Protetto: Ambush
Marzo 9th, 2010
Storie di ordinaria compromissione
Febbraio 28th, 2010
Analizzando il fenomeno del phishing ho iniziato a cercare di capire come avvenga la compromissione dei siti nei quali i phisher inseriscono i siti clone su cui dirottano gli utenti vittime.
Talvolta comprendere come avviene la compromissione semplicemente esaminando ciò che del sito si vede attraverso il browser è….oltre le mie capacità.
Così mi metto a cercare nell’underground. Capita allora che approdi su siti mediorientali, indonesiani, dell’Europa dell’est, dove mi devo poi arrabattare con le traduzioni di Google e la realtà che vi si legge, raccontata da chi si passa consigli e suggerimenti, fa impressione.
Provo a metterne una in storia, imbastendo insieme pezzi presi qua e la, ma ho idea che non si discosti molto dalla realtà.
Ogni rifeimento a fatti e persone reali è puramente casuale.
Dimitri lavora per un’organizzazione di phisher.
Suo è il compito di trovare siti vulnerabili nei quali inserire i cloni dei siti di enti di cui frodare i clienti.
Ma questa è solo una delle sue attività. Altre volte aiuta gli amici estraendo dai computer che gli portano, rubati su commissione o a caso, le informazioni di interesse.
Ieri pomeriggio Andreu gli ha portato un laptop di cui qualcuno in una stazione ferroviaria piange la scomparsa. Continue reading this entry »
AIR (Automated Image & Restore): rilasciata la v.2.0.0
Febbraio 21st, 2010
C’è qualcuno che si occupa di computer forensic che non conosce AIR? 
Sicuramente no, ma per chi non è pratico della materia diciamo semplicemente che è uno degli strumenti storici di acquisizione delle immagini forensi.
AIR permetteva attraverso una comoda interfaccia grafica di selezionare il device da copiare, quello su cui clonare, o nel quale realizzare il file immagine, l’eventuali compressione, l’utilizzo del classico dd o del più performante dcfldd, l’algoritmo di hash (uno solo) da utilizzare, e molto altro.
Lo sviluppo era fermo da tempo e il tool cominciava a risentirne.
Grazie al lavoro di Nanni Bassetti, entrato a pieno titolo nel team di sviluppo, si è arrivati, nei giorni scorsi, al rilascio di una nuova versione che si caratterizza principalmente per l’utilizzo di dc3dd, al posto dell’ormai vetusto dcfldd, e per la possibilità di applicare il doppio algoritmo di hash al device ed ai dati copiati.
Dc3dd si caratterizza per una migliore gestione dei settori danneggiati, adattando autonomamente la dimensione del blocco letto nel momento in cui li incontra.
Evviva l’open source!
Phishing in Banc@ oggi, le slide.
Febbraio 21st, 2010
Venerdi 19 febbraio si è tenuto a Torino, presso la Caserma Cernaia, l’incontro “Banc@ oggi: quali responsabilità” organizzato da GIC Piemonte, GIC Carabinieri e Circolo Prefettura di Torino, al quale ho partecipato con un intervento riguardante il phishing.
Le slide in pdf sono qui.
Attacco a GruppoCarige via ZeroBoard
Febbraio 17th, 2010
Nei giorni scorsi ho ricevuto diverse e-mail di phishing miranti a colpire i clienti del Gruppo Carige che ad un esame più attento hanno evidenziato come l’attacco sia stato portato sfruttando, tra le altre cose, una vulnerabilità della piattaforma ZeroBoard.
L’inserimento abusivo di siti clone in siti facenti uso della stessa piattaforma era già stato evidenziato in occasione di alcuni attacchi portati ai clienti di Banca Etruria, come riportato in questo post.
In questo articolo esaminiamo parzialmente due messaggi di posta giunti all’indirizzo corporate.
Nessuno dei messaggi presenta errori nella codifica dei caratteri, non appare nessun carattere cirillico che possa allarmare l’utente ed anche la forma è quasi perfetta.
Come si nota dall’immagine soprastante, i link nascosti nell’html della mail presentano una parte comune che possiamo scindere in due:
- /bbs/data/ che come vedremo fa riferimento a directory della piattaforma ZeroBoard;
- /gruppocarige/it/grp/ws/gruppo/jsp/popupservizi.jsp.htm comune ad entrambi i siti clone presente su siti/server differenti, che fa ipotizzare l’utilizzo del medesimo pacchetto “sito clone” preconfezionato, lasciando intendere la presenza della medesima mano. Continue reading this entry »
Risorse 20100214
Febbraio 14th, 2010
In questo periodo, interessandomi al phishing, ho dovuto approfondire la conoscenza delle modalità con le quali vengono violati i siti web poi utilizzati come ospiti per il sito parassita.
Spesso si ruota intorno a modalità che sfruttano vulnerabilità delle web application, consentendo l’esecuzione/iniezione di codice arbitrario.
Non di rado l’individuazione dei siti vulnerabili avviene attraverso l’utilizzo di script, talvolta addirittura di bot. Questi se installati su un host già vittima di un precedente attacco, consentono di utilizzarlo non solo per approfondire l’intrusione nella macchina, ma anche per lanciare da essa ulteriori attacchi.
Ecco di seguito alcuni documenti interessanti individuati:
- Remote File Inclusion Attacks – pt1;
- 17,400 sites affected by Fx29 – RFI pt2;
- Controlling an RFI bot – RFI pt3;
- Malicious Code Research (MCRC) Blog – 2009;
- Meccanismi delle botnets;
- A short visit to Perl IRC Bot;
- Infobox.ru:Your botnet is now my botnet!;
- Secure file upload in PHP web applications;
- Frodi finanziarie e Internet Banking: minacce e contromisure;
L’analisi del codice di alcuni degli script malevoli citati nei documenti sopra linkati può essere trovata su EvilCodeCave.
Remote File Inclusion Attacks – pt1
BANC@ oggi: quali responsabilità
Febbraio 12th, 2010
Il G.I.C. Forum (Collegamento Gruppi Informazione Civica) Torino, il G.I.C. Carabinieri Torino ed il Circolo della Prefettura hanno organizzato l’incontro “Banc@ oggi: quali responsabilità“, che si terrà venerdi 19 febbraio alle ore 21.00 presso la Caserma Cernaia di Torino.
(in)Sicurezza dell’informazione 20100207
Febbraio 8th, 2010
Alla centrale della gendarmeria di Anatropoli squilla il telefono del 911, Anatrino, di turno serale, risponde:
- 911 gendarmeria! -
- Mi stanno molestando mi mandi qualcuno in Corso Mercurio…- La comunicazione viene interrotta.
Anatrino segue la procedura, attende il biiip alla cornetta, quindi chiude la linea e compone il numero per identificare l’ultima chiamata al 911.
L’operatore risponde calmo – L’ultimo chiamante è il 745-8300851 -
Anatrino compone il numero e la risponditrice automatica dell’operatore telefonico Viola, gli comunica con voce meccanica che il numero non è più raggiungibile.
Mentre dirotta le pattuglie sulla zona indicata dalla chiamante, Anatrino pesca dal faldone il numero telefonico da chiamare per avere infomazioni riguardo l’intestatario di un numero dell’operatore Viole. Gli operatori lo rimpallano ad un numero della vicina Paperopoli. Continue reading this entry »
E InnovaStudio offrì un piatto di phish..ing
Febbraio 4th, 2010
Nelle settimane passate ho ripreso ad interessarmi di phishing analizzando le mail giuntemi nel mese di gennaio su un solo indirizzo mail.
Mi sono in particolare concentrato su quelle caratterizzate dalla presenza di link non diretti al sito fraudolenti, ma che presentano invece collegamenti ipertestauli a pagine web aventi la funzione di reindirizzare successivamente l’utente sul sito fraudolento.
Così per arrivare magari sul sito clone posizionato su un server olandese si passa prima attraverso una pagina di redirect posizionata su un server a Singapore.
Delle 59 mail di phishing giuntemi nel mese di gennaio, 29 conteneva redirect su pagine html (tranne in un paio di casisu pagine php) aventi per lo più le seguenti denominazioni:
- a.html;
- ca.html;
- cas.html;
- cop.html;
- index.htm;
- phpinfo.htm:
I ventinove attacchi risultavano così suddivisi:
- Banca Popolare di Sondrio n.2;
- Banca Popolare di Spoleto n.3;
- Banca Popolare di Bari n.7;
- Banca Popolare di Romagna n.3;
- Banca Etruria n.5;
- Banca di Cividale n.1;
- Poste Italiane n.5;
- CartaSi n.1.
Spesso i siti clone erano ospitati su domini “a perdere” registrati presso Melbourneit.com, mentre le pagine di redirect sono state inserite “abusivamente” all’interno dei siti ospitanti. Continue reading this entry »
Identificazione piattaforma vulnerabile
Febbraio 2nd, 2010
L’immagine sottostante mostra uno dei pannelli di amministrazione della piattaforma vulnerabile usata per inserire le shell nei siti poi usati per ospitare i redirect ai siti di phishing.
Il sorgente visibile con MyBrowser>Visualizza>SorgentePagina non riporta indicazioni sulla piattaforma, tuttavia le carattersistiche dell’url consentano di identificare un numero ristretto di applicazioni sofferenti dello stesso problema.
Siccome è usata anche su domini italiani desideravo una conferma da qualcuno che l’ha già usata.
Thank’s