Ricevi gli aggiornamenti nella tua email:


ago
31st

Ransomware: Come Decifrare i File Sequestrati da Cryptolocker

Author: Angelo Righi | Malware, Risorse, Security

Negli ultimi anni si è affiancato, alle classiche forme di malware, una nuova tipologia di minaccia informatica, il cosiddetto ransomware. Per ransomware si intende un ricatto elettronico, operato da un programma che cifra tutti i dati sensibili presenti sull’hard disk del computer infettato rendendoli illeggibili. Soltando pagando il riscatto, l’utente sarà in grado di accedere di nuovo ai propri file.

Preciso che i file non vengono cancellati o “trasferiti” altrove, semplicemente vengono cifrati con una chiave che solo gli autori dell’attacco conoscono.

Uno dei ransomware più diffusii è Cryptolocker, il cui comportamento è esattamente quello descritto sopra. Secondo Symantec, il 3% degli utenti colpiti da Cryptolocker ha pagato il riscatto, ma secondo alcuni utenti, anche dopo aver pagato, i criminali non hanno fornito la chiave per poter decifrare i file “sequestrati”.

Per venire incontro agli utenti colpiti da questo malware, FireEye e Fox-it, due prestigiose aziende che si occupano di sicurezza informatica, hanno realizzato un servizio gratuito per il recupero dei file cifrati da Cryptolocker, ovvero Decryptolocker.

Il funzionamento è abbastanza semplice: bisogna effettuare l’upload di un file cifrato da Cryptolocker sul sito  https://www.decryptcryptolocker.com/ e inserire un indirizzo email.

Successivamente, all’indirizzo email fornito verrà inviata una master-key da utilizzare con un recovery program per decifrare i file “sequestrati”. Naturalmente ogni master-key è diversa da sistema a sistema.

Una nota sul sito Decryptolocker consiglia di non uploadare file cifrati che contengano informazioni sensibili.


Altri articoli:

Analisi del MBR Rootkit
E' di questi giorni la notizia che alcuni ricercatori hanno identificato in Internet un rootkit MBR per...

[Eventi] 5 e 6 Giugno: Security Summit 2013 a Roma
Si terrà presso il SGM Conference Center la tappa romana del Security Summit 2013. L’evento si aprirà...

Top Cyber Security Risk Report
Periodicamente le grandi organizzazioni che si occupano di sicurezza presentano analisi e studi sulla...

DirectX + Quick Time = Zero Day
Questa volta tocca a DirectX. Dopo Excel e PowerPoint, colpiti da bug negli ultimi mesi, bug che hanno...


lug
31st

PE Security Checker

Author: Angelo Righi | Programmazione, Security

Tra le tecniche utilizzate per mitigare le vulnerabilità zero-day, e rendere più difficile agli hacker sfruttare questi insidiosi vettori di attacco, sono state sviluppate diverse tecniche, tra le quali DEP e ASLR.

Queste tecniche devono essere esplicitamente attivate al momento della compilazione del programma. Come sapere se un particolare programma è protetto con DEP e ASLR? Possiamo scrivere un piccolo programma che ce lo dice.

I file eseguibili, ma anche le librerie dinamiche (DLL), sono generati seguendo un particolare formato, conosciuto come PE (Portable Executable). Si tratta di un formato abbastanza complesso, virus-writers e analisti di malware ne conoscono a memoria ogni aspetto più oscuro; a noi basti sapere che in questo formato esiste una particolare struttura, denominata IMAGE_OPTIONAL_HEADER.

Questa struttura contiene alcune informazioni sull’eseguibile; in particolar modo, il campo DllCharacteristics ci dice se il programma è protetto da DEP e ASLR. Infatti, analizzando questo campo, secondo quello che indica la documentazione Microsoft, saremo in grado di stabilire con precisione se il programma è protetto o meno:

IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE = 0x0040
IMAGE_DLLCHARACTERISTICS_NX_COMPAT = 0x0100

A questo punto siamo in grado di scrivere un programmino in Python, in grado di svelare automaticamente queste informazioni. L’unica cosa che ci manca è una libreria che ci permetta di decodificare senza fatica il formato PE: PEFile fa al caso nostro.

Il codice che segue fa esattamente questo:

import os.path
import sys
import pefile

class PESecurityCheck:

  # IMAGE_OPTIONAL_HEADER structure
  # http://msdn.microsoft.com/en-us/library/windows/desktop/ms680339(v=vs.85).aspx
  IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE = 0x0040  # http://en.wikipedia.org/wiki/Address_space_layout_randomization
  IMAGE_DLLCHARACTERISTICS_NX_COMPAT = 0x0100     # http://en.wikipedia.org/wiki/Data_Execution_Prevention
  IMAGE_DLLCHARACTERISTICS_NO_SEH = 0x0400        # ttp://en.wikipedia.org/wiki/Microsoft-specific_exception_handling_mechanisms

  def __init__(self,pe):
    self.pe = pe

  def aslr(self):
    return bool(self.pe.OPTIONAL_HEADER.DllCharacteristics & self.IMAGE_DLLCHARACTERISTICS_DYNAMIC_BASE)

  def dep(self):
    return bool(self.pe.OPTIONAL_HEADER.DllCharacteristics & self.IMAGE_DLLCHARACTERISTICS_NX_COMPAT)

  def seh(self):
    return bool(self.pe.OPTIONAL_HEADER.DllCharacteristics & self.IMAGE_DLLCHARACTERISTICS_NO_SEH)

if len(sys.argv) < 2:
  print 'Usage: %s <file_path>' % sys.argv[0]
  sys.exit()

def main():
  file_path = sys.argv[1]   

  try:
    if os.path.isfile(file_path):
      pe = pefile.PE(file_path,True)
    else:
      print "File '%s' not found!" % file_path
      sys.exit(0)
  except pefile.PEFormatError:
    print "Not a PE file!"
    sys.exit(0)  

  ps = PESecurityCheck(pe)

  if ps.aslr():
    print "[+] ASLR Enabled"
  else:
    print "[-] ASLR Not Enabled"

  if ps.dep():
    print "[+] DEP Enabled"
  else:
    print "[-] DEP Not Enabled"

  if ps.seh():
    print "[+] SEH Enabled"
  else:
    print "[-] SEH Not Enabled"

if __name__ == '__main__':
  main()

Per utilizzarlo, lanciarlo da linea di comando, specificando il path del programma da verificare:

C:\>pescheck.py C:\Windows\system32\cmd.exe
[+] ASLR Enabled
[+] DEP Enabled
[-] SEH Not Enabled

Questo script è disponibile su Github.


Altri articoli:

Non Solo WindowsUpdate
Windows Update non basta. Bisogna andare oltre. L'aggiornamento del PC è un'operazione...

Due Tecniche (e un Tool) per Neutralizzare gli Zero-Day
Uno degli attacchi informatici più pericolosi è lo zero-day, ovvero un  attacco per il quale non esiste...

Eliminazione Sicura di File con Eraser
In uno degli ultimi articoli abbiamo visto come sia facile recuperare i file cancellati. Questa volta...

Sofisticato Attacco DDoS Contro le Banche Americane
Benchè rimanga tutt’ora misteriosa l’identità degli autori degli attacchi che da qualche tempo...


giu
29th

Due Tecniche (e un Tool) per Neutralizzare gli Zero-Day

Author: Angelo Righi | Security

Uno degli attacchi informatici più pericolosi è lo zero-day, ovvero un  attacco per il quale non esiste ancora un rimedio. Per mitigare gli effetti di questi attacchi, sono state elaborate diverse tecniche e alcuni strumenti.

Vediamone due, le più potenti: DEP e ASLR, tenendo presente che in questo articolo indicherò col termine attacker colui che tenta di accedere in modo non autorizzato ad un computer, ovvero l’hacker, ma anche un  attacco automatizzato, un malware; col termine payload un codice, una serie di azioni, che l’attacker compie dopo aver ottenuto l’‘accesso non autorizzato al sistema.

DEP (Data Execution Prevention)

Lo scopo di ogni exploit letale è l’esecuzione di codice arbitrario, ovvero la possibilità dell’intruso (o del malware) di eseguire codice a piacere sulla macchina target e ottenere così il pieno controllo. L’attacker ha bisogno di spazio in memoria dove poter memorizzare ed eseguire il codice iniettato tramite la vulnerabilità zero-day (payload); in genere questo spazio viene individuato in aree di memoria del processo adibite ad immagazzinare dati. Se l’attacker riesce ad iniettare il payload in questa zona, e riesce poi a dirottare il flusso del programma verso quest’area, avrà il controllo totale.

Ma qui entra in scena il DEP (Data Execution Prevention): il programma può essere compilato per essere immune da questi attacchi facendo in modo che le aree di  memoria contenenti dati non possano essere utilizzate per contenere codice eseguibile; nel caso in cui si tentasse di eseguire codice in questa zona si otterrebbe un errore e un blocco del programma. Proteggendo la memoria dati tramite DEP, l’attacker, se anche riuscisse a introdurre un payload. non sarebbe comunque in grado di eseguirlo.

ASLR (Address Space Layout Randomization)

Address Space Layout Randomization serve per togliere punti di riferimento fissi all’attacker, rendendo l’ambiente più ostile. Quando un programma e le sue dipendenze vengono caricate in memorida, vengono caricate sempre agli stessi indirizzi; questa situazione è ideale per l’attacker, perchè può muoversi in un territorio conosciuto, utilizzando risorse ad indirizzi prevedibili.

Con l’introduzione di ASLR, lo scenario cambia: ad ogni riavvio del sistema, gli indirizzi degli spazi di memoria del programma e delle sue dipendenze sono diverse, cosa che rende l’esecuzione dell’exploit problematica, riducendo drasticamente le probabilità di successo dell’attacco.

Sebbene queste tecniche siano potenti e abbiano messo indubbiamente il bastone tra le ruote dei creatori di malware, entrambe possono essere aggirate; comunque lo sviluppo di malware ed exploit che funzionino nel mondo reale e non solo in laboratorio è diventato più complesso.

Microsoft ha realizzato un tool gratuito in grado di rendere efficaci queste tecniche sui sistemi basati su Windows, si tratta di EMET (Enhanced Mitigation Experience Toolkit). E’ un ottimo strumento da aggiungere al proprio arsenale e da affiancare all’antivirus, per mitigare le minacce sconosciute, non ancora neutralizzate dagli aggiornamenti.


Altri articoli:

PE Security Checker
Tra le tecniche utilizzate per mitigare le vulnerabilità zero-day, e rendere più difficile agli hacker...

Sofisticato Attacco DDoS Contro le Banche Americane
Benchè rimanga tutt’ora misteriosa l’identità degli autori degli attacchi che da qualche tempo...

Come Associare una Cartella ad una Lettera di Unità per Accedervi Velocemente.
L'altro giorno mi sono trovato a dover assegnare ad una memoria di massa  un'altra lettera di unità,...

Non Sempre un Attacco DoS è un Attacco DoS
Cos'è un attacco DoS, e come funziona? Spesso quando si parla di attacco DoS (Denial of Service), lo...


mag
31st

Kali Diventa Persistente e Cifrata

Author: Angelo Righi | Hacking, Linux

Il gruppo di sviluppo che sta dietro al progetto Kali Linux ha annunciato la disponibilità di una nuova release della nota distribuzione dedicata al penetration testing, distro che ha sostituito Backtrack.

La nuova versione di Kali, la 1.0.7, si distingue per il fatto che da questa incarnazione, ha inizio un sforzo congiunto del team Kali e degli sviluppatori dei vari tools inclusi nella distribuzione stessa,  per far si che i tools di terze parti funzioni in maniera perfetta e siano integrati senza problemi nella distribuzione.

Ma la caratteristica più interessante di questa nuova versione, è la possibilità di creare una versione persistente di Kali su supporto USB completamente cifrata, grazie a LUKS (Linux Unified Key Setup). Con questa caratteristica sarà possibile creare una versione di Kali imprenetrabile a occhi indiscreti, anche in caso di perdita del supporto.

Notevole il tempismo di questa nuova caratteristica, vista l’improvvisa e imprevista uscita di scena di TrueCrypt, software che per tanto tempo è stato il software per antonomasia per la cifratura di dischi.

Che si tratti di un’uscita di scena definitiva o temporanea ce lo dirà solo il tempo, anche se sono fiducioso del fatto che TrueCrypt tornerà tra qualche settimana sotto una nuova forma. Ma questo è un altro discorso, intanto godiamoci Kali Linux 1.0.7.


Altri articoli:

Metasploit 3.4.0 è tra Noi
Come annunciato dal blog ufficiale, dopo cinque mesi di sviluppo ha visto la luce la versione 3.4.0...

UnderAttaHack: gli Hackers sono Sotto Attacco ma Resistono
All'inizio fu Phrack, leggendaria ezine americana scritta dagli hackers per gli hackers. All'inizio...

Cosa Succede a Twitter?
Oggi verso le 15 quando l'iconcina di TwitterFox è diventata rossa non ci ho fatto caso, ma era l'inizio...

La Guerra Fredda dell’Open-Source
Non ho particolare simpatia per il nuovo presidente USA Barack Obama, anzi ho molti dubbi. Basta guardare...


apr
28th

E’ Possibile Svaligiare un Bancomat con un Semplice SMS?

Author: Angelo Righi | Security

E’ difficile districarsi nel rumore informativo distribuito dai mezzi di comunicazione di massa a proposito delle vicende legate ad attacchi o incidenti informatici. Il sensazionalismo prende in genere il sopravvento, e la vera natura dei fenomeni passa in secondo piano, la sostanza viene di fatto ignorata; inutile precisare che alla fine rimane solo confusione e disinformazione.

Facciamo un esempio concreto. Nelle ultime settimane si è diffusa la notizia che alcune bande cybercriminali, sono in grado di accedere ai bancomat con un semplice SMS. Precisiamo subito: la notizia è vera. Dobbiamo quindi allarmarci e temere che tutti i bancomat del mondo stanno per essere svaligiati? Ovviamente no. I cybercriminali possono far “sputare” i soldi da un bancomat, ma il bancomat stesso deve essere stato precedentemente compromesso e manipolato. I criminali devono essere in grado di aprire fisicamente il bancomat, infettare il computer con un malware (Ploutus in questo caso), collegare un telefono cellulare alla porta USB del computer interno che gestisce il distributore di denaro, come mostra questo video:

Insomma, se questa tecnica contribuisce a rendere più agevole il lavoro dei ladri, non permette però ai criminali stessi di poter accedere a qualsiasi bancomat con un semplice SMS.

La confusione è indotta dalla interpretazione errata delle diverse fasi dell’attacco: qui si confonde la  post-exploitation con l’intrusione, che in questo caso deve essere fisica, e prevede, oltre all’installazione di un malware, il collegamento di un telefono cellulare alla porta USB.


Altri articoli:

Un Trojan all’Attacco dei Bancomat
Siamo ormai abituati agli attacchi ai bancomat portati da bande che con metodi un po' artigianali, mettendo...

Come ritirare dal Bancomat usando un lettore MP3
Un uomo di Manchester, il quarantunenne Maxwell Parsons c\'ha provato e per un po\' gli è andata bene. Infatti...

Torna il Millennium Bug e fa Impazzire Bancomat e SMS
Tutti se lo aspettavano 10 anni fa, ma non accadde (quasi) niente. In compenso negli anni successivi,...

PillolHacking.Net: I Migliori Articoli di Febbraio 2009
Riassunto di fine mese dei migliori articoli di Febbraio 2009. Per non perdere neanche un articolo iscriviti...