Duqu sfrutta uno Zero-Day su Word (.doc)

1 novembre 2011 admin

Symantec ha appena pubblicato un aggiornamento su duqu. E’ stato individuato un file Word (.doc) che permette l’installazione del malware sulla macchina grazie a uno zero-day che in queste ore è stato segnalato a Microsoft in attesa che rilasci una patch.

Questo non vuol dire che sia l’unico metodo di infezione, per Stuxnet c’è voluto del tempo prima di scoprire che la vulnerabilità sfruttata non riguardava solo lnk.

La buona notizia è che un file di installazione è stato individuato e studiato, e che nella lista dei paesi in cui è stata rilevata traccia del malware non è (ancora) presente l’Italia.

malware ,
Leave a comment

About Duqu and Stuxnet’s author(s)

30 ottobre 2011 admin

Pare che non sono il solo a pensarla così. Tre giorni fa riguardo a duqu scrivevo “Due indizi non fanno una prova“:

Individuare delle similitudini comportamentali non è una condizione sufficiente per affermare che Duqu usa parte del codice di Stuxnet. Nessuno al momento è in possesso del codice sorgente di Stuxnet, esistono solo documenti che riportano il lavoro di reverse dal binario.

Ieri Net-Security ha pubblicato un post dal titolo “Duqu not developed by Stuxnet author

Both Duqu and Stuxnet are highly complex programs with multiple components. All of the similarities from a software point of view are in the “injection” component implemented by the kernel driver. The ultimate payloads of Duqu and Stuxnet are significantly different and unrelated. One could speculate the injection components share a common source, but supporting evidence is circumstantial at best and insufficient to confirm a direct relationship. The facts observed through software analysis are inconclusive at publication time in terms of proving a direct relationship between Duqu and Stuxnet at any other level.

Poi c’è anche chi si approfitta della situazione per lanciare la propria campagna pubblicitaria.

Udpate (03-11-2011): Not enough evidence to link DuQu to Stuxnet

The facts observed through software analysis are inconclusive at publication time in terms of proving a direct relationship between Duqu and Stuxnet at any other level.

Dell SecureWorks CTU

Update (22-11-2011): How the Duqu Authors May Have Erred

Costin Raiu è sempre più convinto che Duqu e Stuxnet siano stati scritti dalle stesse mani. L’articolo è interessante e suggerisce tanti spunti di riflessione.

malware
Leave a comment

Traffic Distribution Systems

30 ottobre 2011 admin

Lo schema proposto da Symantec per spiegare l’iter di infezione mediante l’uso dei TDS la dice tutta sul meccanismo di proliferazione di codice maligno.

  1. The user visits a legitimate website.
  2. The website displays an ad from one of the ad networks.
  3. The user clicks the ad and is redirected to the TDS.
  4. The TDS redirects the user to the final destination URL. In most cases this is a legitimate website that bought this traffic click. In this case the final destination URL is a website hosting drive-by-download exploits.
  5. The computer is compromised as a result of the drive-by-download exploits.
malware
Leave a comment

ReCalc 0.2 con JS Unpack

29 ottobre 2011 admin

La nuova versione di ReCalc con la funzione di decodifica script offuscati (vedi immagine) è disponibile sul Chrome Web Store.

code, malware, tool ,
Leave a comment

Duqu: Due indizi non fanno una prova

27 ottobre 2011 admin

Ufficialmente esistono due analisi di Duqu: una di Symantec e l’altra di McAfee. A queste due si è aggiunta in questi giorni una terza analisi di Kaspersky (Parte 1 e Parte 2) che a differenza delle prime due tende a non sbilanciarsi sulle affermazioni.

Symantec sostiene che lo scopo di Duqu sia quello di collezionare informazioni da sfruttare per futuri attacchi a infrastrutture critiche.

McAfee invece parla di azione di spionaggio e attacchi mirati contro le autorità certificative (CA).

Entrambi però concordano su un punto: Duqu usa parte del codice di Stuxnet. Kaspersky parla di similitudini (molto più corretto IMHO. PaulDotCom spiega bene i dettagli).

Individuare delle similitudini comportamentali non è una condizione sufficiente per affermare che Duqu usa parte del codice di Stuxnet. Nessuno al momento è in possesso del codice sorgente di Stuxnet, esistono solo documenti che riportano il lavoro di reverse dal binario.

Non regge neanche il fatto che Duqu, così come Stuxnet, faccia uso di certificati sottratti a società residenti in Taiwan. Perchè escludere l’ipotesi che tali società non siano dotate di buone misure di sicurezza ed essendosi sparsa la voce si corre a prelevare certificati da quelle parti? O ancora, perchè escludere l’ipotesi dell’esistenza di un mercato nero di certificati rubati in Taiwan?

malware
1 Comment

Datemi un punto d’appoggio…

23 ottobre 2011 admin

Recitava così uno dei più celebri aneddoti di Archimede: “datemi un punto d’appoggio e vi solleverò la terra”.

Per far proliferare un malware è necessario individuare un punto d’appoggio. Più sono i punti d’appoggio più semplice e rapida sarà l’operazione.

Tutto parte dalla ricerca di una vulnerabilità su un sito (preferibilmente legittimo) per inserire contenuti maligni come il seguente codice javascript opportunamente offuscato.

Il codice deoffuscato ci mostra la funzione iframer, un iframe che viene caricato quando l’utente visita la pagina, che a sua volta inserisce altro codice prelevandolo da due fonti differenti (qualora uno dei due server a cui fa riferimento fosse stato individuato e sospeso può sempre appoggiarsi sul secondo) per il downaload di un eseguibile (malware).

Sono tanti i siti compromessi da questo codice, per lo più nei paesi dell’EST.  Ma come mostrano i risultati di Google qualche traccia risiede anche in Italia.

code, malware ,
1 Comment

Ratti Anti-Debug

23 ottobre 2011 admin

Le features più richieste al mercato nero dei RAT (Remote Access Trojan) sono: Keylogger, Password grab, Audio, Webcam e Screenshot capture. Tutte presenti su questo e su molti altri RAT.

Per battere la concorrenza, oltre a garantire l’usabilità, i malware writer sono costretti a implementare nuove features per attirare l’attenzione di potenziali nuovi clienti. Le più ambite sono le funzioni di crittografia dei dati trasmessi e di Anti-Debug (vedi immagine).

Manco a dirlo all’interno del pacchetto è presente il manuale d’uso e gli immancabili consigli della nonna.

malware ,
1 Comment

Il mistero di Duqu si infittisce

21 ottobre 2011 admin

Tralasciando per un attimo la questione che Duqu possa essere il figlio, il nipote o il cugino di Stuxnet, o un missile con una testata differente, la cosa che fin ora mi ha stupìto e incuriosito di più è l’uso della steganografia unita alla crittografia.

malware , , ,
Leave a comment

Non ci sono più i LUG di una volta

17 ottobre 2011 admin

Il fatto che quest’anno il linuxday si terrà in 113 città Italiane ma nessun evento è previsto a Roma città non è cosa da poco. Un chiaro segnale che qualcosa non quadra.

Mi rincresce tra l’altro notare il profondo letargo dei LUG Siciliani. Catania ad esempio non rientra tra le 113 città.

eventi ,
4 Comments

Ok ci provo

13 ottobre 2011 admin

Provo a seguire il consiglio di Luca. Ho cominciato ieri sera

[..] bando del controllo della posta e di Twitter a letto, appena svegli o prossimi a dormire. Ogni tanto la tentazione c’è, ma il cambiamento di stile di vita ha portato soltanto benefici: meno tempo passato a poltrire e un sonno più tranquillo.

Per il sabato offline al momento la vedo dura.

personale ,
6 Comments