Il mio webserver è uno zombie?

29 giugno 2010 - Fonte: http://www.voipandhack.it

Già qualche mese fa, su Slashdot era uscita la notizia della prima comparsa di una botnet di Linux webservers coordinata con una più convenzionale botnet di macchine Windows, e dedicata alla distribuzione di malware.

Ciascuno dei webserver infettati è un server dedicato o un virtual server dedicato ospitante un legittimo website. Ma oltre ad eseguire un Apache webserver per distribuire contenuto innocente, è stato modificato per fargli eseguire un secondo webserver noto come nginx, con lo scopo di distribuire malware [sulla porta 8080].
In pratica una botnet di web servers zombie! Un gruppo di web servers infetti interconnessi e con un comune centro di...

Leggi il seguito »

Nessun commento »

Inserito in , , , , , , , , , ,

Ancora sullo spam di Rodkin

14 aprile 2010 - Fonte: http://www.voipandhack.it

L’inossidabile spammer Maksim Rodkin ha di recente aggiornato drasticamente il proprio portfolio di domini legati al “money mule recruitment”, registrandone di nuovi.
Molti dei domini utilizzati finora, pur risultando ancora attivi, non sono più utilizzabili, e per un motivo molto semplice:

Tutti quelli ospitati, ad esempio international-es.com, dall’ AS 50033 (GROUP 3 LLC), perché quest’ultimo (una vera e propria associazione a delinquere) non risulta più annunciato nella tabella globale BGP, risultando di fatto escluso dalla Internet globale.

Analogo discorso per quelli che risultavano ospitati dall’ AS 49365 (GROUP VERTICAL - 91.212.220.0/24), altra associazione a delinquere russa.

La stessa...

Leggi il seguito »

Nessun commento »

Inserito in , , , , , , , ,

Chi vola vale e chi non vale è un vile

19 marzo 2010 - Fonte: http://www.voipandhack.it

“HTC Magic è un telefono Touch per chi vuole assaporare il lato audace della vita”.

Raramente uno slogan pubblicitario risulta tanto appropriato, visto che si continua a scoprirne esemplari infettati dal malware residuo della botnet Mariposa, sgominata di recente.

La stessa Vodafone Spagna ha ammesso che sono stati venduti almeno 3mila smartphone con memorie infette.

Con una invidiabile faccia di bronzo, Vodafone continua ad affermare che si tratti di un problema “isolato e locale”, e che non sussiste alcuna evidenza che gli analoghi smartphones distribuiti nel resto d’Europa siano infetti.

D’altra parte la pubblicità proclama pure: “Non accontentarti… osa!”.

Tanti auguri...

Leggi il seguito »

Nessun commento »

Inserito in , , , , , , , , , ,

A volte ritornano!

10 febbraio 2010 - Fonte: http://www.voipandhack.it

Ho scoperto che il falso exploit open-ssh “0day” apparso magicamente pochi giorni fa, e di cui ho già parlato qui, aveva già fatto la sua apparizione a metà luglio 2009 col nome di OpenOwn.c.

Esattamente come la sua reincarnazione, il falso exploit comprendeva tre stringhe di codice offuscato, definite come jmpcode[], shellcode[] ed fbsd_shellcode[].

Come già stabilito, jmpcode[] non è altro che una rappresentazione esadecimale di “rm -rf ~ /* 2> /dev/null &”, comando destinato a cancellare l’intero contenuto della home directory o, nel peggiore dei casi, della root directory, nel caso in cui venisse eseguito coi privilegi di...

Leggi il seguito »

Nessun commento »

Inserito in , , , , , , , ,

Una botnet suicida

16 luglio 2009 - Fonte: http://www.voipandhack.it

Non si rivela esattamente così semplicistico come era stato inizialmente qualificato, l’attacco DDOS che ha colpito la scorsa settimana importanti siti istituzionali e commerciali negli USA e in Corea del Sud.

Bkis Security, una compagnia con base ad Hanoi, e che si occupa di sicurezza, ha condotto una interessante analisi che quantifica in 166,908 i PCs coinvolti nella botnet responsabile dell’attacco. Relativamente alla distribuzione geografica, i bots risultano appartenenti a 74 differenti nazioni.
I comandi sono stati instradati attraverso otto servers di controllo, facenti capo ad un master server localizzato in Gran Bretagna, e dotato, per inciso, di sistema operativo Windows Server 2003.

Ogni zombie è stato istruito per...

Leggi il seguito »

Nessun commento »

Inserito in , , , , , , , , ,

HoneyBOT 2: il ritorno

11 luglio 2009 - Fonte: http://www.voipandhack.it

Riesaminando il post pubblicato ieri mi ha colto il dubbio che fosse opportuno qualche chiarimento su come sia possibile fare in modo che tutti i socket aperti sulla virtual-machine trappola appartengano a HoneyBOT e non a servizi reali.

Se infatti è possibile rilasciare il resto dei socket aperti per default dal sistema, intervenendo attraverso Pannello di Controllo -> Strumenti di Amministrazione -> Servizi, e disattivando pazientemente i servizi corrispondenti, non è possibile farlo con “RPC locator”, per cui diventa necessario assumere un approccio differente per disabilitare la porta 445 (TCP e UDP).

Lo si può comunque ottenere facilmente intervenendo sul Registro di Configurazione:

Nessun commento »

Inserito in , , , , , , , , ,

Honeypot su virtual machine

11 luglio 2009 - Fonte: http://www.voipandhack.it

Riprendendo ancora l’argomento honeypots, voglio accennare stavolta ad un software, HoneyBOT, che pur non essendo opensource, è gratuito, ed inoltre gira su piattaforma Windows. Essendo quest’ultima il target preferito dal malware, la circostanza rappresenta un indubbio vantaggio in termini di mimetizzazione.

HoneyBOT opera secondo uno schema già incontrato, allocando una moltitudine di sockets in ascolto (oltre 1300 tra udp e tcp), un certo numero dei quali in grado di simulare servizi vulnerabili.
Quando un attaccante si connette a tali servizi viene indotto a ritenerli come appartenenti ad un reale server. L’honeypot cattura in sicurezza tutte le comunicazioni con l’attaccante e registra questi risultati in vista di future...

Leggi il seguito »

Nessun commento »

Inserito in , , , , , , , , , ,

Cyberwar in salsa coreana

9 luglio 2009 - Fonte: http://www.voipandhack.it

Una ondata di cyber-attacchi DDOS ha colpito, negli ultimi 5 giorni, 27 siti web di enti governativi americani e sud coreani, bloccandoli o rallentandoli notevolmente.
Investigatori ed esperti di sicurezza descrivono gli attacchi come non troppo sofisticati e su scala relativamente ristretta, mentre la loro origine è ancora da determinare. Si ritiene che tra 50000 e 65000 computers siano stati coordinati per inondare specifici siti Web con richieste di accesso, causandone il rallentamento o il blocco.

Secondo Jose Nazario, ricercatore presso Arbor Networks, gli attaccanti sono stati in grado di generare circa 23 megabits di dati al secondo, non abbastanza da causare l’isolamento da Internet della maggior parte dei siti attaccati.
“Il...

Leggi il seguito »

Nessun commento »

Inserito in , , , , , , ,

Verme! quanto mi costi!

2 luglio 2009 - Fonte: http://www.voipandhack.it

Una discreta somma di denaro quella con cui il Consiglio Municipale di Manchester ha quantificato i costi economici, diretti ed indiretti, dovuti alla recente (di Febbraio) infezione da Conficker, di cui sono rimasti vittima migliaia di pc appartenenti alla rete IT comunale: ben 1.5 milioni di sterline (quasi 1 milione e 800000 euro), così ripartiti:

250.000 sterline calcolate per i costi derivanti dai disservizi (ad esempio alla rete di trasporto urbana), e il resto ripartito equamente tra spese di consulenza e supporto alla soluzione del problema, e sostituzione del parco macchine con altrettanti thin-clients

Già a Febbraio, il ...

Leggi il seguito »

Nessun commento »

Inserito in , , , , , , , ,

Gumblar: la nuova minaccia

25 maggio 2009 - Fonte: http://www.voipandhack.it

Un nuovo Worm, denominato Gumblar, costituisce l’ultima minaccia sul fronte del malware, ed è caratterizzato da un incredibile rapidità di diffusione, tanto da essere accreditato del 42% di tutte le infezioni a carico di websites registrate in una unica settimane (fonte: Sophos).

Conformemente ad uno schema comune al malware di più recente creazione, Gumblar sfrutta più vettori per la propagazione.
Il vettore principale è costituito dalla interazione client-server con siti precedentemente compromessi iniettando porzioni di codice Javascript all’interno di pagine assolutamente lecite, ovviamente all’insaputa degli ignari gestori. Tali script provocano il caricamento di elementi Flash e file PDF forgiati per sfruttare le vulnerabilità...

Leggi il seguito »

Nessun commento »

Inserito in , , , , ,