novità in Firefox 59
È disponibile la nuova versione del browser di Mozilla.
Firefox 59 presenta alcune novità come un miglioramento delle prestazioni (tempi di caricamento homepage, caricamento da cache di rete o disco, supporto a OTMP per il rendering grafico su sistema operativo macOS), drag&drop nel “customizer” che permette di personalizzare la grafica del browser, nuove funzioni per lo strumento di cattura screenshot (annotazioni e cropping), API WebExtensions e funzioni Real-Time Communications (RTC) migliorate ed altro ancora.
Sono state inoltre risolte diverse vulnerabilità, tra cui una di livello critico.
VirusTotal lancia Droidy, la sandbox per Android
VirusTotal, il servizio che consente di scansionare file sospetti tramite molteplici motori di scansione antivirus, annuncia Droidy.
Droidy è una sandbox che simula un ambiente Android specifico per analizzare il comportamento delle app Android e fornire report per utenti e ricercatori. La funzione è già live sul sito e consente di aggiungere i risultati (tra i quali: attività di rete e SMS, attività filesystem, uso database SQLite, attività servizi, controllo permessi, attività crittografica ed altri) di questa tecnica di behavioural analysis alle analisi dei file caricati. Una sandbox analoga è disponibile per macOS.
Firefox sperimenta DNS-over-HTTPS
Mozilla annuncia che nella versione Nightly di Firefox sperimenta il protocollo DNS-over-HTTPS (DoH).
Il protocollo, in fase di bozza, sostanzialmente consente di eseguire query DNS in maniera cifrata; infatti oggi gli indirizzi web vengono risolti in indirizzi IP senza alcuna forma di cifratura, analogamente alla comunicazione in chiaro via HTTP. DoH, che viene testato da Google, Cloudflare e Mozilla, consente di risolvere questo problema cifrando le query DNS.
In Firefox 60 (beta) e Nightly è possibile abilitare DoH, inserire l’indirizzo di un server che supporta DoH (come Google DNS o Cloudflare) e testare la funzione.
Anche Firefox avrà strumento anti-ads
Sulla scia di Chrome e Opera, che già hanno strumenti dedicati, anche Firefox avrà uno strumento che consente di bloccare gli annunci (ads) invasivi. La funzione è prevista nel terzo trimestre del 2018, come si legge nella roadmap.
Let’s Encrypt rilascia certificati SSL wildcard gratuiti
Let’s Encrypt supporta i certificati SSL Wildcard, ossia associabili a più sottodomini dello stesso dominio. Ciò è reso possibile dal rilascio della v2 del client ACME (Automated Certificate Management Environment) che genera e gestisce i certificati. Il rilascio è basato su DNS-01 challenge, che consiste nel provare il posssesso del dominio modificando un certo record DNS di tipo TXT secondo istruzioni specifiche.
Nelle prime 48 sono stati rilasciati oltre 10.000 certificati, come festeggiato in un tweet.
Microsoft Patch Tuesday
Come ogni secondo martedì del mese, Microsoft ha rilasciato il pacchetto cumulativo di aggiornamenti per sistemi Windows noto come Patch Tuesday. Viene installato automaticamente se gli aggiornamenti automatici sono abilitati, altrimenti è disponibile tramite Windows Update.
Tra i problemi sistemati, citiamo quelli relativi a Internet Explorer e Microsoft Edge, Microsoft Windows, Microsoft Office, Microsoft Office Services and Web Apps, SQL Server, ChakraCore, .NET Framework e .NET Core, ASP.NET Core e Adobe Flash. In nessun caso le vulnerabilità sono state in precedenza sfruttate per attacchi.
Questo post del blog GFI riassume bene gli aggiornamenti contenuti nel Patch Tuesday.
È possibile selezionare i singoli pacchetti di aggiornamento e trovare ulteriori informazioni sulle patch tramite la Security Update Guide.