Virus hunting: la visione di Mikko Hypponen

Alcuni giorni fa tra i post Facebook di uno dei miei contatti, è comparso un interessantissimo talk di Mikko Hypponen, intitolato “Fighting viruses, defending the net”.
Per chi non lo conoscesse Hypponen è uno dei pezzi di grossi di F-Secure, compagnia nella quale è dal lontano 1991. Di sicuro è uno che in fatto di virus, malware e security in genere “ne sa a pacchi” per usare un’espressione.
Il talk merita veramente di essere visto, 20 minuti godibilissimi dall’inizio alla fine ad alto contenuto tecnico, ingegno e un pizzico di humor.

Gli anni passano… ma i worm restano!

Cos’ha di cosi’ speciale venerdi’ 11 febbraio 2011 da poco passato?
Un giorno palindromo (11022011) come molti si sono divertiti a scrivere e a dire?
No, in realtà la mia attenzione è caduta sull’articolo comparso su The Register e su come questa data costituisca il decimo anniversario dalla comparsa del famigerato worm Anna Kournikova.

Per chi non lo ricorda, fu uno dei tanti esempi di worm di quegli anni, scritto in Visual Basic Script (VBS) e che si diffondeva via mail attraverso un banale “trucchetto” di social engineering che invitava a visualizzare un’immagine della nota tennista russa.

Di sicuro non cosi’ sofisticato come il più noto Love Bug o anche I Love You, ma in grado di diffondersi a velocità doppia rispetto al suo simile rilasciato un anno prima. Fu forse l’ultimo nella sua “specie” con una simile capillarità di infezione.

Perchè val la pena ricordarlo oggi giorno, quando ormai esistono malware, spyware e rootkit in grado di nascondersi nel sistema e rendere la loro individuazione piu’ difficile che mai ai normali software antivirus?
Per il semplice fatto che fu uno dei primi esempi di virus di “successo” scritti utilizzando appositi scripting toolkit.

Il toolkit in questione VBSWG era scritto in Visual Basic e fu creato da un programmatore argentino; il worm Anna Kournikova fu invece creato, partendo proprio dal tool, da un giovane olandese identificato poi come Jan De Wit.

Oggi come dieci anni fa, la possibilità di aver accesso a toolkits di generazione, permette a persone con scarsi skill tecnici di produrre in pochissimo tempo varianti di malware in grado di provocare danni economici ingenti.
Pensiamo al caso dello Zeus e alla vasta botnet che ad esso fa capo.

APPROFONDIMENTI:
Memories of the Anna Kournikova worm, by Sophos
10th Anniversary of the Anna Kournikova virus, by Symantec

Google URL Shortener nel mirino di un worm Twitter

Il servizio di URL shortening di Google, goo.gl, sarebbe stato utilizzato negli ultimi tempi per la diffusione di un worm Twitter.
I link incriminati finora individuati che portano alla diffusione del malware sono i seguenti: “goo.gl/R7f68” e “goo.gl/od0az”.

I responsabili di Twitter hanno fatto sapere che non appena la diffusione del worm è stata scoperta, hanno provveduto a notificare la procedura di password reset per tutti coloro che sono stati interessati dal problema.
E’ stato anche consigliato un controllo sulle connessioni oAuth “autorizzate” per verificare la possibilità che ne siano state aggiunte alcune in maniera illecita ed eventualmente rimuoverle.

Per tutti coloro che hanno cliccato sui link sopra riportati, l’effetto è stato quello di un primo redirect verso un sito compromesso di una compagnia francese di mobili, e successivamente ad altri domini.
La cosa interessante è come il worm sembra si sia diffuso principalmente attraverso le piattaforme Twitter per dispositivi mobile.
Gerry Egan, direttore di Symantec Security Response, ha fatto sapere come gli URL malevoli in questione punti in effetti ad una copia del “Neosploit attack toolkit“.

I servizi di URL shortening non sono nuovi al fatto di essere sfruttati per questo tipo di attacchi.
Da un lato la loro utilità nel “comprimere” un URL di molti caratteri, specie quando si usano piattaforme come Twitter che impongono un limite di 140 caratteri per messaggio. Dall’altra il fatto che si prestano bene a nascondere i domini reali, rendendo cosi’ all’utente finale più difficile individuare un sito trappola.

Hon Lau, ricercatore presso Symantec, ha comunque evidenziato come alcuni servizi siano migliori di altri. Tiny.cc per esempio offre una pagina di statistiche dove chiunque può verificare il numero di click effettuati verso un particolare link e la destinazione reale dell’URL compresso. Altri invece come bit.ly, integrano dei meccanismi di blacklisting per filtrare in maniera (semi)automatizzata i tentativi di creare short link per far puntare a siti contenenti malware.

Il rootkit TDL4 sceglie la "via" di Stuxnet

Il rootkit TDL4 è l’ultima delle evoluzioni del famigerato TDSS, già in circolazione da un po’ di tempo.
La novità che riguarda questo malware, è che TDL4 sembra faccia uso di uno dei bug di Windows usato in precedenza da Stuxnet.

Pare infatti che il rootkit sfrutti la vulnerabilità del Windows Task Scheduler su macchine Windows 7/2008 (x86/x64) per poter installarsi senza che venga segnalato alcun messaggio dal sistema di protezione UAC.
E’ questo quello che appare nel report di Sergey Golovanov, security expert dei Kaspersky Lab.

Sembra dunque che TDL4 tenti di seguire la strada “indicata” in primis dal worm Stuxnet, di cui si è fatto un gran parlare negli ultimi tempi, soprattutto per la sua particolarità di attaccare i sistemi SCADA.
Per quanto riguarda il bug relativo al Windows Task Scheduler, il codice di exploit ad esso relativo è stato rilasciato qualche settimana fa, e quindi facilmente reperibile.

Johnny Depp is NOT dead! Occhio al malware!

A quanto pare la frenesia scatenata dalla morte di una celebre star è un buon modo per diffondere il malware.
E i vari cyber-criminali del pianeta lo sanno bene.
Questa volta nel mirino è finito il capitano Jack Sparrow o meglio l’attore Johnny Depp che stando alle indiscrezioni sarebbe morto in un incidente d’auto. “Peccato” che la pagina web che riporta la notizia sia falsa, una simil-CNN.
Tuttavia sembra che il rumor si sia diffuso in fretta e su Twitter non si sia parlato d’altro.

Ecco qua un video di Sophos che mostra come viene attuato l’inganno e installato il malware. Maggiori informazioni sull’accaduto sempre sul blog di Sophos.

Altro “buon” esempio di social engineering! 🙂

Conficker ora si aggiorna!

Trend Micro segnala che il worm Conficker.C (o Downad) ha effettivamente iniziato a scaricare gli aggiornamenti (tanto annunciati).
In ogni caso non da quei siti web che erano sotto controllo ma bensi’ attraverso la sua funzionalità P2P.
Gli esperti hanno rilevato questo comportamento osservando il traffico di rete su un sistema infetto e le modifiche alla cartella Temp di Windows.
A differenza delle altre due varianti, Conficker.C è in grado di stabilire una rete peer-to-peer con gli altri sistemi infetti e puo’ utilizzarla per scaricare ulteriori programmi e/o ricevere comandi remoti.
Stando a quanto rilevato da Trend Micro pare che questa “operazione P2P” sia in piena esplosione.

Nel caso del sistema sotto osservazione è stato rilevato il download e successiva installazione di un aggiornamento criptato da un nodo P2P in Corea.
Il worm è mutato nella variante .E, che mostra nuove caratteristiche.
In particolare tenta di cancellare le proprie tracce, eliminando voci di registro esistenti e utilizzando da quel momento in poi nomi di file e servizi in maniera random.
Il worm si mette in ascolto sulla porta TCP 5114, in attesa di richieste in grado di essere processate dal mini-server HTTP interno.
Si connette a myspace.com, msn.com, ebay.com, aol.com cnn.com al fine di verificare se c’è una connessione Internet attiva.

A quanto pare il worm sta continuando a diffondersi unicamente attraverso la vulnerabilità di Windows.
BitDefender ha fatto sapere che la nuova variante blocca l’accesso non solo al sito web di BitDefender, ma anche a quelli di numerosi security vendors che offrono tools per la rimozione di Conficker in tutte le sue varianti.

Le analisi hanno evidenziato come l’ultima versione di Downad/Conficker dovrebbe disabilitarsi il 3 maggio 2009. Non appare ancora chiaro se siano previsti ulteriori aggiornamenti prima di allora.
Alcuni esperti hanno evidenziato sporadici collegamenti a domini legati alla botnet Waledac.
Anche Symantec ha riscontrato un comportamento analogo.
Un file scaricato da Conficker (484528750.exe) si pensa contenga il bot Waledac.
Tuttavia a parte questo, finora, ne’ Trend Micro, ne’ Symantec si sono sbilanciati circa questa “interconnessione” tra Conficker e Waledac.

Sul sito di Heise Security e’ disponibile una pagina con le principali informazioni su Conficker e collegamenti a test per verificare un’eventuale infezione della propria macchina.
Vengono elencati anche i principali e piu’ importanti tools e scanners per la rimozione.

RIFERIMENTI:
Conficker now definitely downloading updates, by Heise Security
The H Security Conficker information site

Ricercatori tedeschi sviluppano un network scanner per individuare Conficker

Felix Leder e Tillmann Werner dell’università di Bonn hanno analizzato il worm Conficker e hanno scoperto che cambia il modo in cui Windows risponde ad alcune chiamate di sistema.
Questa caratteristica puo’ quindi essere sfrutta per individuare in maniera remota i sistemi che sono stati infettati dal worm.

In particolare invocando la funzione NetpwPathCanonicalize(), che contiene la vulnerabilità attraverso cui il worm si diffonde.
Quando la macchina è infetta, Conficker intercetta e gestisce le chiamate a questa funzione, modificando in alcuni casi le risposte.
Affinchè questo test abbia successo è necessario che la porta TCP 445 sia accessibile.
Tipicamente questa porta non è accessibile (e non dovrebbe esserlo) attraverso da Internet.

Conficker worm NetpathCanonicalize function

Leder e Werner hanno realizzato uno scanner per dimostrare la veridicità di quanto scoperto.
In collaborazione con Dan Kaminsky, hanno inoltrato l’informazione al Conficker Working Group e altri esperti di sicurezza.
In questo i tool di scansione disporranno presto di questa funzionalità: in particolare Kaminsky ha annunciato estensioni per nmap, Tenable (Nessus), McAfee/Foundstone, ncircle e Qualys.
A quanto pare domani 1 aprile Conficker.C scaricherà da Internet degli aggiornamenti al proprio codice.
Gli effetti di questi updates non sono al momento conosciuti.
Attualmente molti produttori anti-virus offrono tools specifici per rimuovere Conficker.
In ogni caso la soluzione migliore per un sistema infetto è la reinstallazione del sistema operativo e l’eventuale ripristino di una copia “pulita” dei dati di backup.

RIFERIMENTI:
* German researchers develop network scan for Conficker worm, by Heise Security
* Detecting Conficker, announcement from the Honeynet Project.
* Scanner download, a ZIP file.

Conflicker infetta il parlamento inglese

Giovedi’ 26 marzo, Channel 4 News ha rivelato che il sistema informatico del Parlamento britannico è stato vittima del worm Conflicker.

A parte la conferma dell’attacco subito, nessuna informazione aggiuntiva (es: durata e origine) è stata riportata dai portavoce del parlamento.
Quando è stato chiesto dai giornalisti di Channel 4 la data dell’ultimo aggiornamento del sistema antivirus della rete parlamentare, la risposta è stata un secco “no comment”.
Appare abbastanza chiaro che poichè la maggior parte dei produttori antivirus e antispyware hanno rilasciato firme aggiornate per questo malware sin da novembre 2008, gli aggiornamenti non sono stati effettuati dal personale con regolarità.
Questo fatto lascia alquanto perplessa l’opinione pubblica sulle competenze del personale IT del Parlamento.
Tuttavia la “nota positiva” è che almeno qualcuno aveva l’antivirus aggiornato visto che Conflicker è stato rilevato.

Alla scoperta dell’attacco è stata inviata una mail a tutto lo staff parlamentare con un testo del genere: “Chiediamo dunque che, se si sta utilizzando un PC o computer portatile non autorizzato ad essere connesso alla rete, venga immediatamente disconnesso”.
A quanto pare non è un fenomeno tanto strano (e sconosciuto) che vengano collegate delle macchine prive di autorizzazione, controlli antivirus o firewall.

Qualcuno ha suggerito che l’attacco del worm possa essere in qualche modo legato al summit G20 che si terrà nella città di Londra la prossima settimana.
Pare infatti che il codice di Conflicker contenga una particolare data di attivazione per il 1 aprile, giorno in cui il creatore della botnet dovrebbe prenderne controllo per non si sa quale scopo.

RIFERIMENTI E APPROFONDIMENTI:
* Conficker infects UK parliament: news by Heise Security
* Worth Reading: An Analysis of Conficker-C, by Heise Security.
* Tools to remove Conficker, report by Heise Security.
* Conficker modified for more mayhem, report by Heise Security.

Problemi di sicurezza per numerosi antivirus

Secunia e IVIZ Techno hanno pubblicato degli advisories riguardanti alcuni virus scanners.
Un controllo ActiveX vulnerabile dello scanner online Trend Micro HouseCall puo’ consentire di infettare un pc semplicemente visitando un sito web malevole.
Il problema è stato riscontrato nelle versioni House Call 6.51.0.1028 e 6.6.0.1278.
Gli utenti dovrebbero rimuovere il file Housecall_ActiveX.dll e visitare nuovamente il sito web House Call cosi’ da installare la versione piu’ recente 6.6.0.1285.

ESET Smart Suite per Windows è invece interessata da un problema riguardante il driver epfw.sys: sarebbe possibile ottenere i privilegi di sistema utilizzando particolari richieste IOCTL.
E’ già stato rilasciato un aggiornamento che fixa il problema.

Per quanto riguarda AVG per Linux è stata riscontrata una falla nel parsing dei pacchetti UPX che potenzialmente puo’ essere usata per code injection exploits.
La versione interessata è la 7.5.51 e non c’è alcuna patch disponibile al momento.
Problemi anche per la versione linux di BitDefender che soffre di integer overflows in fase di analisi di binari PE corrotti compressi con i packers Neolite o ASProtect.
In questo caso pero’ la casa madre ha già fixato il problema nelle versioni successive alla 7.6.0825.
Sempre in ambito Linux problemi di crash per Sophos SAVScan 4.33.0 che nella scansione di alcuni tipi di file compressi (con i packers Armadillo, ASProtect, asprotectSKE, CAB).
A quanto pare sono stati risolti i problemi con i file .CAB ma non con gli altri.
A chiudere la lista una vulnerabilità in Avast per Linux v1.0.8 (trial) già eliminata nelle successive (disponibile per il download la 1.2.0).

Ulteriori informazioni:
Vulnerabilities in several virus scanners by Heise Security
Trend Micro HouseCall “notifyOnLoadNative()” Vulnerability, Secunia advisory
Bitdefender antivirus for Linux multiple vulnerabilities, iViZ advisory
ESET Smart Security (epfw.sys) Privilege Escalation Vulnerability, NT Internals advisory
Sophos Anti-Virus fuzzed CAB archive vulnerability reported; Sophos advisory
Sophos Antivirus for Linux, iViZ advisory
AVG antivirus for Linux, iViZ advisory
Avast antivirus for Linux multiple vulnerabilities, iViZ advisory

AVG e il caso di falso positivo aaaamon.dll

Anche se ormai in rete gli utenti AVG troveranno miriadi di topic e post a riguardo volevo scrivere a riguardo anche io, visto che ci ho sbattuto il naso contro proprio stamattina appena arrivato al lavoro.
Ore 9.15 circa, dopo il login apro thunderbird per controllare la posta e vedo che AVG 8 mi fa comparire un popup che indica la presenza di un file infetto. Nella fattispecie il file aaaamon.dll sembra essere infetto da un trojan: “Trojan Horse Patched_c.yl“.
Dapprima il messaggio riguarda il file
C:windowssystem32aaaamon.dll
e di lì a pochi secondi vedo comparire un secondo avviso per il file
C:windowssystem32dllcacheaaaamon.dll
Alquanto sorpreso dalla cosa, visto che la sera prima dopo aver installato i classici aggiornamenti del Windows, ero “passato” per le cartelle di sistema senza notare il minimo messaggio, comincio a cercare informazioni su Internet.
Dapprima una “googlata” alla ricerca di info sul file e poi sulla possibilità di un falso positivo.
Avuta conferma che si tratta di un file effettivamente di sistema e che è sconsigliabile rimuoverlo, “pena la stabilità del sistema”, non ho trovato alcuna segnalazione circa la possibilità di un falso positivo.
Quando anche alla mia collega Sara compare lo stesso messaggio (lei pero’ ha installato AVG 7.5) comincio ad avere sempre piu’ il sospetto si tratta di una “svista” dell’antivirus.
Chiedo lumi al buon Vittorio che mi dice che lui non ha notato alcun messaggio avendo installato Nod32.
Procedo quindi ad un compare della sua dll con la mia e sono perfettamente identiche.
Certezza quasi al 99%.
Solamente verso metà mattinata ho visto comparire su Internet i primi post a riguardo.
Qui sotto trovate il link alla KB su sito italiano di AVG con le indicazioni su come comportarsi a riguardo in attesa del rilascio di una patch (non ho ancora avuto di controllare se è già stata rilasciata).

RIFERIMENTI:
Segnalato falso positivo in file aaaamon.dll, report sul sito di AVG.it