Questo è il primo articolo di approfondimento “tecnico” rivolto a chi ha già dimestichezza con le terminologie tecniche.
Cercheremo di essere pratici e sintetici, senza utilizzare linguaggi “da programmatore” pur rivolgendoci ad un pubblico più esperto del solito.
Ovviamente questo è il primo articolo che proponiamo in questa forma e se lo ritenete interessante, o avete altri spunti per proporre miglioramenti, scriveteci, e ricordate di iscrivervi alla newsletter, riceverete il nostro opuscolo “CyberSecs Introduction . aggiornato a dicembre 2020”
Questa prima puntata vede protagonista una “vecchia conoscenza”: il malware EMOTET, anche conosciuto come “il virus bancario”.
EMOTET deve la sua fama quando nel 2018 inizia come “password stealer” bancario: uno strumento adottato per catturare le informazioni di accesso ai siti bancari utilizzando codici di siti compromessi per distribuirsi sulle macchine ospite. Ma era già attivo da almeno 4 anni.
Dal suo momento di “gloria” ad oggi sono passati due anni, ma la sua fama viene ancora sfruttata se a fine 2020 (e inizio di quest’anno) si ha una grande diffusione di attacchi portati agli utenti utilizzando mail intestate Ministero dell’Istruzione, dei Trasporti, INPS o altri Enti, cavalcando anche l’onda della pandemia COVID ed utilizzando anche indirizzi PEC.
Ha subito però una trasformazione dell’uso che se ne fa: da ladro di password a “corriere per altri malware”.
La sua struttura infatti ha alcune caratteristiche ritenute molto interessanti dagli hacker:
La trasmissione avviene attraverso siti “compromessi”, normalmente scritti in PHP, che tra l’altro è il linguaggio utilizzato dai più comuni CMS (da Joomla al diffusissimo WordPress).
Come vedrete nella figura che segue, dove ho evidenziato le varie fasi, il sito compromesso funge da vettore iniziale e da sistema di distribuzione del codice malevolo (fasi 1 e 4).
Proprio la diffusione di siti “non patchati” scritti con i comuni CMS, di cui si conoscono le vulnerabilità, ha permesso agli hacker di introdursi, attraverso tecniche di SQL Injection o Code Injection, all’interno del sito per agganciare il codice sfruttando le vulnerabilità
Il meccanismo di trasmissione è una semplice mail, che può contenere un codice Javascript o un documento word/excel contenente del codice Macro; molte volte viene inviato in un file compresso per evitare che gli antivirus lo intercettino (fase 2).
In questi ultimi attacchi viene usato come vettore un documento Office contenente una macro che richiede, ovviamente, l’abilitazione per attivarsi. Il documento in esempio è quello che contiene le macro, ovviamente offuscate. Questa mail contiene un codice di sblocco per il file allegato, così che sia l’utente, con un comando esplicito a fornire al malware le autorizzazioni per eseguire il codice. Ho preso questa come esempio perché fornisce anche alcuni spunti per come “riconoscere il nemico”:
Insomma è piuttosto identificabile.
Se l’avessimo aperta eseguendo il codice saremmo passati alla fase successiva (fase 3):
Generalmente una macro usa anche codice di scarto al solo fine di complicare le operazioni di rianalisi, ma in mezzo al codice è nascosto lo script PowerShell codificato in base64, che viene eseguito con criteri di utente ed esegue le operazioni utilizzando quella che viene denominata “privilege escalation”.
Lo script scarica il malware da un URL di quelli compromessi (fase 4), lo rinomina localmente generando un nome random (una sequenza di lettere normalmente che può essere identificata anche nei processi di Windows visto che si lancia in autorun alla partenza del Sistema Operativo) e lo salva in una cartella (la %temp% o la appdata del’utente) con estensione exe.
Il payload scaricato [nomerandom].exe viene eseguito dalla cartella e si replica cambiando nome alla sua istanza (fase 5), così avremo diversi processi in esecuzione autonomamente. Questo permette di identificare che si è infetti anche “dopo” perché la macchina appare estremamente rallentata a causa dell’esecuzione di molte istanze del processo. A volte potrebbe anche rinominare la sua istanza e lanciare una copia di se stesso dal nome “wsdquota.exe” dalla cartella “C:\Windows\system32”, con i privilegi massimi di System.
Le procedure precedenti solitamente sono solo la testa di ponte per un’aggressione più “profonda”: vengono infatti creati, scaricandoli dai siti compromessi, altri processi (fase 6) che si occuperanno di
Cioè qualunque tipo di codice malevolo che possa essere messo a disposizione su server compromessi, o anche adibiti alla distribuzione di malware può essere installato a cura di questo “amministratore di sistema infiltrato”.
Come vedete la tecnica è piuttosto efficace e subdola, potendo bypassare anche molti sistemi antivirus/sicurezza (soprattutto quelli che non hanno la rilevazioni in tempo reale).
Per minimizzare i rischi conviene quindi:
Ricordate
La Sicurezza non può essere per molti…
deve essere per tutti!
Nessun Commento