DenisFrati.it

Informatica inconsueta

• Weblog
• Cose_Fatte
• Chi_Sono
• Contatti
• Paper
• Licenza

Ambush

marzo 9th, 2010

Con questo articolo proseguo la via della “narrativa”
Spero che questo mio modo di romanzare alcune questioni relative alla sicurezza informatica ed alla digital forensic possa risultare gradito ai lettori, avvicinando magari i meno ferrati tecnicamente a queste problematiche.
Ci vado pesante di fantasia cercando di non scrivere strafalcioni per quanto riguarda procedure ed aspetti tecnici, nel caso correggetemi.
Ogni riferimento a fatti e persone reali e puramente casuale.
Buona lettura.

Robin sedeva davanti al monitor massaggiandosi la gamba.
Nonostante l’intervento ed i mesi di terapia la gamba non era più tornata a funzionare come prima, inevitabilmente quel colpo di AK aveva modificato la sua vita e le sue prospettive lavorative.
Tuttavia lavorare per la “bandiera” aveva dei vantaggi, uno di questi era che se rimanevi ferito in servizio non venivi buttato in un angolo come uno scarto, ma lo stato si impegnava a trovarti una sistemazione lavorativa nei suoi ranghi, compatibilmente con le competenze possedute.
Così dopo dieci anni di servizio nelle forze speciali ed un anno passato a vagabondare per gli ospedali, a Robin era stata offerta la possibilità di inserirsi quale operatore tecnico presso l’unità di contrasto al crimine tecnologico del locale dipartimento di polizia, semprechè riuscisse a rimpossessarsi delle competenze che gli erano valse la laurea in ingegneria. Era stato prima dell’arruolamento, ma nonostante gli addestramenti intensi e l’attività operativa era riuscito a mantenersi abbastanza aggiornato, gli ultimi mesi di convalescenza, poi, gli avevano  consentito di riprendere li studi e conseguire due certificazioni .

Da alcuni mesi Robin stava lavorando sul caso assegnatogli, relativo alle attività di alcuni criminali che si dilettavano con il phishing.
Era un lavoro frustrante, spesso e volentieri i crimini coinvolgevano host al di fuori del paese, sui quali non si aveva alcuna giurisdizione. Avviare richieste di acquisizione della documentazione secondo le normali procedure previste avrebbe inevitabilmente comportato il passare di giorni, settimane, se non mesi. Tempo nel quale i phisher avrebbero cambiato le carte in tavola, cancellando e modificando molte, troppe informazioni.

Robin aveva la necessità di mettere le mani su qualche tipo di log che fornisse un’indicazione degli indirizzi IP da cui operavano i criminali.
Sicuramente molti di quegli indirizzi avrebbero fatto riferimento a macchine compromesse, reti wireless aperte, schede di telefonia mobile intestate a chissà chi, ma era sempre possibile sperare in un errore, come avvenuto in passato, quando l’amministratore di una botnet vi si era collegato direttamente dal proprio pc, lasciando una traccia indelebile sfruttata dagli investigatori che la stavano monitorando.

Nell’arco delle settimane Robin era riuscito  a ricostruire le metodiche di lavoro dei phisher, le modalità di compromissione degli host sui quali venivano inseriti file di redirect e siti clone, aveva individuato le shell remote utilizzate per la gestione e gli exploit con i quali venivano inseriti, gli indirizzi e-mail dove venivano recapitate le credenziali rubate.
Fino ad ora era questo l’unico appiglio, continuava ad inviare richieste per acquisire ogni possibile informazione relativa a quegli indirizzi di posta elettronica, dall’anagrafica dell’intestatario, ai log con gli indirizzi ip relativi alla creazione della stessa ed agli accessi.
Anche in questi casi doveva sperare in un errore dei phisher.

Un giorno Robin, analizzando per l’ennesima volta le informazioni riguardanti l’ultima coppia di server compromessi, decise di tornare ad adottare la filosofia appresa negli anni di servizio in mimetica: il fine giustifica i mezzi!
Aveva bisogno di quegli indirizzi IP e se non era possibili ottenerli per via ordinaria, doveva fare altrimenti.
Avrebbe poi dovuto pensare a come utilizzare i dati acquisiti, a come richiedere informazioni agli ISP nazionali nel caso gli indirizzi IP così acquisiti avessero fatto capo ad essi. Non poteva certo presentarsi dal capitano con degli indirizzi di cui non poteva giustificare la provvenienza!
Ma a questo avrebbe pensato poi.

Avrebbe teso un’imboscata ai phisher operando sul loro stesso terreno. Attraverso il browser, utilizzando Tor, si collegò alle shell remote che i phisher avevano posizionato sui due server utilizzati fraudolentemente per l’ultimo attacco ad un istituto bancario.
Sfruttando le funzionalità di upload caricò, in una differente directory, una propria shell, offuscandone il codice che conteneva la password per accedervi e rinominandola in modo che non destasse sospetti, cosicchè per i phisher fosse più difficile individuarla ed accedervi.
Attraverso essa modifico le shell remote dei phisher in modo che ogni volta che venissero caricate da chi vi accedeva, il server prendesse nota di quelle variabili di sistema (data/ora, percorso del file, ip remoto, user agent), che potevano essere utili a fini investigativi, e le registrasse su un file a cui Robin avrebbe consultato via browser, attraverso proxy anonimi o tor.
Robin era convinto che i phisher, se non sollecitati ad essere sospettosi, non avrebbero controllato il codice delle shell remote utilizzate e non si sarebbero accorti dell’imboscata.
Era comunque possibile che le informazioni così raccolte non portassero a nulla, che i criminali non commettessero alcun errore nell’accedere ad esse. Sarebbe stato un lavoro lungo…..ci voleva tempo e pazienza, proprio come quando doveva stare per ore, se non giorni, coricato tra la vegetazione, tutt’uno con il suo fucile e l’interrutore delle Claymor davanti al naso, resistendo alle fastidiose nuvole di insetti, in attesa che il nemico entrasse nella killing zone

Ogni giorno Robin configurava il browser perchè usasse un proxy diverso ed accedeva all’url dove avrebbe dovuto trovare il log giornaliero.

Ma sembrava che i phisher fossero in vacanza.
Poi finalmente

Bingo! Il sistema di log funzionava!
Il log faceva riferimento all’utilizzo di un file legittimo e non di una shell, utilizzabile comunque per l’upload dei file. Robin accedette con la sua shell protetta e visualizzò il contenuto della directory di upload.
Una ricerca per data evidenziò immediatamente l’interessamento di tre file nelle attività del giorno indicato dal log.

Robin notò immediatamente una discrepanza tra gli orari indicati nel log e quelli riportati nei listati dei file. Sebbene minuti e secondi risultassero coincidere con alcune delle voci riportate dal log, le ore erano differenti.
La shell informava Robin che l’ora di sistema del server era settata sul fuso GMT -05:00, che concordava con l’individuazione della sua posizione geografica attraverso l’IP.

Era quindi evidente che il listato dei file riportava la data/ora di ultimo accesso ai file secondo l’ora locale del server, mentre il log del web server la riportasse secondo l’ora GMT.

Il file pdf risultava ad una prima superificiale analisi privo di interesse investigativo, legato all’attività commerciale trattata dall’azienda titolare del sito, l’IP ad esso legato, da cui presumibilmente era stato effettuato l’upload del file, era effettivamente localizzato nella stessa area geografica del server, il che faceva presupporre un upload legittimo.

Gli altri due file (htm e html) erano invece file di redirect

su domini appena registratipresso un ISP australiano.

Se nei giorni a seguire avesse rilevato il coinvolgimento di indirizzi IP assegnati a ISP nazionali avrebbe potuto sperare di arrivare a qualcosa di concreto, doveva solo trovare la modalità con cui proporre i dati acquisiti in modo così poco ortodosso al capitano e poi al procuratore!

Prababilmente i più sofisticati avrebbero avuto da obbiettare sulla modalità con cui tali risultati erano stati raccolti! Utilizzare i tools software propri di una macchina compromessa era rischioso, l’attaccante avrebbe potuto sostituirli installando copie dei tools modificate ad hoc affinche omettessero determinate informazioni o ne modificassero altre.
Sicuramente non era su quei dati che bisognava far affidamento davanti alla giuria, quanto piuttosto sui riscontri successivi, derivanti da eventuali intercettazioni e perquisizioni.

Rimaneva il problema di come presentare quelle informazioni, ma Robin era già contento di essere riuscito a raccoglierle!

**************************************************

Ringrazio per la “pedante” revisione Kalos Bonasia e Ganni Amato:-)

Approfondimenti tecnici:

• PHP Site Access Log;
• Sistema di LOG degli accessi in ASP;
• ASP server variables;
• Php predefined variables;
• Php server variables;

Phishing | Comments | Trackback

•  
•  

Cerca

 

Categorie

• denisfrati.it
• Esercizi di Forensics
• Eventi
• Forensics
• grafica e multimedia
• Hard Trekking
• IT Sec & Hack
• Linux
• News
• Phishing
• Risorse
• Tools
• Truffe

Blogroll

• 2bfree underground
• CERT Difesa
• CFI – Computer Forensics Italy Mailing List
• Computer Forensics by Pila
• Computer Forensics by Ziccardi
• Computer Forensics, Malware Analysis & Digital Investigations
• Cybercrimes.it
• Cyphersec.com
• Deft Linux
• Digital Sherlock
• Exploit
• il forum di Cybercrimes.it
• int for(ensic){blog;}
• International journal of Digital Evidence
• IRItaly
• IRItaly blog
• ISM Security Blog
• LPCForensic Blog
• Marco Mattiucci
• Nanni Bassetti
• OSSblog
• sicurezzainformatica.it
• Small Scale Digital Device Forensic Journal
• Track Back

Feed

DenisFrati.it powered by WordPress & styled by Plane Jane. Entries (RSS) and Comments (RSS)