Link alla notizia: http://www.hwupgrade.it/news/sicurezza-software/attacco-hacker-wannacry-ecco-come-e-stato-rallentato-grazie-ad-un-dominio-da-10-dollari_68647.html

Un giovane ricercatore britannico ha capito che qualcosa non andava nella giornata dell'attacco hacker più importante di tutti i tempi. Acquistato un dominio da soli 10 dollari è riuscito a rallentare il sistema che ha mandato in tilt mezza europa. Ecco come.

Click sul link per visualizzare la notizia.

Complimenti, per prima cosa, al giovane ricercatore che si è messo a sezionare il worm immediatamente, trovando questa sicura nel suo codice.
Ma anche qui nascono dei dubbi, delle domande.... Perchè mettere una sicura per interrompere la diffusione del worm? Chi o cosa non doveva essere toccato?

Complimenti, per prima cosa, al giovane ricercatore che si è messo a sezionare il worm immediatamente, trovando questa sicura nel suo codice.
Ma anche qui nascono dei dubbi, delle domande.... Perchè mettere una sicura per interrompere la diffusione del worm? Chi o cosa non doveva essere toccato?

mi unisco ai complimenti e anche a me sorge quel dubbio, magari a un certo punto volevano fermare l'infezione o boh

Secondo me , c'è qualcosa di grosso dietro...
Ma di grosso grosso !

Il ransomware deve contattare qualcuno, perchè in teoria, pagando, dovresti avere il codice di sblocco.
nella giornata di venerdì è stato portato avanti su milioni e milioni di computer di tutta Europa
Bruno please.... Studio Aperto ti sta cercando

Complimenti, per prima cosa, al giovane ricercatore che si è messo a sezionare il worm immediatamente, trovando questa sicura nel suo codice.
Ma anche qui nascono dei dubbi, delle domande.... Perchè mettere una sicura per interrompere la diffusione del worm? Chi o cosa non doveva essere toccato?

(non ho letto quest'articolo, ma ho letto il postmortem originale scritto della persona in oggetto (https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html))

nell'articolo dice che probabilmente era una misura anti analisi pensata male e implementata peggio più che una sicura

Secondo me , c'è qualcosa di grosso dietro...
Ma di grosso grosso !

si, la grossa incoscienza di chi si ostina ad usare sistemi fuori supporto e/o si ostina a non voler fare gli aggiornamenti

Ma anche qui nascono dei dubbi, delle domande.... Perchè mettere una sicura per interrompere la diffusione del worm? Chi o cosa non doveva essere toccato?
Gran bella domanda, ma quella vera è "se si tratta di una sicura, perché i criminali hanno inserito nel codice il richiamo a un dominio inesistente? Se c'era un motivo per decidere quando interrompere la diffusione, perché non mettere un indirizzo controllato e semplicemente cambiare una variabile al suo interno al momento desiderato, invece di lasciare la possibilità di farlo a chiunque? :mbe:

E come ha fatto il tizio a scoprire che wanacry cercava di contattare quel dominio?

un eroe che forse voleva arrotondare con qualche banner visti i 6mila accessi al secondo.
Però forse sono troppo cinico e non vedo la bontà d'animo nelle persone.

Gran bella domanda, ma quella vera è "se si tratta di una sicura, perché i criminali hanno inserito nel codice il richiamo a un dominio inesistente? Se c'era un motivo per decidere quando interrompere la diffusione, perché non mettere un indirizzo controllato e semplicemente cambiare una variabile al suo interno al momento desiderato, invece di lasciare la possibilità di farlo a chiunque? :mbe:

Leggi l'articolo che ho linkato sopra ;)

E come ha fatto il tizio a scoprire che wanacry cercava di contattare quel dominio?

wireshark (https://www.wireshark.org/) e IDA

(https://www.hex-rays.com/products/ida/index.shtml)un eroe che forse voleva arrotondare con qualche banner visti i 6mila accessi al secondo.
Però forse sono troppo cinico e non vedo la bontà d'animo nelle persone.

leggi l'articolo che ho linkato, è il suo lavoro

se vuoi fare un'attacco biologico, prima ti assicuri di avere l'antidoto...
lo scopo non era quello di fare il danno, ma puramente economico, i danni da noi subiti sono solo un effetto collaterale.

e comunque puntare a un indirizzo esistente è la scelta meno consigliabile, in quanto sarebbe tutto tracciabile, maggior ragione se puoi ci devi anche accedere per modificare le variabili.
meglio puntare a qualcosa che non esiste e che non sia di nessuno.

e comunque era un danno facilmente evitabile tenendo aggiornati i propri sistemi, la vulnerabilità del SMB v1 microsoft l'aveva già risolto a marzo.

(non ho letto quest'articolo, ma ho letto il postmortem originale scritto della persona in oggetto (https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html))


Interessante, grazie!

leggi l'articolo che ho linkato, è il suo lavoro

letto. Si ora è più chiaro e specifico.

se vuoi fare un'attacco biologico, prima ti assicuri di avere l'antidoto...
lo scopo non era quello di fare il danno, ma puramente economico, i danni da noi subiti sono solo un effetto collaterale.

e comunque puntare a un indirizzo esistente è la scelta meno consigliabile, in quanto sarebbe tutto tracciabile, maggior ragione se puoi ci devi anche accedere per modificare le variabili.
meglio puntare a qualcosa che non esiste e che non sia di nessuno.

e comunque era un danno facilmente evitabile tenendo aggiornati i propri sistemi, la vulnerabilità del SMB v1 microsoft l'aveva già risolto a marzo.

Ma non è nella logica di chi crea un virus o un worm informatico, visto che gli antidoti vengono lasciati sviluppare ad altri....
Così come comunque mettere " in chiaro " un indirizzo, seppur inesistente, per rallentare od arrestare l'infezione... Se lo scopo è quello di tirare più soldi possibile senza fare troppi danni, poteva essere benissimo implementato un contatore che dopo tot exploit inibisse la replicazione del worm.

Gran bella domanda, ma quella vera è "se si tratta di una sicura, perché i criminali hanno inserito nel codice il richiamo a un dominio inesistente?

Perche' i tool automatici che analizzano i malware rispondono a tutte le richieste DNS che gli arrivano ( spesso inviando sempre lo stesso IP ).

Il malware sa che quel dominio non e' registrato, per cui la relativa richiesta DNS dovrebbe produrre un errore invece di restituire un IP. Se restituisce un IP, allora significa che il malware sta girando nella sandbox di uno di questi tool. E' una banale misura anti-analisi.

Ovviamente il giochino funziona finche' qualcuno appunto non registra per davvero quel dominio.

Ma non è nella logica di chi crea un virus o un worm informatico, visto che gli antidoti vengono lasciati sviluppare ad altri....
Così come comunque mettere " in chiaro " un indirizzo, seppur inesistente, per rallentare od arrestare l'infezione... Se lo scopo è quello di tirare più soldi possibile senza fare troppi danni, poteva essere benissimo implementato un contatore che dopo tot exploit inibisse la replicazione del worm.

Secondo me, dietro c'è molto più di quello che immaginiamo noi.

Oltretutto in queste ore stiamo inviando gli IP infetti alle autorità, in modo che possano comunicarlo alle vittime, molte ancora ignare.

Ma come possono le autorità avvisare gli utenti???
Avere l'IP degli interessati non equivale ad avere numero di telefono o email.

Come fanno???

scusa AlexSwitch, ma cosa ne sai tu della logica di chi crea i virus?
"Se lo scopo è quello di tirare più soldi possibile senza fare troppi danni", questo lo dici tu.
evidentemente avevano le loro ragioni per inserire un check simile e a fatto compiuto è palese che pur di tirare su qualche soldino non si sono minimamente preoccupati di fare danno.
e cmq puntare su un dominio già esistente è nettamente più pericoloso, dal punto di vista dell'analisi di sicurezza che di tracciabilità.

questo non è un'attacco fatto da un ragazzino che voleva mettersi in mostra.
è stata pianificata con grande meticolosità da più soggetti e già da molto tempo, ma sopratutto con uno scopo ben preciso.

(non ho letto quest'articolo, ma ho letto il postmortem originale scritto della persona in oggetto (https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html))

nell'articolo dice che probabilmente era una misura anti analisi pensata male e implementata peggio più che una sicura


Grazie!
Un articolo davvero interessante!

Ma come possono le autorità avvisare gli utenti???
Avere l'IP degli interessati non equivale ad avere numero di telefono o email.


ma una localizzazione geografica si, oltre a chi 'appartiene' la sub/super net, ovviamente
cmq sia avvisano le autorità preposte, mica gli utenti (sono poi i provider che sanno a che loro utenze corrispondono, che btw non penso aspettino le segnalazioni esterne, almeno spero...)

ps: basta provare a fare un mero whois sul proprio ip pubblico (a meno di meccanismi di nat a monte, in tal caso l'ip pubblico lo sa solo il provider) ad esempio
ps2: poi in realtà gli stessi potrebbero anche scriptare il tutto e inviare automaticamente direttamente agli indirizzi 'abuse' che outputta il whois stesso...

scusa AlexSwitch, ma cosa ne sai tu della logica di chi crea i virus?
"Se lo scopo è quello di tirare più soldi possibile senza fare troppi danni", questo lo dici tu.
evidentemente avevano le loro ragioni per inserire un check simile e a fatto compiuto è palese che pur di tirare su qualche soldino non si sono minimamente preoccupati di fare danno.
e cmq puntare su un dominio già esistente è nettamente più pericoloso, dal punto di vista dell'analisi di sicurezza che di tracciabilità.

questo non è un'attacco fatto da un ragazzino che voleva mettersi in mostra.
è stata pianificata con grande meticolosità da più soggetti e già da molto tempo, ma sopratutto con uno scopo ben preciso.

beh, poteva pure non farlo proprio il controllo e infettare senza ritegno alcuno...

scusa AlexSwitch, ma cosa ne sai tu della logica di chi crea i virus?
"Se lo scopo è quello di tirare più soldi possibile senza fare troppi danni", questo lo dici tu.
evidentemente avevano le loro ragioni per inserire un check simile e a fatto compiuto è palese che pur di tirare su qualche soldino non si sono minimamente preoccupati di fare danno.
e cmq puntare su un dominio già esistente è nettamente più pericoloso, dal punto di vista dell'analisi di sicurezza che di tracciabilità.

questo non è un'attacco fatto da un ragazzino che voleva mettersi in mostra.
è stata pianificata con grande meticolosità da più soggetti e già da molto tempo, ma sopratutto con uno scopo ben preciso.

Bhè mi pare che la logica e lo scopo ( di facciata ) di questo worm sia abbastanza palese no? 300 USD in Bitcoin subito, dopo un tot raddoppiano e scaduto l'ultimo termine temporale si da il bacino di addio ad disco criptato!!
E sulle ragioni di questo check io ho qualche dubbio, come non mi continua a tornare il phishing come veicolo primario dell'infezione... Se già sapevano, a priori, quale fosse il target dell'attacco ( grandi reti aziendali, enti pubblici, ospedali, università, ovvero in tutti quei luoghi dove c'è la maggior probabilità di trovare una versione di Windows vecchia e non più patchata ), non credo che si siano messi a confezionare email lavorative farlocche personalizzate, a meno che non ci sia stato qualche altra spia che abbia rilevato determinati dati.

pare che non pochi stiano pagando

Leggi l'articolo che ho linkato sopra ;)
Ho provato ma è un po' difficile, mi pare che la spiegazione sia qui:
I believe they were trying to query an intentionally unregistered domain which would appear registered in certain sandbox environments, then once they see the domain responding, they know they’re in a sandbox the malware exits to prevent further analysis.
Ma comunque non ne capisco il senso, a che serve questo meccanismo?

Il malware sa che quel dominio non e' registrato, per cui la relativa richiesta DNS dovrebbe produrre un errore invece di restituire un IP. Se restituisce un IP, allora significa che il malware sta girando nella sandbox di uno di questi tool. E' una banale misura anti-analisi.
Idem con patate. È chiara la prima parte ma cosa sono questi tool di analisi?

Ma comunque non ne capisco il senso, a che serve questo meccanismo?


Ad impedire ai tool automatici di bollare il malware come tale. Sono tecniche anti-analisi, roba che si trova pure nei tutorial di hacking sui forum specializzati.

Se crei un malware non vuoi che venga bollato, 5 minuti dopo, da virustotal. Solo che il giochino e' stato implementato male e si e' trasformato in un kill switch.

Francamente non capisco perche' cosi' tanta gente si stia arrovellando su quello che e' un banale trick in the box dei creatori di malware.

Ha fatto bene il ragazzo di 22 anni a capire il problema .

Se non lo avesse fatto, se non si fosse accorto che qualcosa non andava.......forse i risultati sarebbero stati peggiori .

Bravo :)

pare che non pochi stiano pagando

Intanto l'attacco, come previsto da qualcuno, è ripartito in Cina.... Le prime notizie parlano di centinaia di miglia ( ovviamente da verificare come dato ) di computer colpiti!!

Sul pagamento dei riscatti: ci credo che diversi si siano frugati... Una volta installato e partito il worm, sembrerebbe riuscire a resistere ai tentativi di rimozione da parte degli AV.... Magari se su quel computer o su quel server c'è un bell'archivio di cartelle cliniche o altri documenti fondamentali, non rimane molto altro da fare.

Intanto l'attacco, come previsto da qualcuno, è ripartito in Cina.... Le prime notizie parlano di centinaia di miglia ( ovviamente da verificare come dato ) di computer colpiti!!

Sul pagamento dei riscatti: ci credo che diversi si siano frugati... Una volta installato e partito il worm, sembrerebbe riuscire a resistere ai tentativi di rimozione da parte degli AV.... Magari se su quel computer o su quel server c'è un bell'archivio di cartelle cliniche o altri documenti fondamentali, non rimane molto altro da fare.

penso che in buona sostanza chi sgancia, non aveva backup, per quello sottolineavo
spero di esagerare ma mi pare irreale se effettivamente così
vediamo a bocce ferme, che per ora è presto

Intanto l'attacco, come previsto da qualcuno, è ripartito in Cina.... Le prime notizie parlano di centinaia di miglia ( ovviamente da verificare come dato ) di computer colpiti!!
Infatti.........

Cina, “centinaia di migliaia” di pc colpiti da attacco WannaCry (http://www.askanews.it/esteri/2017/05/15/cina-centinaia-di-migliaia-di-pc-colpiti-da-attacco-wannacry-pn_20170515_00017/)

In Cina Xp è ancora..........al terzo posto con il 19%........

Poi viene W10, con una percentuale, di poco superiore e W7, oltre il 56% .

Attaccate anche aziende come Hitachi e Nissan..........

Il Cyberattacco globale Wannacry, l'Asia di nuovo sotto attacco:

colpiti Cina e Giappone
(http://www.rainews.it/dl/rainews/articoli/Wannacry-Asia-di-nuovo-sotto-attacco-colpiti-Cina-e-Giappone-2c559150-aed9-4d1f-9020-eaccbcc3d406.html)
Sono "centinaia di migliaia" i computer cinesi di 30mila entità diverse colpiti dall'attacco ransomware in corso.

Problemi per Hitachi e Nissan in Giappone

Ad impedire ai tool automatici di bollare il malware come tale. Sono tecniche anti-analisi, roba che si trova pure nei tutorial di hacking sui forum specializzati.
Ok sarò rincoglionito ma ancora non ci arrivo. :cry: Perché un software non deve essere riconosciuto come malware solo perché tra le varie operazioni chiama un DNS inesistente?
E a cosa servono gli ambienti virtuali dove invece un IP viene restituito e l'operazione si interrompe?

È la logica che mi sfugge e sto facendo confusione tra cosa serve ai criminali per sviluppare i ransom e farne il debug, e cosa usano gli antivirus. Non lavoro in nessuno dei due ambiti per cui credo che sia normale non capire!

Mi pare una buffonata, spiego:

Questo si spaccia per salvatore della patria,
ma se il gruppo di lamer che ha avviato la pratica, voleva, ci metteva poco e niente a realizzare una variante del virus escludendo/modificando il codice in cui si fa presente che se dominio.xyz non esiste = annulla tutto?

Non credo.

Qualcuno si fà pubblicità aggratis qui.

Qualcosa viene detto in questo articolo

Le conseguenze dell’NSA “fanno piangere” gli ospedali (http://blog.debiase.com/2017/05/13/le-conseguenze-dellnsa-fanno-piangere-gli-ospedali/)

Mi pare una buffonata, spiego:

Questo si spaccia per salvatore della patria,
ma se il gruppo di lamer che ha avviato la pratica, voleva, ci metteva poco e niente a realizzare una variante del virus escludendo/modificando il codice in cui si fa presente che se dominio.xyz non esiste = annulla tutto?

Non credo.

Qualcuno si fà pubblicità aggratis qui.

Ma è possibile che in tutte le cose bisogna per forza trovare un lato negativo?? Ogni tanto un po' di fiducia non guasta.
Comunque stanno già girando versioni senza il controllo del dominio.

Mi pare una buffonata, spiego:

Questo si spaccia per salvatore della patria,
ma se il gruppo di lamer che ha avviato la pratica, voleva, ci metteva poco e niente a realizzare una variante del virus escludendo/modificando il codice in cui si fa presente che se dominio.xyz non esiste = annulla tutto?

Non credo.

Qualcuno si fà pubblicità aggratis qui.

Ed infatti lo stanno monitorando, proprio perché una delle possibilità è che venga messa in circolazione una variante del ransomware o addirittura che il codice dello stesso fosse progettato per cambiare il sito di check dopo tot tempo.

Leggi il link di unrealizer, spiega tutto in maniera eccellente.

Ok sarò rincoglionito ma ancora non ci arrivo. :cry: Perché un software non deve essere riconosciuto come malware solo perché tra le varie operazioni chiama un DNS inesistente?
E a cosa servono gli ambienti virtuali dove invece un IP viene restituito e l'operazione si interrompe?

È la logica che mi sfugge e sto facendo confusione tra cosa serve ai criminali per sviluppare i ransom e farne il debug, e cosa usano gli antivirus. Non lavoro in nessuno dei due ambiti per cui credo che sia normale non capire!

I sistemi più recenti di Antimalware fanno girare tutto in una macchina virtuale e analizzano il risultato. Se il programma si comporta male, viene blacklistato e non può essere scaricato o eseguito sul resto dell'Infrastruttura.

Per evitare di essere riconosciuto come un malware, il programmino in oggetto tenta di capire se sta girando in una di queste sandbox o se è sul PC di un utente. Nel primo caso sta buono e non fa niente di pericoloso, nel secondo crypta il disco.

In molti di questi sistemi Antimalware, se il programma prova a contattare un sito Web, gli viene comunque risposto un indirizzo che corrisponde ad un catchall del Sistema che poi analizza il tipo di dati che il programma trasmette, per farsi un'idea più chiara del funzionamento. Quelli che hanno scritto il codice del virus hanno fatto una chiamata ad un dominio insesistente, in questo modo potevano controllare se ricevevano una risposta, e in caso affermativo il programma da per scontato che sta girando in un ambiente non comune e non attiva le routine di cryptaggio dei dati.

Il punto è che dopo che il dominio è stato associato ad un indirizzo IP, anche I comuni PC hanno cominciato a rispondere con un indirizzo e adesso, quella versione del virus, è sempre convinta che sta girando in una sandbox e non fa niente.

Cia'

Andrea

parti dal presupposto che di solito le medie e grandi aziende hanno un server DNS interno.
quando tenti di raggiungere un server tramite nome, in primis è il DNS che viene interpellato per risolvere il nome, una volta ottenuto l'IP il pacchetto parte.
le analisi di solito vengono effettuate sui pacchetti che escono/entrano.
se tu invece tenti di connetterti a un dominio inesistente il DNS non ti risolve nemmeno il nome e non parte nessun pacchetto, quindi diventa più difficile tracciare un'eventuale / potenziale connessione verso l'esterno.
e se vuoi sviluppare un malware restando immune, in questo caso basterebbe che il tuo PC risolva il nome, e lo puoi fare a costo 0 inserendo il record nel tuoi hosts (ovviamente questa metodica vale solo per questo caso).

e comunque per registrare un dominio ti chiedono un minimo di credenziali, e se è pagamento lasceresti anche un eventuale traccia di movimento dei soldi.

tornando a noi credo che sia inutile discutere del perché di questa vulnerabilità del malware, di sicuro avevano le loro ragioni e non le scopriremo mai.

Perché un software non deve essere riconosciuto come malware solo perché tra le varie operazioni chiama un DNS inesistente?


Il motivo non e' questo. I tool automatici ( ma pure i ricercatori in buona misura ) seguono l'andamento del malware, cioe' tengono nota delle operazioni che svolge. Ma se l'unica cosa che il malware fa ( essendosi accorto di essere sotto controllo ) e' chiedere l'IP di un dominio e poi terminare, beh, il tool automatico crede che il malware svolga solo queste due operazioni ( innocue e banalissime ) e che quindi sia un programma innocuo.

Le tecniche anti-analisi si basano tutte sul seguire code path innocui, una volta che il malware si e' accorto di essere sotto analisi.


E a cosa servono gli ambienti virtuali dove invece un IP viene restituito e l'operazione si interrompe?

Gli ambienti di sandboxing per i malware cercano di simulare un ambiente normale e ovviamente non possono sapere che il malware sta chiedendo l'IP di un dominio inesistente. Un malware che non usi questo trucco, richiede di accedere a domini esistenti, su cui girano i C&C. Solo che fatta la legge si trova l'inganno e gli autori di malware hanno trovato il modo di approfittare di questo comportamento dei tool di analisi.

Ho provato ma è un po' difficile, mi pare che la spiegazione sia qui:

Ma comunque non ne capisco il senso, a che serve questo meccanismo?


Idem con patate. È chiara la prima parte ma cosa sono questi tool di analisi?

Quando salta fuori un malware, i vari ricercatori di sicurezza, come il ragazzo in questione, cercano di ottenerne un campione da analizzare in un ambiente controllato: hanno delle macchine virtuali, ben isolate, il cui scopo è venire infettate in modo da vedere il comportamento del malware

Una delle tecniche di analisi più comune è quella di redirigere tutto il traffico di rete verso una macchina controllata dal ricercatore in modo da poter analizzare cosa effettivamente faccia: è così che si sono accorti che wncry tentava di contattare quel dominio non registrato (infatti nel link in prima pagina spiega che in questi casi è prassi normale registrare il dominio e farlo puntare a un sinkhole, un server controllato "dai buoni" che si comporta come un buco nero in cui tutto il traffico dei malware va a morire.

Una delle conseguenze di questa tecnica è che tutte le richieste ai DNS ottengono risposta, anche quelle verso domini che non esistono.

La logica di quel virus era "so che questo dominio non esiste, quindi se mi risponde vuol dire che sto girando in sandbox! annulla tutto così non possono analizzarmi!"

Il problema è che è stato fatto con il :ciapet:, infatti altri malware più avanzati provano con un tot di domini totalmente random, e se rispondono tutti, soprattutto se con lo stesso IP, si disattivano

Questo qui invece usava un unico dominio e per giunta scritto proprio nel codice, è bastato registrarlo per far credere a tutte le copie in giro di essere in sandbox :D

Ha fatto bene il ragazzo di 22 anni a capire il problema .

Se non lo avesse fatto, se non si fosse accorto che qualcosa non andava.......forse i risultati sarebbero stati peggiori .

Bravo :)

Nell'articolo dice che ha scoperto solo dopo questo comportamento (l'analisi statica è un'operazione che richiede tempo), infatti anche lui dice che l'ha bloccato accidentalmente proprio perché è stata un'operazione di routine (la registrazione del dominio) che si fa durante l'analisi a bloccare tutto :)

Mi pare una buffonata, spiego:

Questo si spaccia per salvatore della patria,
ma se il gruppo di lamer che ha avviato la pratica, voleva, ci metteva poco e niente a realizzare una variante del virus escludendo/modificando il codice in cui si fa presente che se dominio.xyz non esiste = annulla tutto?

Non credo.

Qualcuno si fà pubblicità aggratis qui.

non si spaccia per nulla, è semplicemente arrivato al momento giusto
leggi l'articolo iniziale

si, stanno già spuntando altre varianti mutate

e si, si fa pubblicità, nel campo della sicurezza funziona così :D

cut
pignoleria, l'analisi statica automatica di solito è quella rapida, il disassemblaggio o l'analisi dinamica invece sono più lente

Nell'articolo dice che ha scoperto solo dopo questo comportamento (l'analisi statica è un'operazione che richiede tempo), infatti anche lui dice che l'ha bloccato accidentalmente proprio perché è stata un'operazione di routine (la registrazione del dominio) che si fa durante l'analisi a bloccare tutto :)
Anche se l' ha scoperto dopo, l' ha scoperto :)

Certo che è strano: metti in piedi un attacco mondiale di tale portata (denota un alto livello di competenze in ambito informatico), per poi implementare un sistema di anti analisi così ...banale? (a detta del ricercatore)
Forse al progetto hanno lavorato più persone, ognuna con un ruolo specifico, coordinate da qualcuno. Oppure l'hanno fatto apposta.. però a quale scopo?

Certo che è strano: metti in piedi un attacco mondiale di tale portata (denota un alto livello di competenze in ambito informatico), per poi implementare un sistema di anti analisi così ...banale? (a detta del ricercatore)

In realta' non c'e' niente di incredibile o sofisticato in questo attacco, considerando che il grosso del lavoro l'ha fatto la NSA quando ha creato l'exploit per la vulnerabilita' di SMB.

Questi qui hanno comprato un ransomware sul mercato nero, l'hanno incartato in un dropper costruito sul codice rilasciato da Shadow Brokers e hanno mandato qualche migliaio di email per innescare l'infezione. Tutto qui.

evidentemente avevano windows? :D

In realta' non c'e' niente di incredibile o sofisticato in questo attacco, considerando che il grosso del lavoro l'ha fatto la NSA quando ha creato l'exploit per la vulnerabilita' di SMB.

Questi qui hanno comprato un ransomware sul mercato nero, l'hanno incartato in un dropper costruito sul codice rilasciato da Shadow Brokers e hanno mandato qualche migliaio di email per innescare l'infezione. Tutto qui.

Certo, senza l'exploit della NSA non avrebbero mai raggiunto una simile diffusione in così poco tempo. Anzi, forse il punto è proprio quello: che senso ha creare un sofisticato sistema di anti analisi, se ogni nuova versione si diffonde in rete in pochissimo tempo?
p.s. dovranno pagare quantomeno una cena al gruppo Shadown Brokers. Oppure chissà magari ci sono proprio loro dietro..

poi sarebbe sfizioso sapere se ms era a conoscenza del buco prima che uscisse la notizia del furto, ma temo non si saprà mai, e si potranno solo unire i puntini a mò di giochino per passare il tempo, che appunto, poco si può fare, e, temo, a prescidere dall'os

poi sarebbe sfizioso sapere se ms era a conoscenza del buco prima che uscisse la notizia del furto, ma temo non si saprà mai, e si potranno solo unire i puntini a mò di giochino per passare il tempo, che appunto, poco si può fare, e, temo, a prescidere dall'os

Considerando che hanno patchato tutte le vulnerabilità usate dai tool leaked un mese prima...

Considerando che hanno patchato tutte le vulnerabilità usate dai tool leaked un mese prima...

ah, beh, allora ci sono tutti gli ingredienti per un blockbuster...

Domanda da profano: ma come ha fatto a diffondersi anche nei tabelloni INFO del servizio treni tedesco?

Le info su quei tabelloni vengono aggiornate tramite una connessione di rete, quindi gli stessi sono connessi ad una rete locale. Il computer di qualche impiegato, connesso a quella stessa lan, e' stata infettato tramite phishing. Da li' il worm ha fatto il resto tramite SMB.

che senso ha creare un sofisticato sistema di anti analisi, se ogni nuova versione si diffonde in rete in pochissimo tempo?


Al 90% era un ransomware gia' creato tempo fa, magari comprato, fatto ai tempi in cui di quegli exploit non si sapeva ancora nulla, per cui era stato creato per restare invisibile per lungo tempo. Del resto prima di venerdi' i ransomware erano notoriamente malware a diffusione lenta, i cui creatori puntavano a restare fuori dai radar degli antivirus per mesi se non anni.


p.s. dovranno pagare quantomeno una cena al gruppo Shadown Brokers. Oppure chissà magari ci sono proprio loro dietro..

Shadow Brokers ha mostrato chiaramente la propria identita', quando rilasciando quei codici ha sparato a zero contro li Deep State, il castramento di Trump, anzi si sono definiti loro stessi parte ( ma la parte ribelle ) del Deep State. Quindi si tratta di un'organizzazione composta da spie, cyberspie e gente simile. Il loro scopo non e' fare soldi ma far crollare l'impero Clinton/Soros/Podesta e compagnia.

La loro e' una lotta politica, altrimenti avrebbero evitato di rendere pubblici quegli exploit e li avrebbero usati per attaccare bersagli a cui si possono estorcere montagne di soldi.

ah, beh, allora ci sono tutti gli ingredienti per un blockbuster...

Era per dire che si, probabilmente MS sapeva in anticipo della vulnerabilità visto che hanno rilasciato le patch per tutte le vulnerabilità usate dai tool leakati dagli ShadowBroker un mese prima del leak

Probabilmente li ha avvisati l'NSA stessa dopo essersi accorti del furto

sisi, e il mio riferimento alla filmografia era perchè tanto ogni volta tutti trovano dei colpevoli a seconda dei gusti o delle convenienze del momento

Una delle tecniche di analisi più comune è quella di redirigere tutto il traffico di rete verso una macchina controllata dal ricercatore in modo da poter analizzare cosa effettivamente faccia: è così che si sono accorti che wncry tentava di contattare quel dominio non registrato (infatti nel link in prima pagina spiega che in questi casi è prassi normale registrare il dominio e farlo puntare a un sinkhole, un server controllato "dai buoni" che si comporta come un buco nero in cui tutto il traffico dei malware va a morire.
Una delle conseguenze di questa tecnica è che tutte le richieste ai DNS ottengono risposta, anche quelle verso domini che non esistono.
La logica di quel virus era "so che questo dominio non esiste, quindi se mi risponde vuol dire che sto girando in sandbox! annulla tutto così non possono analizzarmi!"
Grazie mille, ora ho capito! :) Davo per scontato che se un DNS non esiste su internet, non può esserci neanche nell'ambiente virtuale dei "buoni" (al massimo poteva essere censito nella sandbox degli sviluppatori del malware ma non vedevo nessuna utilità di questo meccanismo ai fini dello sviluppo, per questo ero andato in confusione), e non potevo avere idea che i tool di analisi restituissero sempre un IP a prescindere.

Ora che è chiaro, in effetti è strano che chi abbia il talento per fare un virus che colpisce mezzo mondo e conosce questo meccanismo, faccia una leggerezza del genere. Ma forse siamo noi che parliamo facilmente col senno di poi, e se non era mai successo prima che un tizio antimalware lo fregasse registrando il dominio, i criminali non avranno previsto questa mossa.

Davo per scontato che se un DNS non esiste su internet


Attenzione che non e' il DNS a non esistere, ma il nome di dominio. DNS sta per Domain Name System ed e' il database distribuito ( compresi i server che lo ospitano ) che contiene la lista di tutti i domini internet registrati e dei corrispondenti indirizzi IP.



Ora che è chiaro, in effetti è strano che chi abbia il talento per fare un virus che colpisce mezzo mondo e conosce questo meccanismo, faccia una leggerezza del genere.


Non e' detto che abbiano tutto questo talento. I ransomware sono in vendita, l'exploit e' liberamente scaricabile da varie fonti.

Pure uno script kiddie avrebbe potuto mettere in piedi quest'attacco.


Ma forse siamo noi che parliamo facilmente col senno di poi, e se non era mai successo prima che un tizio antimalware lo fregasse registrando il dominio, i criminali non avranno previsto questa mossa.

No, questo tipo di tecnica e' usatissima nel malware, ma implementata molto meglio di quanto hanno fatto questi qui. E questo c'induce a credere che si tratti di dilettanti.

Sì intendevo il dominio.
Vedremo quanto sono dilettanti non solo dalla qualità del codice ma se si faranno beccare o no! Perché oltre alla parte di programmazione, c'è tutto il resto. Io non ho idea di come funzionino questi bitcoin e di come si convertano da/in soldi normali e reali, ma la domanda che sorge spontanea è: una volta che hanno ottenuto i lauti incassi dal ricatto, come li riciclano?

Shadow Brokers ha mostrato chiaramente la propria identita', quando rilasciando quei codici ha sparato a zero contro li Deep State, il castramento di Trump, anzi si sono definiti loro stessi parte ( ma la parte ribelle ) del Deep State. Quindi si tratta di un'organizzazione composta da spie, cyberspie e gente simile. Il loro scopo non e' fare soldi ma far crollare l'impero Clinton/Soros/Podesta e compagnia.

scusa ma tutto questo centra col pizza-gate? sono confuso :confused:

scusa ma tutto questo centra col pizza-gate? sono confuso :confused:

il pizzagate vede coinvolti esponenti del gruppo della Clinton ed e' stato un tentativo di farlo crollare

quello che sta succedendo e' che c'e' una guerra all'interno dei poteri forti e ovviamente ogni scandalo ( che sia finanziario, politico o riguardi la pedofilia come nel caso del pizzagate ) e' un'arma in piu' in questa guerra

Sì intendevo il dominio.
Vedremo quanto sono dilettanti non solo dalla qualità del codice ma se si faranno beccare o no! Perché oltre alla parte di programmazione, c'è tutto il resto. Io non ho idea di come funzionino questi bitcoin e di come si convertano da/in soldi normali e reali, ma la domanda che sorge spontanea è: una volta che hanno ottenuto i lauti incassi dal ricatto, come li riciclano?

la qualità del codice non ha senso valutarla, i malware si possono comprare sul dark web, anche in comodi toolkit da configurare tramite interfaccia grafica

anche in comodi toolkit

un esperto!!

In ogni caso...

C'è ancora qualcuno convinto che gli antivirus siano di qualche utilità? :D

In ogni caso...

C'è ancora qualcuno convinto che gli antivirus siano di qualche utilità? :D

perche' non lo sono per i produttori di antivirus? :D

guarda la villa di McAfee

un esperto!!
Non ho capito cosa intendevi
perche' non lo sono per i produttori di antivirus? :D

guarda la villa di McAfee
Gli AV almeno eliminano gli attacchi "noti", riducendo di molto le possibilità di attacco

Gli AV almeno eliminano gli attacchi "noti", riducendo di molto le possibilità di attacco

In parte, visto che ormai i sistemi basati su signature fanno sempre piu' cilecca. Le euristiche riescono ancora a mantenere gli antivirus di una qualche utilita', ma non durera' in eterno.

In parte, visto che ormai i sistemi basati su signature fanno sempre piu' cilecca. Le euristiche riescono ancora a mantenere gli antivirus di una qualche utilita', ma non durera' in eterno.
ti stupiresti delle cose che vengono bloccate ancora dalle signature, come approccio è vetusto, ma dall'essere inutile ancora ci manca secondo me