- monthly subscription or
- one time payment
- cancelable any time
"Tell the chef, the beer is on me."
About
Some views and some rants from the crazy world I seem to be stuck into...
Please get in touch with me if you wish, and follow me on twitter: @raistolo :)
-- Stefano Zanero
This feed is part of
Security Bloggers Network
Please get in touch with me if you wish, and follow me on twitter: @raistolo :)
-- Stefano Zanero
This feed is part of
Security Bloggers Network
Accounts
Groups
Friends
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.
Click here to check if anything new just came in.
October 15 2015
Reposted by
gaf
gaf
September 05 2015
Reposted by
phd-studies
phd-studies
June 26 2015
April 25 2015
February 17 2015
January 30 2015
A few notes on the recent wave of Cryptolocker attacks
A few notes on the recent wave of Cryptolocker attacks (http://www.bleepingcomputer.com/forums/t/563859/new-ctb-locker-campaign-underway-increased-ransom-timer-and-localization-changes/).
;
A wave of cryptolocker samples hit recently, with the following interesting characteristic: besides the usual English version, there were French, Italian, German and Dutch versions.
At least the Italian one featured a very convincing translation of the emails trying to social engineer users into installing the malware, thus obtaining arguably a high success rate.
Form of propagation is an attachment in a .cab file containing a .scr executable. According to intelligence, it consists of a Dalexis dropper that eventually will install CTB-locker.
The malware encrypts all files with extension: wm,kwm,txt,cer,crt,der,pem,doc,cpp,c,php,js,cs,pas,bas,pl,py,docx,rtf,docm,xls,xlsx,safe,groups,xlk,xlsb,xlsm,mdb,mdf,dbf,sql,md,dd,dds,jpe,jpg,jpeg,cr2,raw,rw2,rwl,dwg,dxf,dxg,psd,3fr,accdb,ai,arw,bay,blend,cdr,crw,dcr,dng,eps,erf,indd,kdc,mef,mrw,nef,nrw,odb,odm,odp,ods,odt,orf,p12,p7b,p7c,pdd,pdf,pef,pfx,ppt,pptm,pptx,pst,ptx,r3d,raf,srf,srw,wb2,vsd,wpd,wps,7z,zip,rar,dbx,gdb,bsdr,bsdu,bdcr,bdcu,bpdr,bpdu,ims,bds,bdd,bdp,gsf,gsd,iss,arp,rik,gdb,fdb,abu,config,rgx
At the moment I don't have notice of any ways to extract the key or reverse the process. The only resolution available is to restore data from backups. A worthy attempt could be to carve the drive in hope to recover the former version of files.
A couple of virustotal sample analyses:
Runtime info for the latter:
Another runtime analysis of a similar sample:
The following connections are observed with this specific dropper:
"91.142.215.77" TCP 443
"95.211.144.65" TCP 443
"66.96.131.12" TCP 443
"mmadolec.ipower.com"
"evalero.com"
"springtree.cba.pl"
The in memory strings contain the following URLs, common to Dalexis:
"hXXp://collection-opus.fr/_gfx/cario.tar.gz"
"hXXp://compassfx.com/OLD/cario.tar.gz"
"hXXp://evalero.com/img/cario.tar.gz"
"hXXp://masterbranditalia.com/downloader/cario.tar.gz"
"hXXp://mmadolec.ipower.com/me/cario.tar.gz"
"hXXp://springtree.cba.pl/modules/cario.tar.gz"
A semi-useful IOC is the following string which seems to appear in many samples: "proftur.pdb"
Also, intelligence says that samples connect to TOR hidden service dpaqjri6tinnqleh via web2tor proxies, e.g.:
dpaqjri6tinnqleh.onion.lt
dpaqjri6tinnqleh.onion.gq
dpaqjri6tinnqleh.onion.cab
dpaqjri6tinnqleh.tor2web.org
dpaqjri6tinnqleh.tor2web.fi
dpaqjri6tinnqleh.tor2web.blutmagie.de
Unconfirmed intelligence is the usage of 587/tcp to spam, possibly propagate.
A few hashes of samples:
SHA256 (august-bebel-str_17_15569_woltersdorf.cab) = 7efcbd21fafaa001488491599b8e0fe9235b08c523b866a06cd8d538255f9d37
SHA256 (barquiel_y_hurtado_s_l.cab) = 675e79c44d0223d63a7cf311ce59c541cb93b3e6f09e1e670b4f0fca15d71476
SHA256 (berliner_all_33_40212_dsseldorf.cab) = 8aba6e465598ee28e9a59657db3604b7ac9250352ac81fbf052ce2a373f1ef23
SHA256 (bureau_detudes_clement_sas.cab) = e99e4bc3d477654cc74dc735854a628e5bf20ba844d7abd4e45f70799d92e284
SHA256 (cariverona_banca_spa.cab) = 8b580acada5284bc8e95f8f69d66930d91c7c1c5c6a88899c102312083dd1f96
SHA256 (daimlerstr_6_71546_aspach.cab) = 675d395c361a37d0afea0010d20bca0ebfdbf8c6a18e396e1008370e955ae9a9
SHA256 (entreprises_gros-louis_roger.cab) = 1e41dafe1795b6956e2410979ee7e8c0aab20fac77594955293807c7286ddc09
SHA256 (envol_voyages_sarl.cab) = 8799ca8ecfdae3451ffbd56fd7f487bfedf9a870bf378b4f4ce13825e9462755
SHA256 (fico_tooling_bv.cab) = 97823a4065d0f8db039e5ece3a0a65a01057d0d976232abda828914fc24c458e
SHA256 (friesenstr_40_26655_westerstede.cab) = f26e80494cd83400115dc0fcb6148c65be347fe1e8339e8c2c4efefdff3013c0
SHA256 (jahnstr_18_42579_heiligenhaus.cab) = adaa38dbaecd443c48d249f04c599000fbc3653937972a67123ba2d065c03e78
SHA256 (lantania_srl.cab) = 87e11ae952e8e991f1de70511d33ae642a2d8e9602d5d54b0a5b8a6d9223f5be
SHA256 (mokrupak_verpakkingen_bv.cab) = 53f990073b7e3c68bf7a92233f4ba600619f172ffa48294eda5422077c16c206
SHA256 (pocklington_coach_works_ltd.cab) = 1671e03689b67602a9ec64395f49f16021c5b7c0c28b9f5f514705c9161006d5
SHA256 (rheinmhlenstr_7_68159_mannheim.cab) = dc7f73ec15eee49e3f88a92ae710f966f75bda62e668c71a5f9d6348b1b5dcca
SHA256 (scitec_group_ltd.cab) = d2fe2adea73466264461a05da4e0fcae41aebf57bbe0f1c0f07a9eb8edf2f80b
SHA256 (siempelkampstr_94_47803_krefeld.cab) = a1cb46f0f65607afa2304a378c17274bf4f05bfb6d6d461679b71423d77ce204
January 25 2015
Reposted by phd-studies
phd-studies
December 09 2014
October 04 2014
“ How to resolve this? A police “back door” for all smartphones is undesirable — a back door can and will be exploited by bad guys, too. However, with all their wizardry, perhaps Apple and Google could invent a kind of secure golden key they would retain and use onlywhen a court has approved a search warrant. ”— Compromise needed on smartphone encryption - The Washington Post
September 30 2014
Quick summary on ShellShocker
This post contains no original research but just a few links and info on the ShellShocker bug. I put it together to have a handy reference for friends & co., feel free to share.
A summary, along with test cases and info:
Attacks going on in the wild:
- Multiple reports of IP addresses scanning for the vuln with consistent user agent: User-Agent: () { :;}; /bin/ping -c 1 198.101.206.138.
Request: "GET /cgi-sys/defaultwebpage.cgi HTTP/1.0"
Host: -
UA: "() { :;}; /bin/ping -c 1 198.101.206.138"
Host: -
UA: "() { :;}; /bin/ping -c 1 198.101.206.138"
Originally this was by Graham at Errata Security (read here) but he has not been scanning for days, so if you still see it, that's not good.
Also, Robert's scanner is polite:
IP: 209.126.230.72
Request: "GET / HTTP/1.0 "
Host: "() { :; }; ping -c 11 209.126.230.74"
UA: "shellshock-scan (http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html)"
Request: "GET / HTTP/1.0 "
Host: "() { :; }; ping -c 11 209.126.230.74"
UA: "shellshock-scan (http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html)"
The pattern above is being used in active exploitation (see also here), and that specific attack drops a bot that a source connected to past infection of routers (although this version is for x86).
July 04 2014
Reposted by
June 24 2014
Reposted by
flanel
flanel
April 18 2014
→ xkcd.com
Reposted by
January 10 2014
→ xkcd.com
Reposted by
November 02 2013
The BadBIOS story and my comments
As I usually do when there's a developing story, here are some reflections and comments on the BadBIOS story.
If you don't know what I'm talking about, just do yourself a favor and start from here, which is a good summary as any. You can also read a different summary, complete with many of the tweets by Dragos, here.
First things first: Dragos Ruiu is a friend, a trusted peer, and if he comes public with something so wild and difficult to believe, I completely trust he has seen something. As all humans, Dragos might be wrong, he might be overestimating stuff, or whatever, but I don't doubt for a minute that he has (what he think is) proof of what he says.
I completely agree with the analysis Robert Graham has done here and share most of his observations. What has been described is all technically possible, but the combination of everything in such an evil and nasty set of malware (more on this in a minute) would be completely unheard of. If anybody shrugs and says he's seen stuff like this before, please waterboard him until he says where.
I would like to share these useful observation on what BIOS can/cannot do. However, I would respectfully disagree with the conclusion that what Dragos is seeing cannot be there. We know that malware and rootkits can be composed by multiple components, and the BIOS component might only be responsible for a few of the reported behaviors. We simply have to wait for more details and samples to be provided.
It should be noted that Igor Skochinsky, a well respected malware reverser, analyzed some samples provided and believes them to be malware free.
In conclusion: I completely respect and trust Dragos. I do believe he saw something complex and behaving misteriously. I think we are missing a lot of technical details still, and I look forward to release of malware samples, at least in the usual trusted communities for malware analysis.
Reposted by
unskilled
unskilled
October 20 2013
September 23 2013
Alcune note per la consultazione AGCOM sul copyright
(Sorry for the post in Italian - it is mainly meant for an Italian audience)
Ho avuto occasione di scrivere una breve nota tecnica per la consultazione pubblica AGCOM sullo "schema di regolamento in materia di tutela del diritto d’autore sulle reti di comunicazione elettronica e procedure attuative ai sensi del Decreto Legislativo 9 Aprile 2003, n. 70"
La riporto qui, ad uso di chi dovesse spiegare gli stessi temi a un'audience non tecnica.
In particolare ho ripreso e commentato (semplificandolo per i decisori non tecnici) il white-paper "Security and Other Technical Concerns Raised by the DNS Filtering Requirements in the PROTECT IP Bill", un documento pro veritate di maggio 2011 in cui 5 dei massimi esperti mondiali del sistema DNS (Steve Crocker, David Dagon, Dan Kaminsky, Danny McPherson e Paul Vixie) analizzano gli effetti negativi del filtraggio DNS.
Per questo non sconvolgetevi se rispiegherò in modo pedante alcuni termini ovvii o se userò delle semplificazioni brutali e delle analogie un po' banali.
PREMESSA TERMINOLOGICA
Per cominciare, vi è un errore di base nella definizione che l'Autorità usa per la c.d. “disabilitazione dell’accesso”, ovvero il fatto che il "sito internet" sia "univocamente identificato da uno o più nomi di dominio (DNS) o dagli indirizzi IP ad essi associati".
Innanzitutto è utile rammentare per i lettori meno tecnici che il concetto di “sito Internet” è una metafora che nasconde un meccanismo informatico dotato di una certa complessità. Accedere ad una “pagina web” significa scaricare, mediante un software denominato browser, un insieme di oggetti (file) che compongono una c.d. pagina ipertestuale. Lo scaricamento dei dati avviene utilizzando il protocollo applicativo HTTP, che si basa sul protocollo di trasporto TCP, nella famiglia di protocolli “appoggiati” sul protocollo Internet (IP).
Questo significa che alla nostra richiesta di accedere alla pagina “www.esempio.it/qualcosa.htm” corrisponde la necessità per il browser di stabilire una connessione con il server che ospita tale pagina, identificato dal nome simbolico “www.esempio.it”.
Questo nome simbolico può essere tradotto in un c.d. indirizzo IP (o risolto) mediante il protocollo di "risoluzione dei nomi" DNS. In altre parole, il protocollo DNS si occupa di tradurre il nome di dominio in un indirizzo IP, come se fosse un grande "elenco" dei server disponibili su Internet che hanno un nome simbolico. Il procollo TCP viene utilizzato per creare una connessione verso il server dotato di quell'indirizzo IP, e utilizzando HTTP a tale server viene richiesto di inviare i contenuti che descrivono la pagina web.
È fondamentale aggiungere che ad un singolo nome simbolico (nell'esempio precedente, "www.esempio.it") possono corrispondere più indirizzi IP differenti ("copie" alternative del server in questione), e sopratutto che a molti nomi simbolici diversi può corrispondere un singolo indirizzo IP (un singolo server).
Per questo la definizione originaria è errata. Il "sito internet" non è che una metafora per l'accesso a una specifica pagina web (o a voler complicare le cose, ad un insieme di pagine web - un ipertesto - gestito da un unico soggetto). Tale pagina è ospitata su uno (o più) server, dotato/i di un proprio indirizzo IP.
Tuttavia, tale/i server possono ospitare un'infinità di altri "siti internet". Anche la corrispondenza tra "sito internet" e "nome di dominio" non è corretta, giacché un singolo nome di dominio potrebbe ospitare moltissimi siti Internet. Per fare un esempio pratico, qualsiasi utente del provider Libero ha a disposizione un sito personale con indirizzo "http://digilander.libero.it/nickname", dove al posto di "nickname" compare lo pseudonimo dell'utente stesso. È evidente che ognuno di questi spazi sarà un sito internet a parte (ad esempio http://digilander.libero.it/pippo sarà un sito separato da http://digilander.libero.it/paperino), anche se tutti condividono lo stesso nome simbolico ("digilander.libero.it") e lo stesso gruppo di indirizzi IP corrispondenti a tale nome simbolico.
Volendo usare una metafora esemplificativa, un nome simbolico corrisponde ad un grande palazzo con molti appartamenti (i singoli siti o pagine Internet), mentre l'indirizzo IP è come il numero civico: un palazzo potrebbe avere più ingressi a civici diversi, oppure lo stesso numero civico potrebbe essere usato per molti palazzi differenti. Nessuno suggerirebbe di eseguire il sequestro di un appartamento sigillando il palazzo che lo contiene, né tantomeno avrebbe senso sigillare il singolo numero civico. Ognuna delle due misure avrebbe effetti avversi e colpirebbe un gran numero di persone innocenti.
Per riassumere: un sito Internet non è affatto "univocamente definito" dal nome di dominio associato, né tantomeno dagli indirizzi IP associati. Si tratta di relazioni uno-a-molti che possono andare in entrambi i sensi, e quindi tutt'altro che "univoche".
SULLE MANIPOLAZIONI DEL SISTEMA DNS
A parte l'errore di base sulle definizioni, l'intervento di manipolazione sul sistema DNS è univocamente avversato dalla comunità tecnico-scientifica e ingegneristica che ha progettato e mantiene i protocolli della rete Internet. Tali sistemi sono, al contempo, impossibili da mantenere nel medio-lungo termine in quanto incompatibili con le evoluzioni dei protocolli, notoriamente inefficaci anche nel breve termine, e potenzialmente dannosi, come riassunto nel white-paper.
Nell'articolo viene sottolineato come nel medio-lungo termine sia prevista l'adozione globale del protocollo DNSSEC. Tale protocollo, semplificando, serve per garantire che la risposta DNS ricevuta dal computer dell'utente sia integra, firmata digitalmente e autenticata dal proprietario del nome simbolico in questione. All'interno di DNSSEC, non è possibile né inviare una risoluzione "diversa" da quella corretta (come sarebbe necessario per ottemperare alla possibilità di ridirigere il traffico, richiesta dallo schema di regolamento), né rispondere che il dominio è inesistente. Di fatto, l'unica possibilità sarebbe quella di non rispondere del tutto – creando di fatto una degradazione del servizio e violando i protocolli di rete.
Tuttavia, l'articolo dimostra come i filtri sul DNS siano inefficaci anche nell'immediato, dal momento che possono essere evasi facilmente in una molteplicità di modi (ad esempio cambiando il server DNS utilizzato e scegliendone uno extra-territoriale, oppure utilizzando un servizio di VPN come quelli utilizzati dai cittadini di paesi non democratici per evitare i filtri censori applicati dalle autorità locali). Pertanto, tali sistemi di inibizione dell'accesso hanno una resistenza bassissima e sono inefficaci anche a breve termine.
Questo ci porta alla discussione degli effetti dannosi del filtraggio DNS, sia in presenza del futuro standard DNSSEC sia nelle condizioni attuali. Cominciamo dal ripetere l'ovvia considerazione in premessa: dal momento che un nome di dominio non corrisponde univocamente a un contenuto illecito, né ad un sito Internet, il filtraggio DNS inevitabilmente risulterà nell'inibizione d'accesso a molti contenuti di diversi gestori, eccedendo ampiamente la proporzionalità nella risposta alla violazione.
Oltre a questo significativo problema, il tentativo degli utenti di oltrepassare i filtri avrebbe effetti deleteri sul sistema DNS nel suo complesso. L'architettura DNS è fatta per essere distribuita, e sospingere gli utenti ad utilizzare un server DNS diverso da quello che sarebbe più naturale per il loro accesso ad Internet crea numerosi effetti collaterali; ad esempio, tutti i meccanismi basati sul DNS che i provider Internet usano per identificare problematiche di sicurezza e per migliorare la qualità d'accesso alla rete non funzionerebbero più correttamente. Un ultimo effetto è più difficile da cogliere, ma assolutamente fondamentale: il meccanismo del DNS si basa sul concetto di universalità dei nomi a dominio, ovvero che la risoluzione di un nome sia la stessa, a meno di transitori fenomeni di disallineamento, da qualunque punto della rete. Questo è una sorta di assunto, che designer di protocolli e applicazioni danno e daranno per scontato. Richiedere la manipolazione del DNS rompe questo assunto, con effetti impredicibili per le applicazioni che vi fanno affidamento.
CONCLUSIONI
In conclusione, premesso che è totalmente erroneo dire che il "sito internet" sia "univocamente identificato da uno o più nomi di dominio (DNS) o dagli indirizzi IP ad essi associati", l'idea di manipolare il sistema DNS per bloccare l'accesso a contenuti illegittimi per qualsivoglia ragione è tecnicamente eccessiva, inefficace e pericolosa al tempo stesso.
È eccessiva perché l'intervento sul DNS non può essere mirato ad un singolo contenuto ma anzi sicuramente coinvolgerà una grande quantità di materiale innocente, potenzialmente gestito da molteplici soggetti estranei alle vicende per cui l'intervento è posto in opera.
È inefficace nel medio-lungo periodo in quanto contrasta con l'adozione del protocollo DNSSEC, cruciale per la stabilità e la sicurezza globale di Internet e quindi destinato ad essere adottato nei prossimi mesi/anni. Tuttavia, è inefficace persino nel breve periodo, in quanto gli utenti possono facilmente oltrepassarla. Nel fare ciò, gli utenti causeranno effetti deleteri sia sul sistema DNS nel suo complesso, sia sull'uso che i provider fanno dei dati del DNS per migliorare la sicurezza e la qualità d'accesso alla rete.
Pertanto, è tecnicamente di tutta evidenza che un intervento di blocco a livello del DNS sia tecnicamente inefficace, brutalmente eccessivo, e potenzialmente dannoso.
August 07 2013
A quick summary on the "0-day against Tor" brouhauha
It was recently announced that "the FBI" had apparently used a "0-day" exploit against people using Tor, with subsequent explosions of comments from the usual privacy advocates.
While I'm all for privacy advocacy, at times we shouldn't let our preconceived notions get the better of us. So let's look at the available data here.
On Aug. 4th the Tor people were advised of something gone awry. Hidden services from an organization called "Freedom Hosting" were unreachable, and apparently, someone had exploited the software used on them to deploy this malicious Javascript in the web pages it delivered to users. An advisory was released shortly thereafter.
Now, Freedom Hosting services include TorMail (a very secure anonymous email operation); hacking and fraud forums such as HackBB; money laundering operations; the Hidden Wiki (sort of a Dark Net wikipedia...); and virtually all of the most popular child pornography websites on the planet. A Freedom Hosting account cost a one time fee of $5, offered unlimited space and bandwidth, an onion domain, PHP and MySQL support, FTP access, and even backups (!). A large number of hidden websites were hosted by Freedom Hosting, so it's easy to see how the "attack against Tor users" generalization was borne.
First of all, this was an attack exploiting a known vulnerability in an older version of the Firefox JavaScript engine. Specifically, this older version was present in some of the Tor Browser Bundle (TBB) versions. TBB includes Firefox plus some privacy patches.
For the sake of documentation, I will note that this was fixed in Firefox 17.0.7 ESR, and in TBB 2.3.25-10 (plus several of the alphas and the betas). Fixes were available for TBB since June 26th.
So, whoever was affected after June 26th, was affected because they didn't patch their software, this was no zero-day by the time this attack came to light.
Additionally, the exploit was targeted to Windows users, while the Firefox vulnerability is cross-platform.
What the payload does is it connects to 65.222.202.54:80 and sends an HTTP request that includes the host name (via gethostname()) and the MAC address of the local host (via calling SendARP on gethostbyname()->h_addr_list). After that it cleans up the state and appears to deliberately crash.
So, what happened is that through compromising one or more hidden services, the unknown attacker collected at that IP address a list of the vulnerable users that accessed that/those services.
The payload does not open a backdoor or install other stuff, so this is very unlikely to be a black hat operation. It looks much more like a tracking mechanism, so it's not a bad guess that this is law enforcement or three-letter-agency activity. It actually sounds suspiciously like CIPAV, the FBI malware we know about from 2007.
The fact that 65.222.202.54 is in the Northern Virginia area, served by Verizon Business, only confirms this suspicion. Be aware that the suggestion that this IP is allocated to SAIC and previously in use by NSA turned out not to be correct.
Around the same time, a guy named Eric Marques was arrested and is awaiting extradition on FBI's request for facilitating the exchange of child porn. There's no direct link so far, but it's easy to believe that Marques is the founder of Freedom Hosting, and these two operations are related: However, we may wish to be cautious on saying this is what happened.
Interestingly, a couple of years back Anonymous did dismantle for a few hours Freedom Hosting (operation Darknet), under the lead of Sabu, back then an important member of Anonymous, afterwards disclosed as an FBI informant. Since his turning to informant is dated in August 2011 and the operation against Freedom Hosting is dated in October, there's been speculation of that being the first FBI led operation against the network. But this is really a wild shot in the dark.
We shouldn't also believe that child porn is such a large component of the Tor traffic. The curious reader may wish to check some statistics on what is actually hosted on the Dark Net.
What is pretty funny, or sad, are the suggestions given to Tor users to avoid falling into a similar trap in the future. Besides the obvious "keep up-to-date your software", another suggestion from fairy-crypto-lands is "disable Javascript" (try on your own and let me know how many websites you are able to browse after that) - and also, while you are at it, "css, svg, XML"... Other suggestions included "randomizing your MAC address" (I can see Windows users out there doing just that!), and "install various firewalls" (which in this case would have surely helped, right?).
Another suggestion was to use Tails, a live distribution of Linux with Tor and privacy software preinstalled. Which is precisely the best way to keep software up-to-date, right?
I think the Tor community should face, and have users face, the sad reality. It is impossible to safely use Tor to browse common websites without risking an attack of this kind (because it is basically impossible to use ordinary websites with Javascript-and-everything-else-disabled). This was terribly effective and used a month-old vulnerability. Just go figure what would happen with a zero-day. Also, while using Tails per se is a good suggestion (because in this way you compartmentalize privacy browsing from data and systems used in non-private browsing) this wouldn't really help in this scenario (except for the fact that this specific payload was Windows based, but there's no reason for that except the fact that a vast majority of the interesting subjects were using Windows).
If you have a real need to go anonymous, you need to implement good opsec, as my friend Grugq is demonstrating here (slides here).
July 17 2013
Older posts are this way
If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.