Pagine

Visualizzazioni totali

Google Scholar
Visualizzazione post con etichetta zeus. Mostra tutti i post
Visualizzazione post con etichetta zeus. Mostra tutti i post

martedì 30 aprile 2013

Cos'è una Botnet?

rete botnetLe botnet hanno fatto la loro apparizione in pubblico agli inizi del 2000, quando un teenager canadese ha lanciato una serie di attacchi denial-of-service contro diversi siti importanti. Nel giro di alcuni anni, l’adolescente, sotto lo pseudonimo di Mafiaboy, ha attaccato Yahoo, ETtrade, Dell, eBay e Amazon, tra molti altri, sovraccaricando i server fino a farti esplodere. Sebbene Mafiaboy, il cui vero nome è Michael Calce, non usasse una botnet per lanciare questi attacchi, gli esperti di sicurezza IT si stavano già rendendo conto che gli attacchi DDoS e le botnet (una grande rete di computer infettata da un malware specifico) avrebbero ben presto iniziato ad essere una grande minaccia per la stabilità e l’integrità di Internet. E gli esperti IT difficilmente si sbagliano. 

Definizione di Botnet
Con il termine botnet si intende una rete di computer infetta e controllata da un hacker in modalità remota. Le botnet generalmente sono create da un hacker o da un piccolo gruppo di hacker attraverso un malware. I PC individuali che sono parte di una botnet vengono spesso chiamati “bots” o “zombie” e non c’è un minimo in base al quale possiamo iniziare a considerare una rete di PC una “botnet”. In linea generale, una botnet di piccole dimensioni è composta da una centinaia o migliaia di computer infetti, mentre una botnet di grandi dimensioni può forse raggiungere vari milioni di PC. Esempi di botnet conosciute, emerse di recente, includono Conficker, Zeus, Waledac, Mariposa e Kelihos. In genere, ci si riferisce ad una botnet come se fosse una singola entità; tuttavia, i creatori di malware come Zeus vendono i loro oggetti a qualsiasi persona disposta a pagarli. Per questo motivo esistono dozzine di botnet separate che usano lo stesso malware e operano allo stesso tempo.

Metodi di Infezione
Ci sono due metodi principali attraverso i quali un hacker infetta i PC per farli entrare nella botnet: drive-by download e e-mail. Gli attacchi drive-by download si compongono di vari passaggi; il primo step, vede l’hacker impegnato nella ricerca di una pagina web popolare con una vulnerabilità che si possa sfruttare. In seguito, l’hacker carica il codice malware nella pagina in questione  e sfrutta la vulnerabilità attraverso il browser usando, per esempio, Google Chrome o Internet Explorer. Il codice ridirezione il browser dell’utente ad un altro sito controllato dall’hacker dove l’utente, senza accorgersene, scaricherà il codice bot e lo installerà sul suo computer. Il secondo caso (posta elettronica) è molto più semplice. L’hacker invia una grande quantità di spam con allegati contenenti file word o PDF con codici infetti o con link che portano a un sito che ospita il codice dannoso. Una volta che il codice è stato installato sul computer della vittima, il PC è parte della botnet. L’hacker può gestire i comandi in forma remota, caricare dati e scaricare nuovi componenti; in pratica ha il controllo assoluto del computer.

Come vengono usate
Il modo più comune di utilizzare la botnet è attraverso attacchi DDoS. Questi attacchi utilizzano la potenza del computer e la larghezza della banda di centinaia o migliaia di PC per direzionare una grande quantità di traffico a un sito specifico con l’intenzione di sovraccaricarlo. Ci sono diversi tipi di attacchi DDoS, ma l’obiettivo è sempre lo stesso: far collassare il sito. In genere, gli hacker sono soliti utilizzare questa tecnica per mettere in ginocchio le pagine web del nemico.  Nonostante ciò, ben presto, hanno iniziato ad utilizzare questo metodo per attaccare portali come Yahoo e MSN, negozi e banche online, nonché siti del governo. Tra questi criminali si annoverano gruppi hacker, come  Anonymous e LulzSec. Inoltre, i cyber-criminali usano gli attacchi DDoS per colpire siti di banche online con lo scopo di nascondere attacchi ben più gravi diretti alle stesse banche. Le botnet vengono anche utilizzate in molte altre operazioni. Gli spammer utilizzano le botnet per l’invio massivo di spam o per frodi di carta di credito su larga scala.

Come difendersi
Ci sono diversi modi per proteggersi dagli attacchi DDoS che utilizzano reti botnet, ma quasi tutti operano a livello di server o ISP. Per gli utenti, la migliore difesa dalle botnet è tenere i propri computer, dispositivi e software sempre aggiornati e con gli ultimi patch in commercio, nonché prestare molta attenzione prima di cliccare su di un link sospetto. Gli hacker approffitano dell’ingenuità degli utenti che molto spesso cliccano su siti e aprono allegati pericolosi senza rendersi conto di quello che fanno. Se gli utenti acquistassero più consapevolezza e abilità, sarebbe molto più difficile per gli hacker stabilire e usare botnet.
 

martedì 19 marzo 2013

http://blog.kaspersky.it/files/2013/03/a1_ITA.jpg Ogni volta che leggi una notizia che tratta dell’arresto di un cyber-criminale, puoi stare certo che la maggior parte del lavoro di investigazione si può attribuire ai ricercatori anti-malware sparpagliati in giro per il mondo.
Sia che si tratti dello smantellamento di una botnet spam, dell’esplosione di una gang Koobface o dell’arresto dei cyber-criminali responsabilli del trojan  bancario Zeus, le forze dell’ordine di tutto il mondo chiedono aiuto ai migliori ricercatori in materia di sicurezza IT (in particolare agli esperti specializzati in malware). La loro collaborazione è preziosa per la buona riuscita delle indagini e per tintracciare le prove che possono eventualmente portare ad un arresto.
Jeff Williams sa quanto è difficile riconoscere un attacco informatico e realizzare un indagine. Dopo aver lavorato come program manager presso il Microsoft Protection Center (MMPC) e essere passato alla Dell SecureWorks, Williams ha partecipato allo smantellamento di varie reti botnet, incluso la virulenta Waledac e le operazioni Zeus e Kelihos.
In un’intervista, Williamas ha spiegato che le indagini iniziano quasi sempre in un laboratorio anti-malware. “A volte sono le forze dell’ordine ad aprire le indagini. Altre volte l’indagine nasce nei laboratori, nel momento in cui stiamo lavorando su di un nuovo malware. Anche quando si tratta di un’indagine, le forze dell’ordine ci contattano per avere informazioni approfondite sul malware. In Microsoft, la priorità era proteggere i clienti; il nostro lavoro era capire le proporzioni del problema, l’impatto sugli utenti di Windows e offrire una maggiore protezione”, spiega Williams.
E’ un lavoro multi-sfaccettato. “I ragazzi del laboratorio fanno il lavoro sporco. Verificano che il malware esista, raccolgono i campioni (questa è la parte più consistente del lavoro) e poi procedono con il processo di ingegneria inversa” afferma Williams. Questo lavoro include algoritmi complessi di ingegneria inversa capaci di rompere il protocollo di comunicazione che il malware utilizza per comunicare con l’hacker. “Vogliamo sapere come si controllano i binari attraverso l’infrastruttura di controllo e comando creata dall’hacker; dove sono i nodi e che comandi usano. Tutto questo lavoro è condotto in un laboratorio anti-malware. E’ un lavoro molto importante.” Solo dopo che il laboratorio ha raggiunto una comprensione completa della struttura interna del malware e delle contromisure tecniche da adottare (sia attraverso un aggiornamento delle definizioni virus, che con il miglioramento delle tecnologie di difesa), le forze dell’ordine aprono l’azione legale. “Qualche volta, dobbiamo presentarci in tribunale e lavorare a stretto contatto con le forze dell’ordine”, spiega Williams.
Costin Raiu, responsabile del team Global Research & Analysis presso Kaspersky Lab, è d’accordo sul fatto che le indagini sul cybercrimine possono essere molto ‘complicate’. Il team di Raiu ha lavorato fianco a fianco con Microsoft, CrowdStrike, OpenDNS e altre entità rappresentative dell’industria della sicurezza IT per gestire lo smantellamento di un’operazione di  botnet. Secondo il ricercatore si tratta di un lavoro molto complesso “un lavoro multi-sfaccettato e intenso”. “Direi che la competenza dei ricercatori è fondamentale e può fare la differenza nelle indagini; può condurre a un arresto o a un criminale in fuga”, afferma Raiu. Oltre all’ingegneria inversa e allo scambio di informazioni con le forze dell’ordine, i ricercatori di sicurezza lavorano spesso a stretto contatto con il CERT (Computer Emergency Response Team) nel momento del sequestro o dello smantellamento dei server hackerati o dell’analisi del server alla ricerca di prove e informazioni utili per il processo. “Il crimine cibernetico è un campo incredibile e complicato, multi-sfaccettato. Ecco perché ai ricercatori viene spesso chiesto di offrire il loro aiuto in qualità di esperti durante i processi” spiega Raiu. I laboratori malware esperti in cyber-sicurezza ricorrono spesso all’utilizzo di Open Source INTelligence o OSINT. Questa parte dell’indagine è esaustiva e molto spesso comporta il rastrellamento della rete alla ricerca di qualsiasi indizio che possa portare al criminale o all’operazione malware. “Nel corso di una indagine, sono molti gli indizi che possono portarci sulle tracce dell’identità di un cyber-criminale. Alcuni campioni di codici possono includere un nickname o un certo stile di programmazione. Questo genere di informazioni possono essere usate  come punto di partenza nel processo che porta all’arresto di un criminale” spiega Williams di Dell SecureWorks.
I ricercatori usano un nickname o un indizio estrapolato da un pezzo di codice o un indirizzo e-mail da un nome di dominio registrato per setacciare le community on-line, come Facebook, Twitter, YouTube, Wikis, blog o qualsiasi altro tipo di contenuto generato dall’utente in cui il criminale possa aver utilizzaro quel nickname o indirizzo e-mail. Nel caso di Koobface, il team di sicurezza di Facebook ha condotto una operazione di open source intelligence in collaborazione con la community dei ricercatori di sicurezza IT; insieme hanno reso pubblici i nomi, le foto e le identità delle persone che ritengono responsabili dell’attacco diffusosi in questo network. Questa informazione ha raggiunto i mezzi di comunicazione come parte di una operazione di denuncia. “La maggior parte del lavoro è tecnico e riguarda la protezione dei clienti, ma le informazioni vengono poi condivise con le forze dell’ordine e sono molto rilevanti per le indagini. Quando si giunge a un arresto o si va in tribunale, la maggior parte del lavoro (potete starne certi)  è stato svolto nei laboratori di ricerca” aggiunge Williams. “L’attribuzione del reato e dell’arresto non è sempre parte delle operazioni iniaziali. Tuttavia quando un laboratorio malware scopre qualcosa di importante, i risultati della ricerca vengono passati alle forze dell’ordine e ciò può condurre ad un arresto o a una azione legale” aggiunge Williams. Williams ripete più volte che il lavoro della community di ricerca deve essere di qualità perché le informazioni devono essere eventualmente presentate in tribunale.
I ricercatori che si occupano di cyber-sicurezza si lamentano spesso della lentezza dei tempi legali, sopratutto quando si tratta di attacchi virulenti come il trojan bancario o le reti botnet che portano a frodi banacarie. La lentezza del sistema giudiziario ha spinto Facebook a  pubblicare i dettagli dell’indagine Koobface prima della fine del processo. Willliams sottolinea però che le cose stanno migliorando.
“E’ assolutamente necessario migliore il sistema penale. I criminali sanno che leggi non sono severe e cosa devono fare per evitare di essere beccati. Comunque sia, io credo che le forze dell’ordine ogni giorno imparano a gestire meglio questi casi. Siamo testimoni di casi dove sono state applicate leggi che non hanno nulla a che vedere con il cyber-crimine”, aggiunge l’esperto riferendosi al caso Zotob, processo in cui alcuni criminali informatici sono stati perseguiti per riciclaggio di denaro, evasione fiscale e frode finanziaria in base alle leggi vigenti in queste materie.
“Si tratta di una evoluzione naturale; le tecniche di difesa e di demolizione della rete del crimine informatico non possono che migliorare. Se la rete del cyber-crimine non verrà smantellata, i delinquenti continueranno a rubare soldi e questi soldi verrano reinvestiti in altri attacchi. Tuttavia, io credo che siamo giunti a un punto in cui le competenze tecnologiche e la cooperazione con le forze dell’ordine possono fare la diffenza nella battaglia contro il cyber-crimine”, conclude Williams.
 

lunedì 28 giugno 2010

Arrestati due giovani, ancora colpa del cybercrimine


Continuano a far scalpore le notizie in cui giovani, intendendo ragazzi e ragazze minorenni, vengono arrestati per aver commesso reati informatici: questa volta, però, ha fatto discutere la sentenza, poiché i due ragazzi sono stati incriminati perché sospettati di aver partecipato a un forum che tratta di cyber crimine. Nel suddetto forum, che ovviamente evitiamo di linkare, erano scambiate informazioni come i PIN di oltre 65.000 carte di credito, nonché numeri di conti correnti bancari e altre informazioni riservate: tutti questi dati, oltre a tutorial riguardanti la messa in atto di crimini informatici, venivano condivisi, e venduti al miglior offerente, tra oltre 8.000 utenti. Già in passato abbiamo parlato di questi problemi, spiegando come sempre più ragazzi cercassero di fare carriera nell’underground informatico: secondo quanto scoperto in quest’ultimo blitz, i dati raccolti in modo illecito erano venduti a prezzi variabili tra i 10 cent e i 25 dollari, consentendo agli amministratori del forum di guadagnare cifre abbastanza elevate.
Nel forum citato trovavano posto anche strumenti software già pronti, e dedicati allo sfruttamento del malware Zeus e della relativa botnet, anch’essa già conosciuta dai lettori di questo blog: quando sentite notizie come questa, cosa pensate? Credete sia possibile eliminare, o almeno rallentare, la diffusione di questi forum dedicati al cybercrimine?

martedì 23 febbraio 2010

La botnet Kneber dietro il maxi attacco della scorsa settimana


La scorsa settimana aveva destato interesse la notizia del maxi attacco portato da alcuni cracker a 2.500 aziende di ben 196 paesi diversi, un attacco su scala mondiale che aveva coinvolto decine di migliaia di computer. Un evento che non poteva quindi passare inosservato agli occhi degli esperti, tanto che sono stati in molti a studiare nel dettaglio l’attacco, come il sito ZDNet che ha offerto una panoramica della botnet Kneber, mettendo in luce diversi aspetti di quanto accaduto alcuni giorni addietro. Innanzitutto l’attenzione passa al nome, spiegando come la dicitura “botnet Kneber” sia dovuta all’indirizzo email HilaryKneber@yahoo.com, ovvero l’indirizzo usato per registrare il dominio da cui è partita la campagna, basata sull’utilizzo di Zeus, un trojan già conosciuto nell’ambiente, per scardinare la sicurezza dei sistemi colpiti.
Ad essere coinvolti pare siano stati alcuni esperti cybercriminali che hanno usato una versione di Zeus al fine di raccogliere password d’accesso ai vari servizi bancari online, a social network e a caselle di posta elettronica tanto che, secondo l’azienda di Herndon che ha analizzato i dati, sono stati 68.000 i dati d’accesso di sistemi commerciali, nonché alcuni governativi, ad essere stati rubati. E proprio il fatto che i criminali si siano concentrati non solo su credenziali di servizi potenzialmente allettanti come quelli di e-banking ma anche su credenziali dei più comuni siti di social network è un punto di un certo interesse, mostrando ancora una volta come questi portali siano sempre più nel mirino di malintenzionati a causa dell’alto volume di traffico che riescono a far confluire. Qualche dettaglio in più su Zeus è stato fornito anche da Computer Associates. Secondo Rossano Ferraris, Research Engineer della Internet Security Business Unit di CA:
Questa nuova variante presenta le tipiche caratteristiche di un malware bot: riceve comandi e controlla le informazioni attraverso un server. Ne consegue che l’eseguibile - ovvero il malware-bot - viene avviato sul sistema vittima attraverso spam (social engineering) o vulnerabilità del sistema. Una volta installato, scarica un file di configurazione dal server Command & Control che istruisce il malware su quali informazioni catturare e inviare agli hacker. Periodicamente il malware-bot invia le informazioni catturate al server hacker e inoltre si aggiorna automaticamente scaricando le nuove configurazioni che in realtà si traducono in nuove istruzioni da parte dell’hacker su quello che il bot deve svolgere all’interno del computer compromesso.

Infine, uno sguardo ai sistemi operativi più colpiti. Sui 75.000 PC controllati finora dal bot Kneber, la maggior parte era funzionante su Windows XP Professional SP2, seguito dall’analoga versione, ma con SP3, e dalla versione Home SP3, in coda invece Vista Home Edition, che è risultato il sistema operativo meno interessato dall’attacco.
Come Proteggervi dai BOT
Per difendersi dai bot nocivi SEGUIRE I SEGUENTI CONSIGLI:
- Installare software per la sicurezza di qualità (antivirus,antispyware)
- Configurare le impostazioni del software per l'aggiornamento automatico
- Aumentare le impostazioni di sicurezza del browser
- Limitare i diritti utente durante le connessioni on-line
- Non fare mai clic su allegati a meno che non sia possibile verificarne l'origine, o meglio
ancora non aprire neppure gli allegati di cui conoscete l'origine nel caso gli stessi non siano attesi (esistono malware che inoltrano allegati virus con l'indirizzo di email di un mittente
conosciuto)
- Controllare che al sistema siano state applicate le patch relative agli aggiornamenti
di sistema più recenti di Microsoft o altro sistema operativo installato
- Configurare le impostazioni della sicurezza del computer per l'aggiornamento automatico, in
modo da garantire sempre la disponibilità delle patch di sistema più recenti

giovedì 24 settembre 2009

Banking malware e antivirus: il caso Zeus


Stando ad uno studio effettuato dalla compagnia Trusteer e pubblicato nei giorni scorsi, il trojan che i software antivirus faticano maggiormente ad individuare è Zeus.
Il malware in questione, conosciuto anche come Zbot e PRG, è un software che individua le password utilizzate dagli utenti per effettuare normali operazioni di home banking (consultazione saldo, lista movimenti, bonifici, etc.). Il report ha messo in evidenza come sui 10.000 PC esaminati, i vari antivirus siano riusciti a malapena nel 23% dei casi a individuarlo.
Il problema non è riconducibile a firme degli antivirus non aggiornate, quanto più alle “tecniche di stealthing” sofisticate utilizzate dal malware.
Una top ten delle botnet più diffuse negli USA è stata pubblicata a fine luglio da NetworkWorld e metteva in prima posizione proprio quella realizzata dal trojan Zeus con un totale di ben 3.6 milioni di sistemi infettati. Lo studio condotto da Trusteer ha confermato questi dati: circa il 44% delle infezioni dovute a “banking malware” è riconducibile proprio a Zeus. Il trojan una volta infettato il PC, resta in background in attesa che l’utente effettui il login in qualche sito Web bancario. Le credenziali rubate vengono quindi inviate ad un server remoto, alcune volte vengono sfruttati i programmi di instant messagging. Una statistica piuttosto allarmante è che dei sistemi infettati da Zeus, il 31% non ha installato alcun software antivirus, il 14% ce l’ha ma è datato, mentre ben il 55% ha un antivirus perfettamente aggiornato.