Sono sistemati provvisoriamente nel mio ufficio, dove li libero delle schede non più necessarie e faccio una ricognizione generale per trovare ed eliminare roba inutile rimasta dal vecchio impiego. Non che ve ne sia molta, gli account erano tutti non amministrativi e gli utenti non potevano (e non dovevano) installare alcunché, visto che l’uso era strettamente professionale e limitato ad una sola applicazione.

Nonostante questo e nonostante il fatto che la rete fosse isolata dal resto del mondo, ho avuto la sorpresa di trovarvi annidato Conficker, in una delle tante varianti.

E’ la prima volta che mi capita di avere per le mani computer colpiti da Conficker, senza che nessun altro vi abbia prima pasticciato o che la macchina sia già talmente compromessa da non riuscire a capire quanto delle devastazioni sia colpa di Conficker e quanto invece delle varie inutility installate dall’esperto di turno.

Come mi sia accorto della presenza del simpatico ospite, è frutto praticamente del caso: sui computer era installato VNC per l’assistenza da remoto, ed avevo aperto le rispettive porte sul firewall di Windows, aggiungendo le necessarie eccezioni. Dato che nella nuova sistemazione VNC non serve più, lo stavo eliminando e per completare il tutto sono entrato nel pannello di gestione delle eccezioni del firewall per rimuovere le due relative a VNC. Notata una eccezione, il cui nome era di sette caratteri alfabetici a caso, ho subito pensato che ci fosse qualcosa di strano, forse causato da qualche malware partito da un pen drive, visto che questa funzione non era bloccata. Ho disabilitato l’eccezione, poi, dopo aver eliminato parte del software non più necessario, ho riavviato, e l’eccezione era di nuovo attivata.

A quel punto il sospetto era certezza. Ho visto a quale porta TCP si riferiva l’eccezione, ed era la 1138, una porta non privilegiata e non usata da nessun servizio noto. Usando il comando netstat -nao si ottiene la lista delle porta TCP e UDP aperte con i relativi PID (Process ID) dei demoni le usano. Un processo teneva effettivamente aperta questa porta, ed il PID corrispondeva ad una istanza di svchost.exe con utente SYSTEM, come dire tutto e niente. Su un’altra macchina, sempre compromessa, la porta TCP ed il nome della eccezione sul firewall erano differenti, ma anche qui vi era l’istanza di svchost.exe relativa alla porta TCP aperta.

Per farla breve, ho usato due differenti strategie per rimuovere l’ospite indesiderato: una con il tool di rimozione di Symantec, efficace e veloce, una manualmente, che però è molto laboriosa e a rischio di veder vanificato il lavoro se si salta un passo. L’insediamento è fatto sfruttando un bug nel servizio di esecuzione pianificata, attivato dalla rete usando una named pipe sulla porta 445: la macchina già infetta si connette alla vittima, ed attraverso la pipe denominata “atsvc” esegue qualcosa che provoca l’attivazione. Viene depositata una DLL dal nome casuale nella directory system32, con impostati permessi molto particolari, tanto da risultare apparentemente intoccabile anche dall’utente amministratore. In realtà basta riassegnare i diritti al gruppo Administrators e si riesce ad eliminare, ma se prima non si è chiuso il firewall, impedendo l’accesso anche alla porta 445 (basta spuntare la casella “Non consentire eccezioni”) e se l’infezione è diffusa a più macchine, in breve si è daccapo con una differente DLL e una differente porta TCP. La DLL viene infilata come servizio da lanciare in una chiave di registro riguardante un servizio nascosto, che si trova cercando il nome della DLL: il nome del servizio è casuale e viene inserito un una chiave di registro particolare, che lo fa lanciare ad ogni avvio. Tutte le chiavi di registro coinvolte hanno la ACL impostata in modo che apparentemente siano intoccabili anche da Administrator, ma usando la voce “Autorizzazioni” del menu “Modifica” di Regedit si riesce a riassegnare i permessi anche ad Administrator e rimettere a posto le cose, cancellando l’avvio del falso servizio.

Comunque, al di là della complessità di rimozione, e delle tecniche di hiding messe in atto, Conficker compie un passo in più verso l’operatività silenziosa: ho avviato uno sniffer su una macchina Linux, connessa allo stesso switch delle macchine compromesse, e la sorpresa è (poco) piacevole: naturalmente dallo switch ricevevo solo il traffico broadcast, ma è stato sufficiente per notare come la strategia di scansione di Conficker sia molto meno “rumorosa” di tanti altri malware: ogni due secondi tenta un nuovo indirizzo, andando progressivamente per tutti gli indirizzi della subnet in cui si trova. Dopo il primo giro di scansione, il processo si ferma e non si hanno altri segnali, almeno non nei minuti immediatamente successivi. Questo significa che, a meno di non usare uno sniffer, e di usarlo al momento giusto, difficilmente verrà notato il traffico anomalo, come invece succedeva con altri malware, che eseguivano scansioni senza fine alla ricerca di altri computer su cui propagarsi alla massima velocità permessa dalla interfaccia di rete, rallentando tutto e generando moltissimo traffico.

Altro passo è l’assenza di processi in esecuzione specifici: usa un demone di sistema, quindi non ci sono processi con nomi strani o che scimmiottano i nomi di altri demoni legittimi.

Ancora, Conficker impedisce l’accesso via Internet a tutto il dominio microsoft.com, oltre probabilmente a molti altri, senza modificare file di configurazione e senza installare strani servizi: agisce sul servizio di cache DNS, probabilmente inquinandone il contenuto con valori improbabili. Il risultato è che solo aprendo un browser e puntando ad uno dei siti Microsoft si ha il sentore che qualcosa non sia proprio al suo posto.

Queste caratteristiche lo rendono differente da tutti i malware di questa categoria visti in precedenza e soprattutto lo rendono pericoloso ad un nuovo livello, perché anche l’utente più smaliziato difficilmente si accorgerebbe di avere una macchina compromessa, venendo a mancare qualsiasi segnale, almeno fra i più comuni, della presenza di un malware annidato nelle profondità del sistema operativo. Da quella che è la mia esperienza, questa strategia mostra che chi ha creato e diffuso Conficker, e le sue varianti, ha l’interesse non solo a colpire più computer possibili, ma anche a prolungare il tempo di permanenza nelle macchine colpite, non solo rendendo difficoltosa la rimozione con l’uso di caratteristiche poco note ai più, ma anche e soprattutto rendendo meno evidenti i sintomi dell’infezione.

In conclusione, anche considerando la grande diffusione e la difficoltà di estirparlo, Conficker rappresenta forse il primo di una nuova categoria di malware, pensati per annidarsi nelle viscere dei computer infetti e fare il proprio lavoro in modo silenzioso e discreto. Tenendo poi presente la capacità di scaricare ed eseguire a comando altri programmi, è facile immaginare scenari dove si possa trasformare in keylogger per catturare coppie di login e password, trafugare file con le credenziali di accesso a servizi o server remoti, operare come testa di ponte per diffondere spam o altri malware, trasformare i computer infetti in proxy o installarvi un simpatico sito di phishing.

Manca solo la chiusura ad effetto. Concedetemela: che sia un altro passo verso un malware veramente cattivo?

In realtà, no, siamo ancora lontani, ma Conficker si situa a metà strada fra i malware di tipo 0 e quelli di tipo I (usando la tassonomia proposta da Joanna Rutkowska), usando un demone di sistema per essere avviato e non apparire direttamente fra i processi in esecuzione. Rimane comunque il fatto che è difficile accorgersi della sua presenza, e la sua discrezione e silenziosità lo rende molto più pericoloso di tanti altri della sua razza.

Riferimenti

• Il tool di rimozione di Symantec per Conficker e le sue varianti.
• Una analisi molto dettagliata di Conficker
• Il bollettino MS08-067 di Microsoft che notifica l’esistenza del problema e delle relative patch
• La segnalazione presso il Common Vulnerabilities and Exposures: CVE-2008-4250
• L’articoletto dove Joanna Rutkowska propone una tassonomia dei malware invisibili.

Purtroppo non è così, dato che periodicamente tornano alla ribalta complotti e trame oscure che vedrebbero coinvolti produttori di tool di sicurezza e di sistemi operativi.

Questo potrebbe essere confutato abbastanza facilmente se prima di parlare ci si documentasse in materia, ma, come ben si sa, documentarsi costa fatica, sopratutto nella ricerca di fonti attendibili.

Da parte mia, per quanto può valere, le analisi che ho condotto e conduco su campioni di malware che mi capitano per le mani, sia presi da dentro computer compromessi che direttamente “alla fonte”, rivelano delle caratteristiche comuni:

• Sono eseguibili indipendenti, che non agiscono da virus propriamente detti, ossia non si “agganciano” ad un altro eseguibile modificandone il file su disco, ma vivono di vita propria.
• La tecnica di propagazione si basa esclusivamente sulla diffusione tramite circuiti frequentati da un gran numero di utenti: falsi crack o falsi installer per applicazioni distribuiti via peer to peer, link in messaggi di spam erotico o pornografico in forum, blog e mailing list, siti che distribuiscono software pirata o strumenti per copiare illegalmente software (crack, keygen e simili). Il malware stesso molto spesso non possiede strumenti per la propagazione. Fanno eccezione alcune varianti che si propagano via Instant Messenger.
• Per l’attivazione non usano particolari tecniche, non sfruttano falle o bug nel sistema operativo o nelle applicazioni. Semplicemente si aspettano di essere avviati dall’utente stesso, con metodi più o meno tutti incentrati su social engineering e inganno.
• Per potersi insediare richiedono che l’utente che li attiva abbia un account di livello amministrativo, altrimenti falliscono in parte o del tutto l’insediamento.
• Sono composti da più elementi, parte dei quali scaricati da Internet al momento dell’attivazione. Questo per mantenere le dimensioni del file contenute, e poterlo spedire senza troppi problemi attraverso qualsiasi connessione sia disponibile, dal dialup analogico alla connessione GPRS. Inoltre si può pensare che la parte che si attiva per prima sia una sorta di squadra d’assalto, che prepara il campo per il grosso delle forze d’attacco. Altro vantaggio è il poter cambiare la parte scaricata a seconda delle esigenze, lasciando identica la parte di attivazione.
• A fronte di un modesto sforzo per l’insediamento, molta energia viene spesa per renderne difficilissima la rimozione, usando tutto un campionario di tecniche di occultamento, evasione e contrasto: Alternate Data Streams, rootkit, filtri di visualizzazione, ricerca attiva e terminazione degli strumenti di sicurezza (antivirus e firewall), rimozione di permessi all’utente amministratore legittimo, blocco di applicazioni diagnostiche.
• Negli ultimi tempi è anche cambiato il comportamento al termine dell’opera di insediamento: mentre prima si avevano una serie di sintomi evidenti e fastidiosi (popup e dirottamento del browser durante la navigazione, comparsa di icone nell’area di notifica della barra delle applicazioni, traffico anomalo nella connessione a Internet, rallentamento generale del computer), molti esemplari tendono a rimanere silenti ed a operare con molta discrezione per non destare sospetti o, peggio, dopo aver compiuto la missione primaria, ad esempio collezionare informazioni dal computer compromesso, cambiano comportamento tornando ad essere fastidiosi come tutti gli altri.

Ciò rende i malware appartenenti a questa generazione estremamente pericolosi, ed il motivo sarà evidente alla fine di quanto vado a raccontarvi.

L’antefatto

Verso la fine di luglio, un impiegato di una società che ha un sito web di e-commerce riceve una mail apparentemente proveniente dal corriere espresso da cui abitualmente si servono. L’impiegato gestisce sia i rapporti col corriere sia gli aggiornamenti al sito web della società, a cui accede via FTP. Questo ha fatto sì che l’impiegato, pur con buone conoscenze di informatica, aprisse il messaggio, contenente un avviso di mancata consegna ed allegato un file compresso, al cui interno, mascherato con icona di documento di Microsoft Word, vi era un eseguibile.

E’ un attimo: l’impiegato esegue il fatidico doppio clic e dopo una pausa iniziale in cui pare non succedere nulla, a breve compaiono alcuni sintomi, molto lievi, che qualcosa non va: antivirus disattivato, blocchi di Internet Explorer, cose così.

Un intervento del tecnico preposto troverà la macchina infetta, probabilmente da una qualche variante di un malware che in quel periodo ha fatto parecchi danni, denominato TSPY_ZBOT.PF, oppure di Agent.JEN, un altro malware molto simile, ed entrambi usavano un falso messaggio a nome dello stesso corriere. Purtroppo sia l’e-mail che l’esemplare “attivato” vengono cancellati nell’operazione di bonifica, quindi non è dato conoscere l’esatta natura del malware.

Nota
Ora, ad essere completamente onesti, non abbiamo la prova certa, ossia non abbiamo potuto fare una analisi del malware, non più disponibile, per verificare in prima persona di quali funzioni era dotato, se e come abbia catturato le informazioni che hanno portato a quanto verrà esposto fra poco, ma possiamo essere ragionevolmente certi che i due episodi siano collegati per ragioni che saranno evidenti al termine.

L’incidente

Qualche giorno dopo uno dei clienti telefona piuttosto contrariato alla società, lamentando che durante la visita al sito di e-commerce ha ricevuto un attacco sotto forma della proposta di installazione di un falso antivirus. E’ il famigerato Antivirus XP 2008.

Un momento di incertezza, ma il cliente è conosciuto ed è affidabile, quindi la sua segnalazione viene presa con la dovuta considerazione. Chiamato il fornitore dello spazio web e dell’applicazione di e-commerce, da una rapida verifica risulta che gran parte dei file del sito sono stati iniettati con codice Javascript che attraverso la solita IFRAME propone la falsa scansione antivirus e l’installazione del programma Antivirus XP 2008. La stranezza, in un primo tempo non notata, è che i file iniettati sono in gran parte HTML statici, non script PHP, linguaggio in cui è fatta l’applicazione di e-commerce, e l’iniezione è ben posizionata all’intero delle pagine, mostrando che l’aggiunta del tag IFRAME non è risultato di una modifica “append”, tipica di attacchi RFI o SQL injection.

In un primo tempo la cosa passa inosservata, e viene caricata una copia pulita del sito, ripulendo tutti i segni dell’intrusione.

Passano due giorni ed arriva una nuova segnalazione, con lo stesso problema: la scansione simulata e la proposta di installazione dell’antivirus fasullo.

Altro giro di controlli, e viene sempre trovata la stessa serie di modifiche. Sui log del web server, esaminati accuratamente, visto anche che stavolta si è riusciti ad individuare un arco temporale molto ristretto, non si trova nulla di strano. A questo punto un sospetto si fa strada: un rapido controllo ai log del servizio FTP, usato per accedere allo spazio di hosting, rivela due accessi immediatamente precedenti alla segnalazione da parte dei clienti. All’esame appare evidente che il sito è stato prima copiato dall’attaccante sul proprio computer, usando username e password dell’impiegato colpito dal virus. L’indirizzo IP dell’attaccante apparteneva ad una classe di indirizzi dinamici assegnata ad un provider ADSL in un paese europeo, probabilmente una ulteriore macchina compromessa che agiva da open proxy. Poco dopo, sempre nei log, appariva l’operazione inversa, con cui l’attaccante aveva sostituito i file sul server con quelli da lui modificati. Subito prima della seconda segnalazione appariva soltanto l’arrivo dei file, segno che l’attaccante aveva conservato una copia in locale dei file modificati.

La soluzione

Stavolta sono state prima cambiate le credenziali di accesso via FTP appartenenti all’impiegato, che ha ricevuto le nuove. Il sito è stato nuovamente ripulito, ed a distanza di due mesi non ci sono state altre intrusioni, prova che il punto d’ingresso era proprio il servizio FTP, con le credenziali trafugate all’impiegato.

Considerazioni finali

Si è trattato proprio di un attacco combinato: il messaggio e-mail con lo scopo di far avviare il programma che funge da squadra d’assalto; il programma scarica ed installa altre componenti, fra le quali possiamo ipotizzare un keylogger, o magari la collezione dei file di credenziali dei programmi più noti, e li invia all’attaccante che con la successiva analisi estrae indirizzo FTP e credenziali di accesso al sito di e-commerce. L’iniezione del codice Javascript, con conseguente infezione dei visitatori del sito, e quindi una maggiore diffusione delle infezioni con l’antivirus fasullo, che, lo ricordo, aveva come scopo quello di installarsi e chiedere un codice di attivazione da ottenere con carta di credito, i cui dati sarebbero poi stati usati per fare altri acquisti da parte dell’incursore.

Come abbiamo detto in precedenza, non possiamo dimostrare con certezza quali dati il malware abbia collezionato, ed in quale modo, dai computer delle vittime del falso messaggio del corriere, ma le prove che sia stato fatto ci sono: la sequenza di eventi e le circostanze che hanno portato all’incidente di sicurezza appena esposto. Non è difficile immaginare che se l’acquisizione dei dati è fatta tramite keylogger, molte vittime si sono viste apparire strane cose nei loro account di home banking, o nei loro account di posta. Questo tipo di dati è preziosissimo per questi criminali, e l’acquisizione dei dati del conto di una persona “pulita” serve ad aprire altri conti correnti bancari a suo nome con cui fare operazioni di riciclaggio.

Non è necessario operare sul conto stesso della persona, che anzi deve rimanere il più possibile all’oscuro del furto di identità. Lo scopo non è rubare qualche centinaio di euro dal suo conto, ma di far transitare decine di migliaia di euro sull’altro conto, di cui la vittima non sa nulla, per ripulire il denaro e farne perdere le tracce, almeno il tempo necessario per sparire senza lasciare traccia.

Questa parte dell’operazione, ossia il rilascio del malware e la collezione dei dati delle persone, è solo il primo passo di una operazione molto più articolata, in cui probabilmente l’installazione del falso antivirus è solo un ulteriore passo. O può darsi che non c’entri nulla, e che sia solo un bonus concesso a chi ha creato e rilasciato il malware per tirar su qualche altro soldo.

In definitiva, in confronto a questo scenario, il presunto complotto dei produttori di antivirus che creano virus per vendere più antivirus impallidisce del tutto, per non dire che fa sorridere nella sua ingenuità.

Questo di complotto è molto più verosimile, e infinitamente più pericoloso.

Come sempre,
Trust no one

Questa volta l’argomento è presentato sotto forma di racconto alla CSI, naturalmente del tutto inventato. Come di consueto, ci rileggiamo alla fine per qualche oziosa considerazione.

Malware batte Investigatore 2-0

L’investigatore scende dall’auto, priva di insegne di riconoscimento, scortato da due uomini vestiti di scuro, piuttosto robusti.

La chiamata è giunta in tarda notte, ed ora è quasi mattina: il palazzo in cui stanno per entrare è la sede della più importante azienda di credito del Paese.

Pare che qualcuno sia riuscito ad accedere al database principale delle carte di credito, ed ha cominciato a sfruttare i dati trafugati. Le normali operazioni di gestione delle emergenze non hanno avuto l’effetto sperato, e pare che anche il centro elaborazione dati di riserva, attivato per l’emergenza, sia affetto dallo stesso problema.
Sa che sarà un lavoro delicato e complesso, ma ha con sé la valigetta con tutti i suoi strumenti di lavoro: il fido notebook con dentro tutti i software più sofisticati per l’analisi forense, un duplicatore di dischi e memorie flash ultimo modello e un gioiellino acquistato da qualche tempo: un duplicatore di memoria RAM hardware con interfaccia FireWire, che permette di acquisire il contenuto della memoria del computer mentre è in funzione e senza alterarne l’operatività.

Il direttore operativo della sede è stato molto chiaro: dieci minuti di interruzione di servizio equivalgono ad alcuni milioni di Euro di danni per le mancate transazioni, per cui i server non devono essere spenti per nessun motivo.
Arrivano in sala server principale, e si mette immediatamente al lavoro. Connette il notebook alla rete, sul segmento fra i server e il firewall che li protegge dal brodo primordiale di Internet.

Attiva prima un Intrusion Detection System ed un analizzatore di rete, ma dopo venti minuti di analisi non rilevano nulla di sospetto. Esamina i log del firewall, niente di anormale. Decide di passare al semplice sniffer e guarda il traffico di rete man mano che scorre sul video.

Qualcosa continua a solleticargli nel cervello: il viavai dei pacchetti TCP è normale, per una installazione di questo tipo, ma c’è qualcosa che non torna.

Passa ad esaminare i server. Ovviamente non può installare nulla, per non comprometterne il regolare funzionamento, ma conosce abbastanza il sistema operativo per sapere dove guardare per scovare un intruso.
Non ci sono processi estranei, né servizi sconosciuti. I driver delle principali periferiche sono in ordine. L’elenco delle applicazioni installate corrisponde perfettamente ai file sparsi in giro per il disco di sistema, ed ovviamente alle specifiche di installazione dell’applicazione principale.

Trova finalmente una discrepanza: ci sono installati DUE protocolli TCP/IP. Non se ne era accorto subito, il secondo era in basso, e lo nota dopo aver fatto scorrere in basso l’elenco.

Ricorda di aver letto qualcosa in merito. Sfoglia rapidamente la documentazione sul notebook e trova quello che cercava: una presentazione che parlava di malware invisibili. Ma questo ha lasciato qualche traccia, quindi forse non è del tipo III, non sfrutta la virtualizzazione per nascondersi.

Il problema rimane: non può spegnere il server, e non può installare nulla, per cui non può scoprire dove si è infilato l’intruso.

Sa che è là, da qualche parte nella memoria del computer… Aspetta! La memoria!

Apre la valigetta e prende il gioiellino, il duplicatore di RAM. Ora potrà analizzare con calma tutto il contenuto della memoria, trovare l’intruso ed analizzarne il codice: è questione di ore, e potrà consegnare abbastanza dati al direttore della sede per individuare chi si nasconde dietro l’operazione.

Inserisce il connettore sulla porta FireWire del server, inserisce un pen drive da 16G, su cui il duplicatore scriverà il contenuto della memoria e preme il tasto che avvia la copia. Immediatamente il server si blocca completamente: dopo pochi secondi il sistema di controllo dei servizi di rete lancia l’allarme per la caduta dei servizi. Rivoli di sudore scorrono sul volto dell’investigatore, nonostante la sala sia condizionata e mantenuta a 20 gradi.

Il tecnico responsabile fa iniziare la procedura per instradare tutti i servizi verso il centro di elaborazione di riserva. Il tutto è durato meno di un minuto, ma la telefonata del direttore della sede arriva poco dopo: non saranno ammessi altri errori.

Il server si è bloccato talmente male che riaccendendolo impone un controllo completo di integrità al filesystem. Ma il peggio deve ancora venire: il database si è corrotto, e occorre replicarlo da quello di riserva, ora diventato principale. Ci vorranno ore.

L’investigatore, le mani un po’ tremanti, sfila il pen drive dal duplicatore di memoria e lo inserisce nel notebook: dei quattro gigabyte di RAM del server ha replicato meno di un gigabyte. E dentro non c’è nulla di utilizzabile: la struttura di dati compromessa dal malware punta allo spazio di memoria subito dopo dove si è bloccata la duplicazione.

Non può essere che una maledetta sfortuna. Imprecando fra sé, l’investigatore va a parlare col tecnico responsabile, chiedendogli se può duplicare la memoria dal server del database di riserva. Ovviamente il tecnico rimane dubbioso: e se è stato il gioiellino a bloccare il server?

L’investigatore insiste, e gli propone di provarla su altri server non critici, per dimostrare che è stato solo un caso. Insieme inseriscono il duplicatore su quattro differenti server, e su tutti l’operazione termina senza alcun problema. I server continuano il lavoro come se niente fosse.

Il tecnico si convince, anche se è ancora un po’ titubante. Squilla di nuovo il telefono, sono arrivati altri rapporti di transazioni fraudolente: chi sta trafugando i dati sta ancora operando indisturbato: è la prova che anche il server nel centro di elaborazione di riserva è compromesso. Questo fa decidere il tecnico: però vuole aspettare almeno che finisca la duplicazione dal database di emergenza.

Si spostano nell’edificio adiacente: la sala server è la metà dell’altra, ma è posizionata sotto il livello stradale, con spessi muri di calcestruzzo.

L’investigatore inserisce di nuovo il duplicatore sulla porta FireWire del server, ma questa volta è meno deciso. Non vuole perdere i dati dal pen drive usato in precedenza, per cui usa un altro pen drive, un po’ più vecchio ed un po’ più lento dell’altro.

Preme il tasto di avvio della copia. Passano i secondi, e pare funzionare tutto. Il pen drive è lento, maledettamente lento.

Sullo schermo del server si vede lo screensaver con il logo del sistema operativo che dovrebbe fluttuare, ed invece è inesorabilmente immobile. Anche il server di riserva si è bloccato. E stavolta non ci sono più riserve. Il tecnico freneticamente lo riavvia, ma non c’è nulla da fare: filesystem e database corrotti. Devono fermare il servizio e ripristinare lo stato dei database: per fortuna c’è la copia dei dati, fatta appena prima. Ma nelle due ore che serviranno a ripristinare il database l’azienda di credito perderà milioni di Euro. E l’investigatore non solo quelli…

Stavolta ho cambiato modo di presentare l’argomento. Il racconto è completamente inventato, ma li elementi che fanno fallire il povero investigatore ipertecnologico sono tutti reali. La nostra amica Joanna Rutkowska ha colpito ancora.

Si parla della possibilità di duplicare il contenuto della memoria di un computer mentre è in funzione e senza interferire con la sua operatività: esistono in commercio schede per bus PCI che fanno questo, ed è possibile usare una porta FireWire per fare la stessa cosa, con la differenza che nel caso delle schede PCI occorre inserirle prima di poterle utilizzare, e quindi spegnere il computer, a meno di schede di tipo PCI-Hotplug.

Questo permette di duplicare il contenuto della memoria ed esaminarlo con calma, rilevando tutti i tipi di malware possibili, dato che viene usato un accesso DMA diretto, senza passare per il processore.

Ma, anche se per ora solo su hardware AMD, i malware possono sfruttare un trucco per arrivare a tre differenti comportamenti tesi ad impedire l’acquisizione della zona di memoria dove sono annidati:

• bloccare il computer
• far leggere valori senza senso (tutti 0×00 o 0xff)
• far leggere valori arbitrari a scelta.

Tutti e tre questi comportamenti sono fattibili, e con grado di complessità crescente. I primi due sono stati implementati e dimostrati, il terzo è stato solo ipotizzato, ma già così è sufficiente per rendere inutile l’uso di questi miracolosi marchingegni.

C’è di peggio: l’attuale implementazione lascia fuori tutte le architetture non AMD, dato che sfrutta un comportamento legale ed atteso della tecnologia HyperTransport, ma a partire dal 2008 sia Intel che AMD rilasceranno processori ed architetture che supporteranno una tecnologia analoga per la gestione delle periferiche, e che sarà parte della tecnologia di virtualizzazione. Ingannare i duplicatori di RAM sarà un gioco da ragazzi. Duplicatori che ancora sono praticamente inesistenti in commercio in versione PCI, e del tutto ipotetici in FireWire (esiste un software dimostrativo, vedere nei riferimenti).

Il messaggio finale di Joanna, ed il nostro, vuole essere questo: finché non esisteranno sistemi operativi in grado di autoverificarsi e di segnalare la perdita di integrità, ogni altro strumento, per quanto sofisticato, sarà solo un costoso palliativo dalla durata limitata.

Riferimenti:

• La presentazione di Joanna Rutkowska.
• Un documento sulla fattibilità dei duplicatori di RAM via FireWire
• Altro documento di presentazione di un software dimostrativo per duplicare la memoria via FireWire.

Oggi

Nel racconto ho volutamente esagerato i vincoli posti sull’operato dell’investigatore, per rendergli inevitabile la figuraccia. Inoltre gli ho fatto compiere un errore madornale, ossia operare sul sistema principale, invece che quello di riserva, inattivo. Ma il suo fato di personaggio virtuale era già segnato, quindi anche operando sul sistema di riserva per primo non sarebbe cambiato nulla sul suo destino finale.

Ma veniamo a noi. Joanna Rutkowska, nel frattempo, non è rimasta certo con le mani in mano. Abbiamo malware virtualizzanti in grado di infilarsi dietro l’hypervisor di un sistema di virtualizzazione, ossia capaci di operare una virtualizzazione annidata, mandando all’aria l’assioma che un sistema impiegante la virtualizzazione è sicuro rispetto all’attacco di un malware. Abbiamo malware che riescono, sotto certe condizioni, naturalmente, ad evadere da una macchina virtuale ed attaccare l’hypervisor, demolendo un altro assioma della virtualizzazione.

Insomma, sono tempi duri per chi pensava di mettersi al sicuro usando un sistema di virtualizzazione. Come sempre, non si può contare su strumenti automagici e soluzioni semplicistiche. I malware, espressione (perversa) della creatività e fantasia umane, sono sempre pronti a raccogliere nuove sfide, demolendo miti e soprattutto fedi mal riposte.

Poi, naturalmente, ci sono gli integralisti, come il signore della nota azienda IT americana che ha attaccato e, secondo lui, demolito il lavoro del team di Joanna tramite un articolo su un noto portale IT. Peccato che il signore in questione abbia dimostrato che nella fretta di confutare (o forse per voler avere ragione a tutti i costi) ha letto male e compreso peggio il lavoro presentato al noto Black Hat di quest’anno, riguardante una trilogia per sovvertire il funzionamento di Xen, il sistema di virtualizzazione basato su Linux. Ora, considerando che l’hypervisor di Xen è molto piccolo e compatto, il codice è sottoposto ad una serie impressionante di test e di controlli allo scopo di eliminare, ragionevolmente, ogni possibile bug di sicurezza, gli altri produttori di sistemi di virtualizzazione non hanno di che stare allegri. Nel senso, non pensino di gioire della dimostrazione che Xen non è invulnerabile: il loro hypervisor si basa su codice proprietario chiuso, e quindi senza il possibile contributo di questi geniali ricercatori per scovare falle e buchi.

Molto probabilmente alcuni degli attacchi portati con successo a Xen sono altrettanto efficaci anche con altri prodotti, naturalmente con qualche modifica.

I dettagli della trilogia su Xen, sull’articolo del signore e la relativa risposta di Joanna, si possono trovare leggendo il blog di Joanna Rutkowska, presente da tempo nel mio blogroll e nel mio lettore di feed.

Un malware veramente cattivo #2: trovami, se ci riesci…

Nel precedente articolo abbiamo mostrato (con l’aiuto di Joanna Rutkowska) come risolvere il problema di comunicare con l’esterno senza essere scoperti.

Qui vedremo le opzioni a disposizione dei malware per occultarsi invece all’interno del computer colpito.

Ogni malware, come sappiamo, è un programma, una porzione di codice che deve essere eseguita per rendere attivo il malware stesso. Una volta attivato e compiute le operazioni necessarie a stabilirsi, rimane da risolvere il problema di evitare di essere scoperto troppo facilmente. Un malware che si fa scoprire ha vita breve, mentre lo scopo è quello di agire senza insospettire né il normale utente, né l’amministratore di rete più smaliziato.

In realtà questo problema ha due aspetti: sfuggire sia all’occhio umano, sia agli strumenti automatici di rilevamento (antivirus, rootkit checker, ecc.). Joanna propone una classificazione ragionata dividendo i malware in quattro classi, in funzione del modo in cui si insediano e di come questo li renda difficili da rilevare.

Tipo 0

L’insediamento avviene con un normale programma, che usa le normali funzioni del sistema operativo per essere avviato per esempio come servizio di sistema. In questo caso il malware compare fra i processi in esecuzione, ed ha una porzione di memoria dedicata come tutti gli altri. La sua rilevazione è piuttosto semplice, in quanto con le normali funzioni di controllo del kernel se ne può controllare lo stato di esecuzione, le risorse impegnate, ecc.

Ad esempio un classico botnet agent come Gaobot è un malware di tipo 0. Il fatto che alcuni malware, come Gromozon, adottino delle strategie molto sofisticate per non essere rimossi, non cambia il fatto che rimangono malware di tipo 0, usando sempre e solo API documentate del sistema operativo per agire.

Tipo I

I malware di questo tipo non si presentano come processi separati, ma si agganciano al codice di altri processi sia del kernel che di servizi di sistema fondamentali. Una volta attivati non si notano processi aggiuntivi, ma un servizio di sistema, una porzione del kernel, un driver o una applicazione fondamentale per il funzionamento del sistema divengono portatori del malware, che si esegue nello stesso processo.

Per far questo viene modificata una parte dell’immagine in memoria del processo preso di mira dal malware, con una vera e propria operazione di patching, che aggiunge il proprio codice a quello in esecuzione.

In questo caso è molto più difficile trovare il malware, dato che non ha usato normali API per insediarsi, ma ha modificato il codice di una parte del sistema operativo o di una delle sue applicazioni.

Tipo II

Questo tipo di malware usa una strategia ancora più sofisticata. Il kernel contiene alcune strutture dati che sono in realtà puntatori a funzioni, di dimensione variabile e compilate con i giusti valori al momento dell’avvio del sistema operativo. Ad esempio i driver NDIS sono elencati in una struttura dati di questo tipo. I malware di questo tipo non toccano niente nel codice del kernel o delle applicazioni principali, ma si agganciano ad una di queste strutture dati, modificando un puntatore e inserendosi al suo posto o in aggiunta a quelli già presenti.

Il vantaggio di questo tipo di tecnica è che tali strutture sono modificabili per definizione e non possono essere bloccate, né protette dalle modifiche.

Tipo III

E’ il tipo più temibile: non tocca nulla all’interno del sistema operativo colpito, non genera nuovi processi, non modifica né porzioni di codice né strutture dati, è completamente esterno e fuori dalla visibilità. Al momento l’unica tecnica conosciuta è quella della virtualizzazione, applicata ad esempio nella pillola blu, che abbiamo già conosciuto.

Richiede che l’architettura del computer colpito sia conforme alle specifiche per macchine virtuali sicure, come la tecnologia Pacifica di AMD™ e quella VT-d di Intel™, e quindi è legata ad uno specifico tipo di hardware, ma l’efficacia è devastante.

La ciliegina sulla torta

I malware di tipo 0 e I hanno bisogno di operazioni aggiuntive per non rivelare troppo facilmente la loro presenza. Alcuni agganciano porzioni specifiche del kernel e nascondono le informazioni necessarie a scoprirli: per esempio filtrando l’elenco dei processi in esecuzione o l’elenco dei driver caricati. Il discusso sistema anticopia della nota multinazionale usa un filtro sul filesystem per nascondere i propri file.

Un rootkit sperimentale denominato Shadow Walker usa un sofisticato metodo per capire se un altro processo sta leggendo la zona di memoria in cui risiede il suo codice, tipicamente un antivirus che spazzola la memoria per capire se ci sono segni di malware, e mostra una differente zona di menoria all’antivirus, rendendone impossibile la rilevazione. Ma ha bisogno di modificare la parte di kernel che gestisce la memoria, e questo permette di scoprirne le tracce.

I malware di tipo II pongono un problema del tutto nuovo: non modificando in alcun modo nessuna parte del codice del kernel o delle applicazioni, ma solo strutture di dati che per definizione sono modificabili, diventano del tutto invisibili ai normali meccanismi di rilevamento.

I malware di tipo III, pur limitati ad una specifica architettura hardware, sono del tutto fuori dalla portata di qualsiasi metodo di rilevamento che sia interno alla macchina compromessa.

Sappiamo tutti la difficoltà di rimozione per alcuni tipi di malware, vedi Gromozon, come pure la fatica nel rilevarne la presenza, come il noto rootkit del sistema anticopia. Vedremo in un prossimo articolo le difficoltà che pongono queste nuove categorie di malware, sia per la rilevazione da parte di strumenti automatici che da parte di una persona che sappia dove guardare.

Oggi

Joanna Rutkowska è andata molto più avanti, ed in direzioni impensate. Ora è possibile annidare gli hypervisor, ossia un malware può virtualizzare un sistema già virtualizzato: ecco il NBP (Nested Blue Pill, pillola blu annidata). E’ stato dimostrato che la virtualizzazione, ritenuta dai più anche un modo per rendere più sicuro un sistema operativo, dato che l’hypervisor è in teoria isolato dall’interferenza delle macchine virtuali, non risolve per nulla il problema. Prendendo di mira Xen, il sistema di virtualizzazione usato in Linux, di cui è disponibile il sorgente, è stato dimostrato come sovvertirlo e riuscire da una macchina virtuale a modificare la memoria dell’hypervisor, demolendo di fatto l’assunto base della sicurezza della virtualizzazione.

E’ stato anche dimostrato come aggirare la protezione aggiuntiva offerta dall’architettura VT-d di Intel, grazie ad un bug nel bios di alcuni modelli di schede madri.

Ora, il semplice fatto che sia stato dimostrato che si può fare, dimostra che la virtualizzazione e tutto meno che un sistema di sicurezza. Ma il mondo IT, sordo a queste dimostrazioni, ritenute teoriche ed irrealizzabili in pratica, sta andando esattamente in questa direzione, con l’idea di mettere un semplice hypervisor dentro il sistema operativo allo scopo di proteggere il nucleo principale di esso.

Tutto questo nella Xen 0wning Trilogy di Joanna Rutkowska che vi invito a leggere.

Ma, naturalmente, nessuno userà mai questo per creare malware. Noooooo. Mai. E’ impraticabile.

D’altra parte lo stesso si diceva riguardo l’IP spoofing ed il TCP sequence number prediction. Poi nel Natale del 1994 Kevin Mitnick riuscì a penetrare nel computer di Tsutomu Shimomura usando proprio questo tipo di attacco.

La seconda via non è né meno costosa, né richiede meno competenze, anzi, ne richiede di più ed in campi differenti, ma ha un vantaggio: funziona indipendentemente da problemi hardware o software, anche in assenza di vulnerabilità da sfruttare. Al solito ci si rilegge alla fine per le oziose considerazioni di rito.

Caramelle dagli sconosciuti

Ci sono vari tipi di ladro: lo scassinatore, il rapinatore e il truffatore. Lo scopo è sempre lo stesso, prendere qualcosa che non gli appartiene contro la volontà del legittimo proprietario. Quello che cambia è il modo:

• lo scassinatore opera di abilità e di astuzia. Studia le abitudini della vittima, le condizioni di sicurezza del bersaglio, poi opera colpendo in un punto debole delle difese quando il proprietario non c’è.
• Il rapinatore punta invece sulla forza bruta. Si arma e ottiene quello che vuole direttamente dal proprietario, minacciandolo.
• Il truffatore opera invece di persuasione. E’ la vittima stessa che gli consegna l’oggetto, convinta di ottenere un vantaggio economico o di altra natura.

Un detto abbastanza noto recita che non si può truffare un uomo onesto. I truffatori in giro per la Rete pare ne tengano conto: i siti web più “infetti” sono quelli che contengono (o promettono) materiale in qualche modo illegale. Brani musicali, film, materiale pornografico, crack per programmi noti o meno, generatori di codici di registrazione (i cosiddetti keygen), tutto fa brodo.

Un esempio perfetto di questa situazione è un sito che offre generatori di codici di registrazione: keygen . name (il nome è spezzato e reso non cliccabile perché non è proprio il caso di andarci).

Ad un primo sguardo, sembra identico a centinaia di altri siti web di questo tipo, ma la trappola è là, ed è ben congegnata.

Si cerca nell’elenco dei programmi già inseriti, e se non si trova quanto voluto, si può usare la casella di testo con a fianco il tasto Find! (trova).

Capire che è una trappola è semplice:

1. tutti i keygen scaricati sono lunghi esattamente 8759 bytes
2. sono identici bit per bit, indipendentemente dal programma per cui dovrebbero generare il codice
3. se si cerca un keygen se ne trova sempre uno con il nome contenente esattamente le parole che abbiamo digitato nella ricerca.

Per esempio se nella casella si digita “Fedora Linux”, la ricerca restituisce un file dal nome “Fedora_Linux_keygen.exe”, sempre di 8759 bytes. Ora, a parte che Fedora Linux non ha proprio bisogno di chiave di registrazione, visto che è un sistema operativo libero e gratuito, è strano che il nome sia esattamente lo stesso. Ad ulteriore conferma basta digitare “io sono un fesso che prende caramelle dagli sconosciuti” ed in un attimo ecco il nostro keygen con un nome chilometrico e quanto meno inconsueto, sempre di 8759 bytes.

La conferma finale viene passando il file ad una collezione di antivirus: i due terzi lo identificano come minaccia, anche se non sono concordi sul tipo.

Riadattando un detto usato dai miei nonni, possiamo dire che andò per craccare e rimase craccato…

Oggi

Il sito è ancora attivo, ed il numero ed il tipo di ricerche presenti e memorizzate fa pensare che sia molto “gettonato”. Il keygen (leggi malware) è cambiato, ora è di 204856 bytes, e VirusTotal lo identifica sempre come malware con 28 antivirus su 36. Avviato sulla macchina virtuale sacrificale di rito, scarica roba dai soliti siti con nomi improbabili, installa un servizio ed un modulo da attivare all’avvio del computer, più altra roba che non sono stato a guardare. C’è un po’ di tutto, compreso un Alternate Data Stream.

A dispetto della continua evangelizzazione degli utenti ad opera di chi è un po’ più “smaliziato”, il numero di persone che cadono vittima di truffe e raggiri è in costante aumento. E non c’è bisogno di tirare in ballo il phishing, basta andare molto più vicino e volare bassi: siti che offrono antivirus fasulli per disinfettare inesistenti pestilenze, software altrimenti gratuiti offerti dietro pagamento di una “tassa di installazione”, informazioni riservate inesistenti, servizi 2.0 con fregatura 1.0, e via così.

E’ evidente che non serve assolutamente creare malware sofisticati e pestilenze inarrestabili, basta dire le cose giuste nel modo giusto agli utenti, il resto lo faranno da soli.

Una ultima cosa: una delle ricerche in prima pagina nel sito dei keygen fasulli nel momento in cui l’ho visitato era per una applicazione dal nome: Antivirus XP 2008. Per la cronaca, non è un antivirus, ma un malware camuffato da antivirus che richiede un pagamento con carta di credito per essere “attivato”. Ecco la cattura della pagina. Verso il fondo potete vedere quello di cui parlo.

Il colmo dei colmi: cercare in un sito di crack fasulli qualcosa per poter installare un malware camuffato da antivirus che probabilmente non vede l’ora di essere avviato per fare i suoi porci comodi, dopo ovviamente aver preso un po’ di soldi dalla nostra carta di credito.

Il punto, però, non è il denigrare un poveraccio che è caduto dalla padella nella brace, no. Qui stiamo parlando di qualcuno che per vedere “documentari anatomici”, viene ingannato una prima volta vedendosi presentare una richiesta di scaricare i codec; va sul sito per scaricare i codec e viene ingannato una seconda volta, con una falsa scansione online che lo avverte di avere un numero abnorme di virus e gli propone di installare un antivirus fantastico, la soluzione definitiva di tutti i problemi di virus. Mentre il tizio si convince di avere usato fino a quel momento una chiavica di antivirus, che non l’ha protetto dalla pletora di virus che gli ha trovato l’altro, va a scaricare ed installare l’antivirus fasullo, e viene ingannato la terza volta, dato che gli viene chiesto di acquistare il codice di attivazione con carta di credito. A questo punto, invece di accendere il cervello e iniziare a farsi qualche domanda, adotta il comportamento più amato dai truffatori: fa il furbetto. Cerca su Emule il crack per Antivirus XP 2008 e ne trova centinaia (provare per credere), tutti ovviamente dei falsi, accessoriati però col vero malware all’interno. Cerca un keygen e finisce sul sito appena presentato, prendendo una seconda pestilenza (o una terza, una quarta e via così).

Utenti così sono una manna dal cielo per i truffatori e i criminali in giro per la Rete. Scommetto che il computer di questa persona fa parte di almeno due botnet. Ed ha installati antivirus, firewall, antispyware, rootkit scanner, insomma tutto il campionario.

Cliccando sul link si arriva a questo sito:

Potevo resistere? Naturalmente no. Ecco i risultati dell’indagine.

Ho avviato una macchina virtuale da immolare alla causa, con Windows XP Professional installato, ed ho scaricato l’installer offerto dal sito. Un controllo fatto con Virustotal lo indica come malware con undici antivirus su 36.

Avviato l’installer sulla macchina virtuale, si presenta questa richiesta di accettazione della licenza:

Fin qui niente di strano a parte il fatto che da nessuna parte vi è il logo Adobe che, lo ricordiamo, è l’unica a distribuire il Flash Player Plugin, dato che ne è proprietaria.

L’arcano inizia a chiarirsi nella seconda schermata:

Scorrendo la licenza salta fuori che:

• Il distributore di questo installer non è Adobe
• Occorre chiamare con un telefono cellulare un numero 899 per ottenere un codice di attivazione

Mi è venuto immediatamente in mente che negli scorsi giorni l’Autorità Garante per le Comunicazioni ha deliberato che dal primo di ottobre saranno bloccate tutte le chiamate da telefono fisso ai numeri con tariffazione maggiorata. Chiaro che i simpatici amici dei dialer&co siano corsi ai ripari: non usare il telefono fisso, chiama dal cellulare! La chiamata costa sei euro e diciannove centesimi ogni sessanta secondi, così dice l’avviso. Decidete voi se fidarvi.

Ma a che diavolo serve chiamare un numero al costo di sei euro? Lo si capisce nella schermata successiva:

Chiaro adesso? Si chiama col cellulare il numero indicato, si spendono sei euro e si ottiene un codice da inserire qui per poter installare un software che Adobe permette di scaricare ed installare GRATUITAMENTE.

Ma non è finita: come funziona il codice? Appena inserito nella casella e premuto il pulsante Avanti il programma contatta lo stesso server da cui è stato scaricato e chiede l’URL: /it/check_code.php?CODE0=codice che risponde NOK se il codice è sbagliato, mentre risponde OK se il codice è giusto. Di seguito, se il codice è giusto, ossia se il server ha risposto OK, l’installer chiede questo URL, sempre dal server da cui è stato scaricato: /it/installflashplayer.exe, che, indovinate un po’, è lo stesso file identico (confrontato bit per bit) che si scarica dal sito di Adobe, gratis e senza alcuna operazione aggiuntiva.

Conclusioni

Il sito, pur presente negli annunci di Google, non offre nulla di particolare, certamente niente che valga sei euro. La stessa cosa si può scaricare ed installare direttamente dal sito Adobe a costo zero. Ancora, non ho esaminato a fondo l’eseguibile dell’installer, per cui non posso escludere la presenza di altre feature poco simpatiche e ancora meno benevole. Il nome assegnato all’eseguibile da molti antivirus non è per nulla rassicurante: backdoor, dialer, trojan, insomma niente di utile per la salute del nostro computer.

Per maggior sicurezza sconsiglio di visitare il sito, soprattutto con l’accoppiata Windows/Internet Explorer, non si sa mai.

Ripeto, l’unica titolata a fornirci il Flash Player Plugin è Adobe. E lo fornisce gratuitamente. Quindi chiunque richieda il pagamento di una qualsiasi somma per scaricare, installare o attivare il plugin non lo fa per conto di Adobe.

Come sempre: trust on one, Internet è un luogo ostile.

Riferimenti

• Il comunicato dell’AGCOM.
• Il sito Adobe da cui scaricare l’unico e vero Flash Player Plugin.

Ci leggiamo alla fine per qualche oziosa considerazione.

Questo malware sta creando non poco scompiglio in giro per la Rete. Non sto a dilungarmi su come è fatto, come si rileva o come si rimuove, ma vorrei concentrarmi su un aspetto più filosofico, se me lo permettete.

Per prima cosa vorrei richiamare alcune delle caratteristiche peculiari di questo tipo di infezione:

• Il metodo di propagazione: è basato esclusivamente sull’inganno. Vengono creati siti-esca che contengono molte parole chiave combinate correttamente fra loro, tanto da sembrare pagine di risultati di motori di ricerca. In questo modo il punteggio quando si cercano tali parole diventa molto alto, ed è quasi certo che la pagina principale del sito-esca risulti fra le prime mostrate.
• Il vettore di infezione: vengono sfruttate vulnerabilità specifiche del browser o di oggetti correlati (plugin, estensioni, ecc.). In una variante viene colpito anche chi naviga con Firefox, attraverso un bug nel plugin di Windows Media Player. Per essere colpiti basta entrare nel sito-esca, che contiene link a numerosi script, residenti su altri server, per verificare il tipo di browser, il sistema operativo e poi decidere quale strada intraprendere per colpire. Questo è confermato dal fatto che se si entra in uno di questi siti con altri sistemi operativi, viene mostrata una pagina di copertura di un fantomatico Abuse Team rassicurante nel suo affermare “Site closed”.
• Il metodo di insediamento: il malware è composto da vari pezzi, ognuno dei quali si insedia in un punto differente del sistema operativo, e controlla una parte delle operazioni: un servizio di sistema, programmi in esecuzione automatica, estensioni del browser. Nessuna parte viene trascurata.
• L’autodifesa: il malware reagisce contro i tentativi di rimozione. Utility per la disinfezione vengono terminate appena avviate o ne viene impedita l’installazione; se si elimina un componente del malware, gli altri tentano di ripristinarlo; vengono usati trucchi particolari per rendere difficoltosa la cancellazione (ad esempio file con nomi riservati).

Per arrivare al punto, è un notevole pezzo di software, tanto da meritarsi l’appellativo di Italian Spaghetti Threat, non nel senso dispregiativo di “italiani mangiare-spaghetti suonare-mandolino”, ma al contrario ad indicare l’estrema complessità e l’intreccio fittissimo con cui è scritto il codice eseguibile del malware, come un piatto di spaghetti, appunto.

Ma vorrei attirare l’attenzione su un altro aspetto: la difficoltà di rimozione.

In gran parte dei malware di questa generazione, usati per zombificare i computer colpiti (vedi i vari Gaobot, SDbot, ecc.) la rimozione è una faccenda abbastanza semplice: un eseguibile all’avvio, un servizio di sistema e un paio di chiavi di registro. Possiamo dire che molta più energia viene spesa dal virus per introdursi nel computer vittima, tanto che molti di questi malware possono arrivare a sfruttare una decina di differenti vulnerabilità del sistema operativo, e quando dovessero fallire tutte, partono con un attacco a dizionario sulle password che proteggono le condivisioni disco.

Con Gromozon lo sforzo per invadere è irrisorio rispetto a quello profuso nelle strategie per non essere individuato e rimosso. Vengono sfruttate pochissime vulnerabilità del browser e del sistema operativo per introdursi nel computer vittima, e con un aggiornamento di solito si chiude la porta. Le altre tecniche di intrusione richiedono l’intervento “benevolo” dell’utente, a cui viene chiesto di eseguire un programma o di scaricare un ActiveX.

Le strategie per non essere individuato e rimosso sono invece molto più sofisticate. Un esempio: se viene eseguito dentro una macchina virtuale rimane inattivo. Questo perché il creatore di Gromozon sa che è una tecnica normalmente utilizzata dai produttori di antivirus per studiare il comportamento dei malware. Quando Gromozon irrompe con successo in un computer, il primo pezzo di codice mandato in esecuzione controlla di non essere dentro una Virtual Machine, e solo dopo essersi accertato che non c’è pericolo inizia a scaricare gli altri componenti dalla Rete.

Altro indice di sofisticazione è dato dall’uso della crittografia per nascondere le stringhe normalmente presenti dentro l’eseguibile. Anche avendo a disposizione i binari completi, le stringhe sono illeggibili e non è possibile ottenere informazioni importantissime sul funzionamento del malware, ad esempio il nome del server da cui scaricare i pezzi restanti, o in quali chiavi di registro va a scrivere.

Ed ancora, il fatto che riconosce i file e i nomi dei processi di gran parte dei tool di rimozione disponibili, terminandoli se trovati in esecuzione o impedendone del tutto l’installazione.

Tutti questi indizi danno di che pensare.

Per quale motivo lo sforzo di progettazione del malware è in maniera preponderante diretto alla difesa delle posizioni conquistate, piuttosto che al conquistarle?

La mia personalissima opinione è che viene in un certo senso seguita l’onda. L’attuale metodo di difesa nei computer casalinghi e nelle aziende è impostato con la strategia che scherzosamente definisco “Prendi un martello più grosso”.

Invece di agire nella direzione di chiudere le porte e le falle presenti nel sistema operativo e nelle applicazioni di contorno, e quindi impedire la via d’accesso al malware, ci si affida ai tool di rimozione a danno fatto.

Personalmente, ritengo che sia come tenere aperte tutte le porte e le finestre di casa, ed installare un allarme antifurto sofisticatissimo, mettere guardie armate in ogni stanza e trappole esplosive agli sportelli dei mobili. Fino a che entra un ladro sprovveduto incappa nelle difese, ma quando ne dovesse arrivare uno un po’ più smaliziato, che conosca a perfezione le difese, ci sarebbe poco da fare.

La situazione è esattamente la stessa: chi ha creato Gromozon ha studiato minuziosamente il comportamento del sistema operativo e dei tool di rimozione, ed ha perfettamente chiaro il quadro delle difese, come ha perfettamente chiara la situazione delle vie d’accesso. Una volta entrato in casa, disattiva l’antifurto, addormenta le guardie e disinnesca le trappole esplosive. Una volta dentro, chiude le porte e cambia le serrature: ci ha buttati fuori.

Non è una esagerazione: uno dei sistemi adottati per impedire la rimozione è la creazione di un utente amministratore con nome casuale, a cui assegnare la proprietà di tutti i pezzi che lo compongono, applicando poi la cifratura che mette a disposizione Windows con EFS. Di seguito togliere alcuni diritti agli altri utenti amministratori, quelli legittimi, in modo da impedire l’accesso ai file cifrati. Traducendo: nessun altro può vedere il contenuto di quei file, come non può toccarli mentre sono in esecuzione, neanche un utente amministratore. Poi, in realtà, si può riportare la situazione sotto controllo, ma, continuando il parallelo con la casa di prima, troveremo cadaveri e devastazioni in giro per tutte le stanze. E le operazioni da fare non sono alla portata di qualsiasi utente.

Questa strategia è confermata dal fatto che, in varianti successive, Gromozon ha rivolto la sua attenzione a tool di rimozione che prima funzionavano senza problemi, arrivando a colpire anche quelli.

Termino qui. Il punto su cui voglio invitare a riflettere è proprio questo: ha senso continuare a lavorare affidandosi solo a strumenti di protezione a posteriori ed a tool automatici? Non è forse più corretto valutare il livello di sicurezza generale del sistema operativo, delle applicazioni e le abitudini degli utenti, per poi intraprendere delle correzioni tese a chiudere finalmente porte e finestre?

Grazie per la vostra pazienza.

Riferimenti

Analisi dettagliata di Gromozon di Marco Giuliani. In una ulteriore variante di Gromozon il suo nome è stato incluso in chiaro negli eseguibili, nell’intento calunnioso di farlo pensare coinvolto nella creazione della pestilenza.

Analisi di Symantec, che assegna il nome di “italian spaghetti threat” a Gromozon.

La pillola rossa, un articolo di Joanna Rutkowska sulla possibilità di rilevare dall’interno una Virtual Machine da un programma senza particolari privilegi utente.

Oggi

Il team di mentecatti probabilmente è ancora attivo. Forse ha rivolto la propria insana attenzione ad altri modelli di infezione, o ha cambiato genere diventando esperto in phishing. Fatto sta che i pericoli in Rete sono sempre presenti, ed in continua evoluzione.

La presenza di siti web facilmente conquistabili e modificabili per le esigenze di infezione e spamming, sta forse spostando il vettore di attacco, che comunque si avvale dei soliti metodi (Javascript, IFRAME, falsi plugin video e falsi antivirus).

Qualcosa da leggere:

• Mai più Gromozon, blog di un analista di sicurezza indipendente italiano.
• Dancho Danchev, altro analista di sicurezza, in lignua inglese. Suo è un documento di analisi e ipotesi sul trend futuro dei malware (in lingua inglese).

Nel messaggio vi è un solo link, e l’aspetto generale è professionale e sobrio. Niente immagini sgargianti, niente trucchi tipici dei messaggi spam (parole spezzate con spazi o trattini, vocali sostituite con numeri, errori ortografici).

Stavo per cliccare sul link, poi mi sono ricordato appena in tempo di essere con Windows. Vero è che uso un account non amministrativo, e che ho applicato le misure descritte nel mio libro, ma perché rischiare?
Dal computer a fianco, con Linux, punto il browser sul sito e mi appare una pagina abbastanza scarna, con uno stemma che fa tanto “agenzia governativa per la sicurezza”. Qui sotto lo screenshot.

Avvertenza per i più temerari
Il sito mostrato potrebbe contenere codice malevolo in grado di attaccare browser e computer vulnerabili, quindi, anche se non credo occorra specificarlo, non è proprio il caso di visitarlo.

La pagina ha un solo link attivo, ben visibile, “DOWNLOAD”. Punta ad un file eseguibile dal nome “Indagini.exe”. Passato all’antivirus, aggiornato a ieri, non viene additato come pericoloso. Aggiornando l’antivirus il file viene finalmente riconosciuto come la variante numero settecento e rotti di uno dei tanti trojan in circolazione.

Facciamo il punto della situazione:

1. Il messaggio passa indisturbato la linea di difesa costituita dai filtri antispam aziendali.
2. Passa indenne il filtro antivirus e la blacklist degli allegati vietati. Basti pensare che al momento se devo mandare un sito web dimostravo che contenga file Javascript, mi viene cestinato dagli stessi filtri.
3. Arrivato indisturbato nella mia casella di posta, l’ho potuto aprire ed ho navigato verso il sito indicato nel messaggio senza essere bloccato dal filtro per la navigazione web, che mi impedisce di visitare siti notoriamente pieni di trappole o poco giustificabili con la normale attività lavorativa (chi ha detto Porntube?), indirizzandomi su una pagina di avvertimento.
4. Ultimo, non meno importante, l’antivirus aggiornato a ieri non rileva nulla. No, non pensate di essere al sicuro col vostro mega antitutto pluripremiato: secondo il sito Virustotal ben due terzi degli antivirus non si accorgono che il file contiene codice malevolo, ed i più famigerati e premiati falliscono tanto quanto quelli “di serie B”.

Cosa ci insegna tutto ciò?

Molto, se sappiamo capire cosa sia realmente successo. Nel mio particolare caso, probabilmente, il malware non avrebbe potuto fare grandi danni, scontrandosi con i privilegi limitati dell’account in uso, non amministrativo, sempre ammettendo di aver scaricato ed aperto l’eseguibile. In azienda, fra l’altro, è in vigore una politica di gestione dei diritti utente che tende a limitare al massimo la concessione di account amministrativi. Ma quante aziende e, soprattutto, quanti privati ne sono a conoscenza?

Nell’infrastruttura di sicurezza della mia azienda non manca nulla: filtri antispam e antivirus sulla posta, filtri per la navigazione web, antivirus, firewall. Eppure nessuno di questi si è dimostrato efficace. Chi ha confezionato il messaggio ed il relativo sito web sa come eludere questi Cerberi digitali, e lo sa fare molto bene.

Due sole cose si sono frapposte fra il malware ed il completo successo: i diritti limitati del mio account normalmente utilizzato nel lavoro quotidiano, e l’aver riconosciuto il messaggio per quello che era, ossia una trappola.

L’utente medio lavora tranquillamente come amministratore del computer, ha una scarsa sensibilità a questo tipo di trappole ed ha una fiducia illimitata in questi automagici dispositivi di sicurezza.

Come pensate reagirà all’ennesima infezione, sempre che se ne accorga?

Lo scopo è di sapere quanti attacchi da parte di worm arrivano da Internet ogni momento e di renderli in forma grafica e statistica.

Il risultato è il Virus Sensor.

Come è nata l’idea

Avevo appena attivato l’abbonamento ADSL, ed appena collegato il mio nuovo router. Passato l’entusiasmo iniziale per la velocità e la comodità di questo tipo di collegamento (ho scelto un abbonamento flat), la mia innaturale curiosità ha preso il sopravvento. Anche con il computer spento, il led di attività del router ogni tanto lampeggiava, spesso per cinque-dieci secondi di fila.

Acceso il computer, avviato lo sniffer di rete, modificata al volo la configurazione del router per mandarmi tutto quello che arrivava da Internet, in dieci minuti avevo collezionato un centinaio di pacchetti IP. Ad una rapida analisi apparivano tutti diretti ad un limitato gruppo di porte TCP (135, 139 e 445) e UDP (1434 ed un gruppo da 1025 a 1040).

Dopo qualche ora avevo un’idea più precisa, e mi frullava per la testa un progetto.

Com’è fatto il Virus Sensor

L’idea di base è stata di sfruttare il più possibile le funzioni già presenti in una normale installazione Linux, in particolare:

• il firewall integrato nel kernel con le sue utility di configurazione, in particolare iptables.
• il servizio di log di sistema.
• il file con la configurazione di avvio inittab.

Il tutto affiancato da un paio di script bash, l’utility rrdtool e magari anche un sito web dove pubblicare i grafici.

Con iptables ho configurato il firewall per scrivere una riga di log per ogni pacchetto IP in arrivo da Internet, sfruttando il target LOG. Il log di sistema è configurato per deviare le righe verso una named pipe a cui è attaccato in attesa uno script bash che legge le righe, ne estrae i dati, li elabora e li memorizza usando rrdtool. Lo script è inserito fra quelli presenti in inittab, per cui viene avviato alla partenza del computer.

Un altro script viene avviato ogni 24 ore e si occupa di generare i grafici e spedirli al sito web su cui sono pubblicati.

Tutto qui. I grafici generati dal Virus Sensor saranno sempre raggiungibili dalla pagina principale di questo sito, senza dover cercare in mezzo agli altri articoli. Ogni 24 ore, a meno di disastri, i grafici vengono aggiornati con i nuovi dati.

Nel settembre 2004 ho partecipato ad una delle loro sfide, dette Scan of the Month, e mi sono classificato fra i primi dieci.

Il testo con il quale ho partecipato è qui.

English version.