200520223

Alert del CERT: il banking trojan Coper sbarca in Italia

giovedì 19 maggio 2022
Alert del CERT: il banking trojan Coper sbarca in Italia

In circolazione già dal 2021, Coper è una nuova famiglia di trojan bancari pensati per i dispositivi che eseguono Android. Ha una architettura a più moduli che consente di implementare più funzionalità. Ora il CERT lancia l’allarme: Coper è arrivato in Italia.

Il CERT individua Coper in diffusione in Italia
L’annuncio è di qualche giorno fa: “durante le attività di monitoraggio”, si legge nell’alert “il CERT ha individuato due campagne di phishing rivolte ad utenti INPS e Intesa Sanpaolo”. Insomma il malware è stato individuato in the wild, in diffusione e in uso in attacchi reali.

Entrambi i domini usati nelle campagne, spiegano gli esperti del CERT, oltre alla consueta pagina di phishing ospitavano anche un file APK. Una volta analizzato, questo è risultato essere una variante della famiglia di trojan bancari Coper, della quale ancora non si erano registrati tentativi di diffusione in Italia.

La pagina di phishing che sfrutta i riferimenti dell’INPS. Fonte: https://cert-agid.gov.it

Fonte: https://cert-agid.gov.it

Le due campagne sono evidentemente collegate tra loro, dato che utilizzano gli stessi server C&C: le differenze stanno soltanto nel nome dell’app e per la chiave di criptazione delle comunicazioni C&C, criptate tramite RC4.
L’analisi dei file APK
Il file APK analizzato in diffusione è lo stesso, differisce solo nel nome: “INPSPAGAMENTO.apk” e

“IntesaSanpaolocertificato.apk”.

All’installazione il file si presenta così

Fonte: https://cert-agid.gov.it

Questo sample sembra essere molto evoluto ed ha funzionalità piuttosto avanzate. Anzitutto può ottenere il controllo completo del dispositivo compromesso, compreso audio e schermo. Interagisce col proprio server C&C per inviare le informazioni sottratte dal dispositivo, ma anche per ricevere istruzioni e funzionalità: tutte le comunicazioni sono criptate con chiave asimmetrica AES.

Tra le funzionalità individuate, spiega il CERT, vi sono:

attivazione di una sessione VNC;
funzionalità di keylogging;
HTML code injection;
furto degli SMS;
disinstallazione di applicazioni comprese in una lista predefinita di 250 diversi antivirus;
apertura di URL;
esecuzione di ulteriori app,
generazione di richieste USSD, che normalmente sono usate per mettere in comunicazione l’utente con i server dell’operatore telefonico.
Le prime diffusioni contro utenti colombiani
Le prime individuazioni di Coper risalgono al 2021, quando fu individuato in diffusione in Colombia camuffato da app di baking delle principali banche colombiane, molte delle quali erano direttamente scaricabili dal Google Play Store.

Già al tempo il malware si installava con un meccanismo a più stadi. Il primo è proprio l’installazione dell’app esca, che altro non è che un dropper: il dropper scarica poi il modulo dannoso principale del malware.

Fonte: https://news.drweb-av.it

Indicatori di compromissione
Il CERT ha pubblicato, relativamente ai sample di Coper analizzati, gli indicatori di compromissione relativi, consultabili qui.

200520221

Buone notizie: il ransomware Conti chiude i battenti

venerdì 20 maggio 2022
Buone notizie: il ransomware Conti chiude i battenti

La famosa e infausta operazione malware Conti, ben nota per aver fatto migliaia di vittime anche in Italia, interrompe ogni attacco. Il gruppo si sfalda, ma i capi si alleano con gruppi più piccoli.

Conti dà l’annuncio ufficiale: stop alle operazioni
Il famoso gruppo ransomware Conti ha sospeso le proprie operazioni: la sua infrastruttura è stata messa offline e i capi del gruppo hanno dichiarato che il brand non esisterà più.

La notizia è stata confermata dal ricercatore Yelisey Boguslavskiy, che sul proprio profilo Twitter ha annunciato che l’infrastruttura interna del Ransomware as a Service è stata messa offline. Il ricercatore ha fatto sapere che continua la pubblicazione dei dati delle vittime sotto ricatto tramite il site leak del gruppo e anche i siti per la negoziazione dei riscatti sono ancora online, ma i pannelli di amministrazione su Tor usati dai vari affiliati per condurre trattative e pubblicare poi i dati rubati sono stati messi offline.

Lo shut down avviene dopo che la Costa Rica ha dichiarato emergenza nazionale dopo l’attacco di Conti
Sembra strano, ma questo shutdown avviene pochi giorni dopo che il Governo della Costa Rica ha dichiarato l’emergenza nazionale a causa di una serie di attacchi del gruppo che hanno colpito molteplici branche del governo. La dichiarazione di emergenza è avvenuta dopo che il gruppo Conti ha pubblicato ben 672 GB di file appartenenti a varie agenzie governative.

Mentre accadeva tutto questo, vari appartenenti al gruppo, però, stavano già migrando verso altre operazioni ransomware. Un’uscita di scena più che scenografica.

Conti è morto, le operazioni ransomware continuano
Il gruppo di cyber attaccanti dietro Conti però non va in pensione anzi. I capi del gruppo (che ricordiamo si è sfaldato anche a causa delle posizioni apertamente filo Putin dei gestori) si sono alleati con altri gruppi ransomware minori impostando un’organizzazione piramidale con al vertice i capi di Conti e una lunga serie di operazioni ransomware minori. I capi di Conti godono infatti di grande notorietà tra i cyber criminali e vantano una grossa esperienza in penetration testing, gestione dei negoziati e capacità di sfuggire alle forze dell’ordine.

Per saperne di più > Il Ransomware Conti si schiera a difesa del governo russo e un ricercatore ucraino pubblica il suo codice sorgente. Il top ransomware sta per scomparire?

Resta che molti negoziatori, analisti, pentester e sviluppatori di Conti sono andati altrove, verso altri gruppi ransomware.

Conti in Italia: le vittime più note
Come dicevamo, Conti è molto noto in Italia per aver fatto molteplici vittime. Tra le vittime più note troviamo sicuramente la nota azienda alimentare San Carlo, ma troviamo anche Artsana, Clementoni, Maggioli, Newlat, Omicron Consulting, Prima Sole Components, Prima Power, Ciam spa, Arcese, Ercole Spa ecc…

Per saperne di più > Il Ransomware Conti colpisce la San Carlo: la big delle patatine italiane dichiara che non pagherà alcun riscatto

Ma Conti non ha risparmiato neppure le istituzioni italiane: la vittima più nota è stata il Comune di Torino, ma tra le vittime troviamo anche il Consiglio Nazionale Forense Italiano,

Per approfondire > Il Comune di Torino lotta da giorni contro un attacco ransomware: l’accesso alla rete tramite un PC dei Vigili Urbani

20052022

Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT – 2° settimana Maggio

lunedì 16 maggio 2022
Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT – 2° settimana Maggio

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d’occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un’infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 2° settimana di Maggio
La scorsa settimana il CERT-AGiD ha individuato e analizzato 57 campagne dannose: è quasi record (negativo, purtroppo) e sicuramente una netta “inversione a U” dato che nella 1° settimana di Maggio c’era stata addirittura una riduzione vistosa delle campagne contro l’Italia. Si registrava, in effetti, l’assenza di campagne di distribuzione di Emotet che invece è tornato in grande spolvero. Delle 57 campagne individuate, 54 sono state mirate contro gli utenti italiani e solo 3 sono state generiche.

Le campagne malware analizzate sono state 16 e hanno distribuito 7 famiglie malware:

Emotet è tornato, con 5 diverse campagne tutte mirate. I temi sono stati Resend e Documenti. Le email veicolavano il malware tramite allegati XLS e archivi ZIP protetti da password con un file LNK. Nel canale Telegram del CERT ulteriori dettagli;
Formbook è stato diffuso con4 campagne, 2 italiane e 2 generiche a vari temi: Pagamenti, Documenti, Delivery (sfruttando il marchio DHL). Le email veicolano allegati ACE e XZ contenenti un file XLSX dannoso. Una delle campagne “non ha funzionato” a causa di errori degli attaccanti: è stata riscontrata una configurazione obsoleta del builder;
AgentTesla è stato diffuso con due campagne: di nuovo sfruttato, in una di queste, il brand DHL. Gli email veicolano allegati ZIP compromessi;
Lokibot torna in diffusione con due campagne a tema Contratti e Documenti. Gli allegati dannosi sono in formato DOC;
SMSGrab e Brata di nuovo a caccia di smartphone Android. Sia la campagna di diffusione di SMSGrab che di Brata sono circolate via SMS. Il testo conteneva il link al download di un file APK apparentemente riconducibile dal nome file a noti istituti bancari italiani;
AsTesla è stato diffuso con una campagna mirata che ha sfruttato il nome e i riferimenti istituzionali di una nota società privata italiana.
Per saperne di più > Furto dati e credenziali: anatomia di FormBook, uno dei malware infostealer più diffuso in Italia

Fonte: https://cert-agid.gov.it

Le campagne di phishing della 2° settimana di Maggio
Le campagne di phishing individuate sono state ben 41 e hanno coinvolto 17 diversi brand. Si registra un boom di attacchi contro il settore finanziario, in cerca di credenziali di home banking ed estremi di carta di credito. Seguono, come da consuetudine, gli attacchi finalizzati al furto di account webmail.

Fonte: https://cert-agid.gov.it

Parlando di brand, il più sfruttato è stato MPS, seguito da Unicredit, BPER e Poste Italiane. Al 6° posto troviamo il provider Aruba. Altri brand popolari che sono stati sfruttati sono Office365, iCloud, Deutsche Bank, Mediolanum ecc..

Fonte: https://cert-agid.gov.it

Tipologia di file di attacco e vettore

Dopo qualche settimana, i file Office tornano sul podio dei formati file più utilizzati per diffondere attacchi. I file Excel la fanno da padroni, ma al secondo posto si piazza il formato eseguibile EXE. Interessante il 4° posto del formato APK: Android ormai si conferma un bersaglio fisso da parte degli attaccanti.

Fonte: https://cert-agid.gov.it

160520223

Ransomware: Italia prima in Europa per numero di attacchi nel mese di Marzo

mercoledì 11 maggio 2022
Ransomware: Italia prima in Europa per numero di attacchi nel mese di Marzo

Il report Trend Micro Research è impietoso: l’Italia è la nazione maggiormente bersagliata dagli attacchi ransomware (e malware) in Europa.

Attacchi ransomware e malware nel mondo: qualche dato sul mese di marzo
I dati telemetrici degli esperti di cyber security di Trend Micro proiettano ombre inquietanti sullo stato della cyber sicurezza nel mondo e, soprattutto, sulla sempre maggiore (e raffinata) aggressività del cyber crime mondiale.Un dato su tutti, per cominciare: nel solo mese di Marzo il numero totale di ransomware intercettati nel mondo è stato di 2.471.000. Si, due milioni di attacchi ransomware in un mese. Il primato del maggior numero di attacchi ransomware subiti spetta, nella classifica mondiale, al Giappone che ha subito circa il 20% degli attacchi totali. Seguono gli Stati Uniti con il 13,05%, quindi il Messico (8,20%).

In termini, invece, di malware il Giappone è ancora lo Stato più colpito, con oltre 128.000.000 di attacchi malware a Marzo, seguito dagli Stati Uniti con 87.000.000 di attacchi malware, quindi l’India con 18.300.000 circa.

Il triste primato Italia: 1° per attacchi ransomware in Europa, 5° per attacchi malware al mondo
I dati relativi all’Italia sono impietosi e confermano, ancora e ancora, l’emergenza in corso nel nostro paese. Restando ai freddi numeri, l’Italia si piazza al primo posto in Europa per attacchi ransomware subiti: dei 2.471.000 ransomware intercettati, il 2,66% ha colpito o provato a colpire vittime italiane. E non è finita: in termini di attacchi malware l’Italia è 5° nel mondo con 15.481.554 malware: ci precedono Giappone, Stati Uniti, India e Regno Unito.

Veniamo ai macromalware: anche qui ci prendiamo un bel podio, 1° posto in Europa per numero di attacchi (1393) e terzo nel mondo, dopo Giappone e Stati Uniti.

Sanità italiana sotto attacco: un diluvio di cyber attacchi
Negli ultimi mesi i ransomware hanno picchiato forte in Italia: se le notizie sugli attacchi contro aziende non stupiscono più di tanto, possono invece essere più inaspettati (ma solo a chi non ha chiaro che miniera d’oro possono essere i dati sanitari) gli attacchi contro ospedali e USLL.

Il sito web dell’ATS Insubria, Regione Lombardia, è stato offline per due giorni (5 e 6 Maggio) e ad ora (11 maggio, h.15.00) si presenta come foto sotto

Fonte: https://www.ats-insubria.it

Insomma, i portali pubblici correlati all’ATS Insubria, che servono la zona di Como e Varese, solo adesso stanno tornando lentamente alla normalità (soltanto per i servizi Covid) mentre sono in corso le indagini anche per verificare eventuale furto di dati personali. L’attacco sembra avvenuto il giorno 5 Maggio, ma non si hanno informazioni relative alla famiglia malware o al gruppo che possa aver colpito la rete.

Nel frattempo gli Ospedali Sacco e Fate Bene Fratelli di Milano stanno lentamente ripristinando le reti, mentre è ancora sconosciuto il destino dei dati personali: non vi sono state comunicazioni in merito, ad oggi.

Per saperne di più > Sacco e Fatebenefratelli colpiti da ransomware: VPN in vendita

Anche l’ASP Messina ha subito un attacco ransomware ad Aprile e sta ultimando le procedure di ripristino. Va fatto notare che ASP Messina è stato tra i pochissimi soggetti pubblici fino ad ora colpiti che ha ammesso fin da subito di aver subito un attacco ransomware e di avere evidenze del furto dei dati personali, invitando addirittura gli interessati a contattare il Responsabile per la Protezione dei Dati personali (DPO) per qualsiasi informazione e aggiornamento.

E’ notizia invece degli ultimi giorni di Aprile quella dell’attacco ransomware subito da ABI, l’Associazione bancaria italiana: l’attacco è iniziato addirittura a Febbraio di quest’anno, è stato portato dalla famiglia ransomware Vice Society che ha rivendicato l’attacco sul proprio sito di leak. Sono già stati pubblicati più dati rubati: documenti di identità, tessere sanitarie, dati finanziari e informazioni sulle carte di credito e altri dati sensibili presumibilmente dei dipendenti di ABI, nonché le timbrature di uscita e accesso del personale dagli uffici. Addirittura si trova l’elenco dei numeri di telefono degli impiegati e dei dirigenti, assieme al codice IMEI del dispositivo ecc…

16052022

Cyberwarfare: Italia sotto attacco DDoS da parte del gruppo Legion, la risposta russa all’Armata IT Ucraina

giovedì 12 maggio 2022
Cyberwarfare: Italia sotto attacco DDoS da parte del gruppo Legion, la risposta russa all’Armata IT Ucraina

Nel tardo pomeriggio di ieri un attacco informatico su vasta scala ha colpito molti siti governativi italiani. Dietro agli attacchi DDoS i gruppi russi KillNet e Legion insieme ai gestori della botnet Mirai, dopo il reclutamento su canali Telegram di volontari. Una risposta all’armata di “hacker” ucraini lanciata dal governo ucraino e gestita dalla startup Hacken.

L’italia sotto attacco DDoS: giù per qualche ora il sito del Senato
Intorno alle 17.00 di ieri, Mercoledì 11 maggio, l’Italia è stata investita da una ondata di attacchi DDoS. Contemporaneamente finivano sotto attacco siti governativi tedeschi e polacchi. La prima vittima a fare notizia è il sito del Senato, che finisce in down per qualche ora

Fonte: Red Hot Cyber

Poco dopo si ha notizia di altre vittime: il Ministero della Difesa, l’istituto Superiore di Sanità, l’ACI, Kompass, IMT di Lucca ma anche il portale dell’Eurovision Song Contest di Torino ecc… Va detto che i siti web sotto attacco sono tornati online dopo poche ore, escluso il sito dell’ACI.

Siamo di fronte all’escalation, anche cyber, della guerra tra Russia e Ucraina che, come potevamo attenderci, si sta allargando oltre i confini dei due paesi.

L’attacco DDoS contro Italia, Polonia e Germania è stato rivendicato dal gruppo Legion, vicino alla Russia.

I gruppi KillNet e Legion il reclutamento di cyber guerrieri online
KillNet è un gruppo hacker vicino alla Russia. Conosciuto fino a poco tempo fa solo dagli esperti di settore, è balzato agli onori delle cronache mondiali a fine Aprile quando il primo ministro rumeno Nicolae Ciuca annunciò un vasto attacco DDoS contro una serie di siti governativi rumeni: il portale della polizia di frontiera, le ferrovie nazionali ecc… L’attacco fu rivendicato proprio da KillNet, giustificandolo con la decisione della Romania di fornire armi all’esercito ucraino.

L’attacco DDoS di ieri ha avuto un organizzazione peculiare. Un modello già utilizzato dagli ucraini e che si sta evidentemente diffondendo insieme all’allargarsi dei “confini” della cyberwarfare. Tutto nasce da un canale Telegram gestito dal gruppo Legion, neonato (ha fatto la sua comparsa a fine Aprile) e molto vicino al gruppo KillNet: entrambi i gruppi sono filo russi. Nel proprio canale gli attaccanti hanno pubblicato un messaggio volto al reclutamento di volontari per costituire un cyber battaglione pronto a combattere l’Ucraina. Poco dopo lo stesso messaggio viene rilanciato da KillNet. Il messaggio contiene anche un appello ai gestori della botnet Mirai: anche questi si sono recentemente dotati di un canale Telegram.

In sunto, nel messaggio, i gestori Legion annunciano di essere alla ricerca di volontari da inquadrare in 3 diversi “battaglioni”, letteralmente. Questi sono:

battaglione Mirai;
battaglione Sakurajima;
battaglione Jacky.
Per entrare in questi battaglioni non è richiesta esperienza, ma solo di mettere a disposizione il proprio PC e scaricare alcuni tool. Il reclutamento è però rivolto anche a programmatori esperti: si annuncia che i gestori della botnet Mirai hanno necessità di reclutare programmatori esperti e si invitano i candidati a mettersi in contatto coi gestori di Mirai.

Viene anche proposta una “scuola di DDoS” per i meno esperti, tenuta dal capo battaglione @Cybereducational.

Per saperne di più > Le nuove varianti del malware botnet Mirai riportano l’attenzione sulla sicurezza dei dispositivi IoT

I canali Telegram di Legion e Killnet sono serviti, e questo ormai è un modello diffuso, a coordinare gli attacchi. La lista dei siti sotto attacco ieri è circolata infatti pubblicamente su questi canali, con l’invio a suddividere le forze per lanciare un attacco coordinato più vasto possibile

Stamattina, con un messaggio sul proprio Canale Telegram, i membri di Killnet hanno ribadito più volte di non essere direttamente responsabili dell’attacco, ma di avere “dei figli indisciplinati” ovvero i membri del gruppo Legion.

Gruppo Legion che, appena neonato, non dispone di infrastrutture complesse come quelle di altri gruppi e si è mostrato decisamente poco organizzato nel lanciare l’attacco: nonostante questo, i siti istituzionali italiani sono caduti come mosche, anche se per poche ore.

L’uso del tool Blood, disponibile su GitHub
Secondo la redazione di Red Hot Cyber il tool utilizzato per lanciare gli attacchi DDoS che hanno colpito ieri l’Italia si chiama Blood ed è liberamente scaricabile da Github. Blood può sfruttare dispositivi di varia natura non solo per lanciare, ma anche per compartecipare e amplificare attacchi DDoS. Il tool reca la firma @Killnet_Jacky.

Fonte: Red Hot Cyber

Il battaglione ucraino che attacca i siti governativi russi e bielorussi
A Killnet e Legion corrisponde, in Ucraina, il battaglione di cyber volontari aggregato intorno alla startup Hacken. Hacken è una società ucraina che, prima della guerra, si occupava di cyber sicurezza e di mining di criptovalute: talent scouting per rimpolpare le fila della cyber difesa nazionale ucraina, ha lanciato anche una propria criptovaluta, chiamata DDOS. Hacken infatti si occupa principalmente di blockchain.

Tutto inizia il 26 febbraio, quando Mikhail Fedorov, ministro della trasformazione digitale e Vice Primo Ministro ucraino, lancia un appello via Twitter: vuole reclutare volontari per creare un’armata informatica. Spiega che tutte le istruzioni per lanciare attacchi, per coordinarsi, per rimanere aggiornati transiteranno su un canale Telegram. Parliamo di IT Army Ukraine, canale Telegram che supera i 300.000 iscritti in 4 giorni: la più grande armata cyber della storia (per adesso).

L’armata non si occupa, in realtà solo di attacchi: produce anche propaganda (video, post, foto ecc…) che diffonde poi nel cyber spazio russo. Non a caso l’armata è divisa in gruppi operativi, uno dei quali si occupa di lanciare attacchi DDoS.

Gli attacchi DDoS sono eseguiti proprio tramite un software della Hacken, chiamato disBalancer: chi scarica disbalancer cede come nodo di una botnet il proprio dispositivo. La Hacken utilizza i dispositivi “volontari” della botnet e tramite questa lancia gli attacchi DDoS. Nel frattempo, i dispositivi volontari concorrono a minare la criptovaluta di Hacken, la DDOS.

L’armata è oggi estremamente numerosa e il governo ucraino ha affermato che ormai possono contare su 100.000 utenti attivi al giorno con disBalancer attivo h24.

Battaglioni cybernetici: occhio alla fascinazione, è tutto molto pericoloso
La notizia di arruolamenti volontari in cyber battaglioni ormai sta circolando ampiamente soprattutto su Telegram e Twitter. I numeri degli arruolati, più o meno consapevoli, si fanno consistenti. Tutto ciò è molto pericoloso.

Anzitutto è illegale: scaricare codice che viene utilizzato per lanciare attacchi contro siti istituzionali di altri paesi è un’attività illegale. Poco conta che tale attività sia organizzata con una chiamata governativa come nel caso dell’Ucraina o da gruppi di cyber attaccanti come KillNet e Legion.

Oltre ad essere illegale, espone i soggetti che vi si prestano ai rischi di un arruolamento atipico e non regolamentato da alcuna legge. Inoltre espone soggetti magari poco consapevoli alla partecipazione diretta ad azioni che sono, nei fatti, atti di guerra, anche se cyber, e che potrebbero esporre il paese stesso di cui è cittadino il volontario ad azioni di risposta.

Non solo: i malware che trasformano in bot i dispositivi hanno di solito la capacità non solo di garantirsi la persistenza sui dispositivi, ma anche di controllarli. Scaricare Blood, o direttamente Mirai, espone a gravi rischi come quello di vedere il proprio dispositivo utilizzato per lanciare cyber attacchi non collegati alla guerra, ma alle truffe, alle campagne di phishing, alle campagne ransomware.

Anche disBalancer, il tool DDoS dell’Armata IT Ucraina, non ha codice sorgente pubblico e disponibile, sicuramente è collegato al mining della criptovaluta di Hacken, ma non si sa ne per quanto ne che tipo di controllo instaura sulle macchine. Insomma, in termini di rischi, arruolarsi in questi battaglioni è decisamente una pessima idea.

020520222

Introduzione al DNS tunneling e come gli atttaccanti ne possono aproffittare

Introduzione al DNS tunneling e cvenerdì 29 aprile 2022
Introduzione al DNS tunneling e come gli atttaccanti ne possono aproffittare

traduzione del contributo di Rahul Pawar, Security Researcher di Quick Heal

Che cosa è il DNS?
Il DNS, Domain Name System, è un servizo che converte gli hostname in indirizzi IP. E’ un protocollo a livello applicativo che consente ad utenti e server di scambiare messaggi. Ogni host è identificato dal proprio indirizzo IP, ma è molto complesso per gli umani memorizzare una serie di numeri. Inoltre gli indirizzi IP non sono statici. Di conseguenza, il DNS converte il nome di dominio di un sito nel suo indirizzo IP numerico, così da rendere possibile per umano contattare un server usando il nome dominio e non l’indirizzo IP. Non a caso il sistema DNS viene definito anche “l’elenco telefonico di Internet”, associando “un nome” ad un numero.

Che cosa è il DNS Tunneling?
Il protocollo DNS ha un difetto: è stato sviluppato senza tenere di conto il paradigma della security by design. La sua centralità in Internet lo rende quindi uno dei target preferiti degli attaccanti. Il DNS tunneling, se utilizzato a fini dannosi, usa il protocollo DNS per distribuire malware ed esfiltrare dati. Questa tipologia di attacco esiste da oltre 20 anni, ma è tutt’ora un pericolo.

Un attaccante imposta un server dove è in esecuzione un malware e vi punta un dominio. Usando poi un server precedentemente infettato, l’attaccante ricerca il dominio sotto il proprio controllo. Il resolver DNS crea un tunnel tra l’attaccante e il suo target quando instrada la query. E’ in queste query che gli attaccanti nascondono i dati necessari a perpetrare l’attacco. L’utente non ha cognizione di star “dialogando” con un server infetto.

Una tipologia di attacco siffatta ha un grande vantaggio per gli attaccanti: le query DNS sono quasi sempre autorizzate a transitare attraverso i firewall e le varie misure di sicurezza. Ne consegue che le query DNS sono corsie preferenziali che gli attaccanti possono sfruttare per eseguire attività dannose aggirando le difese.

Come funziona un attacco DNS tunneling?
L’immagine sotto rappresenta, passo passo, il funzionamento di un attacco DNS tunneling.

Come si vede:

l’attaccante gestisce un server sul quale è in esecuzione un malware. Possiede anche un dominio che punta su questo server;
l’attaccante usa un host infettato col malware per inviare una query al proprio dominio controllato;
quando il resolver DNS instrada la query, crea un tunnel tra l’attaccante e il suo target, consentendogli di rubare dati, controllare l’host da remoto e eseguire altri attacchi.

DNS tunneling: quali rischi?
Il DNS Tunneling comporta una serie di rischi:

esfiltrazione dei dati: gli attaccanti usano i DNS per rubare informazioni sensibili. Va detto che usare il DNS tunneling per rubare informazioni non è il mezzo più comodo per gli attaccanti, richiedendo infrastrutture ad hoc e un certo sforzo dal punto di vista della programmazione di codice. Resta il fatto che è però un metodo funzionante, anche se non efficiente;
controllo da remoto: gli attaccanti possono usare il protocollo DNS per inviare dei comandi ad un Remote Access Trojan (RAT) tramite il server di comando e controllo (detto C2 o C&C);
IP-Over-DNS Tunneling: alcune utilities hanno implementato lo stack IP nel protocollo domanda-risposta DNS. Usare software di comunicazione standard come FTP, Netcat e ssh può rendere il trasferimento dei dati relativamente semplice.

Toolkit più comuni e diffusi per il DNS tunnmeling
DNSCat2 si divide in due sezioni, client e server. Il server può mantenere le connessioni con molti client, rendendolo una componente C&C essenziale. Criptazione, sessioni come Metasploit e tunnel per il TCP forwarding sono solo alcune delle nuove funzioni. Tuttavia questo tool presenta inconvenienti come performance ridotte, sessioni limitate e limitazioni al tunneling.

Una volta completata l’installazione di DNScat2, il server eseguirà i seguenti comandi

Per eseguire una connessione tra client e server, si possono usare i seguenti comandi sulla macchina client:

Anche Wireshark può essere utilizzato per verificare che una sessione sia stata creata con successo. La porta 53 gioca un ruolo centrale nell’ottenere la shell inversa, perchè i dispositivi di sicurezza raramente la bloccano.

Il protocollo DNS si basa principalmente su UDP. Non c’è alcuna garanzia che i messaggi arrivino nell’ordine in cui sono stati spediti. Sono proprio gli strumenti di DNS tunneling che gestiscono questo processo sia inviando comunicazioni TCP atttraverso il DNS sia inviando continui e costanti messaggi ping tra le richieste per garantire il corretto ordine. Applicare questi metodi per l’integrità incrementa inevitabilmente il numero dei messaggi sul protocollo DNS. Inoltre, se un tool DNS Tunneling viene usato sia per il browsing web che per il trasferimento di file, il volume e la dimensione dei messaggi sarà molto più alto rispetto al comportamento osservabile in caso di normale traffico DNS.

Insomma c’è da aspettarsi che la presenza del tunneling DNS causi un cambiamento significativo del traffico DNS per quanto riguarda;

volume
lunghezza dei messaggi
tempo medio (più breve) tra i messaggi.

Una volta stabilita la connessione, vedremo una sessione sul server, come mostrato nella foto sotto. E’ possibile usare il comando “sessions” per verificare se è stata creata una nuova sessione.

Ecco che a questo punto è possibile accedere alla sessione e interagirvi con molte opzioni. Così verrà creata una ulteriore sessione e si potrà interagirvi: avremo quindi la shell tradizionale.

Individuare il DNS Tunneling:
I metodi principali per monitorare e individuare attacchi DNS sono l’analisi dei payload e l’analisi del traffico.

Analisi del Payload: è utile analizzare il contenuto delle richieste DNS e le risposte. Attività sospette possono essere individuate tramite fattori come la differenza di dimensioni tra richiesta e risposta ecc…
Analisi del Traffico: per distinguere il traffico DNS regolare da quello dannoso, si utilizzano informazioni come il numero di richieste, la localizzazione geografica delle stesse, la cronologia del dominio. Il rilevamento e la risposta di rete, ad esempio, usano il machine learnng per stabilire “l’aspetto base” di un traffico definibile come normale in un determinato ambiente, quindi inviano avvisi quando viene individuato un traffico anomalo che diverge dall’aspetto base. Questa divergenza potrebbe indicare appunto un attacco in corso.

Quick Heal protegge i propri clienti…
Il modulo Host Based Intrusion Prevention System di Quick Heal individua e blocca attività dannose come il DNS Tunneling.ome gli atttaccanti ne possono aproffittare

0205202022

Database e Databreach: cresce il numero di database esposti in Internet. Un rischio facilmente prevenibile, con pochi accorgimenti

Database e Databreach: cresce il numero di database esposti in Internet. Un rischio facilmente prevenibile, con pochi accorgimenti

Il gruppo di ricercatori di sicurezza Group-IB ha pubblicato un importante report sui database pubblicamente disponibili in Internet, registrando un importante crescita, continuata per tutti i trimestri del 2021.
Allarme database esposti!
I ricercatori di Group IB hanno pubblicato un report sul tema dei database pubblicamente esposti in Internet. In totale, nel 2021 il Group-IB ha individuato oltre 308.000 database esposti nel 2021: la crescita di questo numero è stata costante per tutto il corso del 2021, ma ha registrato il suo picco i primi mesi di quest’anno. Segnale che rende verosimile la prospettiva per cui nel 2022 il problema non farà altro che acuirsi.

Nel primo trimestre del 2022, infatti, il numero dei database esposti è aumentato di 91.200, una crescita del 12%. In totale, considerando anche questi primi mesi del 2022, il report di Group-IB fissa a 399.200 i database a rischio.

Fonte: Group-IB

La quasi totalità dei database risulta disponibile in Internet a causa di errate configurazioni: gioco facile per gli attaccanti, che dispongono di strumenti liberamente accessibili come motori di ricerca che indicizzaziono i sistemi raggiungibili tramite web aperto. Una semplice ricerca quindi permette loro di accedere ai database senza ulteriori sforzi, consentendo il furto dei dati.

Nel caso di Group IB è stato usato un tool di loro proprietà che consente l’analisi dell’intero spazio IPv4 in cerca di porte aperte per accedere ai database. I ricercatori hanno comunque precisato di non aver potuto verificare la tipologia di dati esposti, poichè la loro soluzione si limita a verificare l’eventuale esposizione o meno del database oggetto di analisi.

Specifichiamo che i dati di telemetria così raccolti non mostrano neppure se i database esposti siano vulnerabili a falle di sicurezza o se una terza parte, ovviamente non autorizzata, vi abbia avuto accesso nel periodo di esposizione sul web.

Distribuzione dei database esposti
La maggior parte dei database esposti, spiegano da Group-IB, è ospitato in server statunitensi o cinesi. Subito dopo, al 3° e 4° posto, troviamo server tedeschi e francesi. Immancabile l’Italia, tanto affezionata al podio delle classifiche negative, che si piazza al 10 posto tra i paesi al mondo col maggior numero di database esposti in Internet: 4.242.

Fonte: Group-IB

Se invece guardiamo ai sistemi di gestione dei database, la maggior parte di questi sono gestiti con Redis, che quasi doppia il secondo in classifica, MongoDB. MySQL registra invece il minor numero di istanze rilevate dai ricercatori, mentre Elastic, al 3° posto nella classifica, ha visto una crescita di database esposti di circa 2000 unità in un anno.

Fonte: Group-IB

Altro dato negativo è che i tempi di risoluzione del problema sono passati dai 113 giorni del 3° trimestre 2021 ai 170 del 1° trimestre 2022: si suppone che questo prolungarsi dei tempi di risoluzione sia dovuto al fatto che il personale IT deve confrontarsi con una espansione rapida e continua di risorse disponibili pubblicamente.

Per saperne di più > Immagini diagnostiche e dati sanitari esposti sul web: a che punto siamo?

Correre ai ripari! Alcune misure di sicurezza
Con una punta di amarezza, il report di Grpu-IB fa notare come la maggior parte di queste problematiche potrebbero essere facilmente prevenute. Ecco quindi che il report elenca una serie di misure di sicurezza utili che, se seguite dagli amministratori e mantenute nel tempo, minimizzano i rischi e prevengono l’esposizione di dati. Eccole:

assicurarsi che il database non sia pubblicamente disponibile a meno che non sia necessario;
mantenere aggiornato il sistema di gestione del database, sopratutto se si utilizzano sistemi noti come quelli elencati poco sopra. In quel caso i dati telemetrici sono chiari: l’exploit delle falle di questi sistemi di gestione di database è piuttosto comune;
prevedere solidi e sicuri meccanismi di autenticazione dell’utente per accedere alla risorsa;
distribuire un solido protocollo di criptazione dei dati per tutte le informazioni salvate nel database;
usare soluzioni di monitoraggio in tempo reale dei database;
evitare l’uso di porte di default che potrebbero esporre il database a scansioni rischiose;
seguire la pratica della segmentazione dei server, se e quando possibile;
mantenere backup offline di tutti i dati, in forma criptata;
adottare firewall che consentano il filtraggio e l’ispezione dei pacchetti.

2404

Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT

martedì 26 aprile 2022
Cosa “gira” in Italia? Malware e campagne di attacco individuate dal CERT – 3° settimana Aprile

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d’occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un’infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 3° settimana di Aprile
La scorsa settimana il CERT-AGID ha individuato e analizzato 35 campagne dannose, quasi 20 in meno rispetto alla settimana precedente. Il dato che colpisce è che la quasi totalità di queste, ben 34 su 35, sono state campagne mirate contro utenti italiani mentre soltanto una è stata generica ma veicolata anche nel cyber spazio italiano.

Le famiglie malware in distribuzione sono state 8 e, caso più unico che raro, la medaglia d’oro spetta a Qakbot, che è stato il malware più diffuso. Ecco la lista:

Qakbot è stato in diffusione con quattro campagne a tema Resend e Pagamenti. Le email contengono un link che conduce al download di un archivio ZIP. Al suo interno è presente un documento in formato XLSB;
Avemaria è stato in diffusione anch’esso con quattro campagne tutte mirate contro utenti italiani. Le email, a tema Ordine o Pagamenti, veicolano allegati dannosi ZIP e IMG;
Emotet è stato diffuso con quattro campagne mirate a tema Documenti. Queste hanno avuto due diverse forme: in un caso l’email veicola allegati XLS con macro, nell’altro è allegato un file archivio ZIP (in alcuni casi protetto da password) contenente allegati XLS. Su Emotet ci sono recenti brutte notizie che impongono ai team IT di prestare grande attenzione a questa minaccia, almeno per le prossime settimane;
ASTesla è stato diffuso con due campagne a tema Preventivi. Le email veicolano allegati R11;
SMSGrab è stato diffuso con due sole campagne, ma anche esse mirate contro utenti italiani, una a tema Banking e una a tema Avvisi di sicurezza. Gli SMS contengono un link che conduce al download di un file APK dannoso. Questo malware sottrae gli SMS e li invia ad un server C&C su Altervista;
Formbook non manca mai e anche la scorsa settimana si è presentato con due campagne mirate. Una di queste è stata a tema Pagamenti con allegati XZ, l’altra è stata a tema Ordine con allegati RAR;
Brata è stato diffuso con una campagna mirata contro utenti italiani a tema Banking. Gli SMS dannosi contengono un link per il download dell’APK dannoso;
AgenTesla è stato diffuso con una sola campagna a tema Preventivo: le email veicolano allegati R00.
Avemaria in breve:
è un malware già conosciuto, individuato in diffusione in Italia nel Luglio di 202: il nome viene da una stringa di codice del malware stesso. E’ un malware infostealer pensato per il furto delle credenziali degli account di posta elettronica da Microsoft Exchange Client o Outlook e dai browser.

Per saperne di più > Anatomia di Qakbot, il trojan bancario e infostealer che bersaglia l’Italia

Fonte: https://cert-agid.gov.it

Le campagne di phishing della 3° settimana di Aprile
Le campagne di phishing analizzate sono state 15 e hanno coinvolto 11 diversi brand. Per la prima volta probabilmente negli ultimi anni, le campagne contro il settore bancario non sono le più numerose anzi. Tra tutte quelle analizzate soltanto due hanno riguardato il settore bancario (brand coinvolti Unicredit e Intesa San Paolo) mentre tutte le altre hanno mirato quasi esclusivamente all’esfiltrazione / furto di credenziali di accesso a servizi vari e webmail.

Tra i brand coinvolti troviamo Officee365, Aruba, OneDrive, Zimbra, Dropbox e Amazon.

Fonte: https://cert-agid.gov.it

Resta che il tema Banking è stato il più utilizzato dalle campagne dannose. Ad esempio sono a tema bancario le quattro campagne di phishing che hanno veicolato malware per Android. Sia SMSGrab che Brata sono stati diffusi appunto in campagne relative al banking.

Fonte: https://cert-agid.gov.it

Tipologia di file di attacco e vettore

Tra i file vettore più utilizzati emerge il predominio del formato archivio ZIP, che dà agli attaccanti il vantaggio del fatto che le soluzioni di sicurezza difficilmente riescono ad analizzare gli allegati compressi al loro interno. Seguono i classici formati Excel XLSB e XLS con macro dannosa. Il formato APK si piazza al quarto posto: come la settimana precedente, anche quella appena trascorsa conferma il trend di rischio per i dispositivi mobile con sistema operativo Android.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy