Attacco hacker Wannacry: ecco come è stato rallentato grazie ad un dominio da 10 dollari

[pabloski]

Quote:

Originariamente inviato da rewind176

Certo che è strano: metti in piedi un attacco mondiale di tale portata (denota un alto livello di competenze in ambito informatico), per poi implementare un sistema di anti analisi così ...banale? (a detta del ricercatore)

In realta' non c'e' niente di incredibile o sofisticato in questo attacco, considerando che il grosso del lavoro l'ha fatto la NSA quando ha creato l'exploit per la vulnerabilita' di SMB.

Questi qui hanno comprato un ransomware sul mercato nero, l'hanno incartato in un dropper costruito sul codice rilasciato da Shadow Brokers e hanno mandato qualche migliaio di email per innescare l'infezione. Tutto qui.

[VashXP]

evidentemente avevano windows?

[rewind176]

Quote:

Originariamente inviato da pabloski

In realta' non c'e' niente di incredibile o sofisticato in questo attacco, considerando che il grosso del lavoro l'ha fatto la NSA quando ha creato l'exploit per la vulnerabilita' di SMB.

Questi qui hanno comprato un ransomware sul mercato nero, l'hanno incartato in un dropper costruito sul codice rilasciato da Shadow Brokers e hanno mandato qualche migliaio di email per innescare l'infezione. Tutto qui.

Certo, senza l'exploit della NSA non avrebbero mai raggiunto una simile diffusione in così poco tempo. Anzi, forse il punto è proprio quello: che senso ha creare un sofisticato sistema di anti analisi, se ogni nuova versione si diffonde in rete in pochissimo tempo?
p.s. dovranno pagare quantomeno una cena al gruppo Shadown Brokers. Oppure chissà magari ci sono proprio loro dietro..

[s-y]

poi sarebbe sfizioso sapere se ms era a conoscenza del buco prima che uscisse la notizia del furto, ma temo non si saprà mai, e si potranno solo unire i puntini a mò di giochino per passare il tempo, che appunto, poco si può fare, e, temo, a prescidere dall'os

[Unrealizer]

Quote:

Originariamente inviato da s-y

poi sarebbe sfizioso sapere se ms era a conoscenza del buco prima che uscisse la notizia del furto, ma temo non si saprà mai, e si potranno solo unire i puntini a mò di giochino per passare il tempo, che appunto, poco si può fare, e, temo, a prescidere dall'os

Considerando che hanno patchato tutte le vulnerabilità usate dai tool leaked un mese prima...

[s-y]

Quote:

Originariamente inviato da Unrealizer

Considerando che hanno patchato tutte le vulnerabilità usate dai tool leaked un mese prima...

ah, beh, allora ci sono tutti gli ingredienti per un blockbuster...

[pabloski]

Quote:

Originariamente inviato da Hinterstoisser

Domanda da profano: ma come ha fatto a diffondersi anche nei tabelloni INFO del servizio treni tedesco?

Le info su quei tabelloni vengono aggiornate tramite una connessione di rete, quindi gli stessi sono connessi ad una rete locale. Il computer di qualche impiegato, connesso a quella stessa lan, e' stata infettato tramite phishing. Da li' il worm ha fatto il resto tramite SMB.

Quote:

Originariamente inviato da rewind176

che senso ha creare un sofisticato sistema di anti analisi, se ogni nuova versione si diffonde in rete in pochissimo tempo?

Al 90% era un ransomware gia' creato tempo fa, magari comprato, fatto ai tempi in cui di quegli exploit non si sapeva ancora nulla, per cui era stato creato per restare invisibile per lungo tempo. Del resto prima di venerdi' i ransomware erano notoriamente malware a diffusione lenta, i cui creatori puntavano a restare fuori dai radar degli antivirus per mesi se non anni.

Quote:

Originariamente inviato da rewind176

p.s. dovranno pagare quantomeno una cena al gruppo Shadown Brokers. Oppure chissà magari ci sono proprio loro dietro..

Shadow Brokers ha mostrato chiaramente la propria identita', quando rilasciando quei codici ha sparato a zero contro li Deep State, il castramento di Trump, anzi si sono definiti loro stessi parte ( ma la parte ribelle ) del Deep State. Quindi si tratta di un'organizzazione composta da spie, cyberspie e gente simile. Il loro scopo non e' fare soldi ma far crollare l'impero Clinton/Soros/Podesta e compagnia.

La loro e' una lotta politica, altrimenti avrebbero evitato di rendere pubblici quegli exploit e li avrebbero usati per attaccare bersagli a cui si possono estorcere montagne di soldi.

[Unrealizer]

Quote:

Originariamente inviato da s-y

ah, beh, allora ci sono tutti gli ingredienti per un blockbuster...

Era per dire che si, probabilmente MS sapeva in anticipo della vulnerabilità visto che hanno rilasciato le patch per tutte le vulnerabilità usate dai tool leakati dagli ShadowBroker un mese prima del leak

Probabilmente li ha avvisati l'NSA stessa dopo essersi accorti del furto

[s-y]

sisi, e il mio riferimento alla filmografia era perchè tanto ogni volta tutti trovano dei colpevoli a seconda dei gusti o delle convenienze del momento

[Mars4ever]

Quote:

Originariamente inviato da Unrealizer

Una delle tecniche di analisi più comune è quella di redirigere tutto il traffico di rete verso una macchina controllata dal ricercatore in modo da poter analizzare cosa effettivamente faccia: è così che si sono accorti che wncry tentava di contattare quel dominio non registrato (infatti nel link in prima pagina spiega che in questi casi è prassi normale registrare il dominio e farlo puntare a un sinkhole, un server controllato "dai buoni" che si comporta come un buco nero in cui tutto il traffico dei malware va a morire.
Una delle conseguenze di questa tecnica è che tutte le richieste ai DNS ottengono risposta, anche quelle verso domini che non esistono.
La logica di quel virus era "so che questo dominio non esiste, quindi se mi risponde vuol dire che sto girando in sandbox! annulla tutto così non possono analizzarmi!"

Grazie mille, ora ho capito! Davo per scontato che se un DNS non esiste su internet, non può esserci neanche nell'ambiente virtuale dei "buoni" (al massimo poteva essere censito nella sandbox degli sviluppatori del malware ma non vedevo nessuna utilità di questo meccanismo ai fini dello sviluppo, per questo ero andato in confusione), e non potevo avere idea che i tool di analisi restituissero sempre un IP a prescindere.

Ora che è chiaro, in effetti è strano che chi abbia il talento per fare un virus che colpisce mezzo mondo e conosce questo meccanismo, faccia una leggerezza del genere. Ma forse siamo noi che parliamo facilmente col senno di poi, e se non era mai successo prima che un tizio antimalware lo fregasse registrando il dominio, i criminali non avranno previsto questa mossa.

[pabloski]

Quote:

Originariamente inviato da Mars4ever

Davo per scontato che se un DNS non esiste su internet

Attenzione che non e' il DNS a non esistere, ma il nome di dominio. DNS sta per Domain Name System ed e' il database distribuito ( compresi i server che lo ospitano ) che contiene la lista di tutti i domini internet registrati e dei corrispondenti indirizzi IP.

Quote:

Originariamente inviato da Mars4ever

Ora che è chiaro, in effetti è strano che chi abbia il talento per fare un virus che colpisce mezzo mondo e conosce questo meccanismo, faccia una leggerezza del genere.

Non e' detto che abbiano tutto questo talento. I ransomware sono in vendita, l'exploit e' liberamente scaricabile da varie fonti.

Pure uno script kiddie avrebbe potuto mettere in piedi quest'attacco.

Quote:

Originariamente inviato da Mars4ever

Ma forse siamo noi che parliamo facilmente col senno di poi, e se non era mai successo prima che un tizio antimalware lo fregasse registrando il dominio, i criminali non avranno previsto questa mossa.

No, questo tipo di tecnica e' usatissima nel malware, ma implementata molto meglio di quanto hanno fatto questi qui. E questo c'induce a credere che si tratti di dilettanti.

[Mars4ever]

Sì intendevo il dominio.
Vedremo quanto sono dilettanti non solo dalla qualità del codice ma se si faranno beccare o no! Perché oltre alla parte di programmazione, c'è tutto il resto. Io non ho idea di come funzionino questi bitcoin e di come si convertano da/in soldi normali e reali, ma la domanda che sorge spontanea è: una volta che hanno ottenuto i lauti incassi dal ricatto, come li riciclano?

[amd-novello]

Quote:

Originariamente inviato da pabloski

Shadow Brokers ha mostrato chiaramente la propria identita', quando rilasciando quei codici ha sparato a zero contro li Deep State, il castramento di Trump, anzi si sono definiti loro stessi parte ( ma la parte ribelle ) del Deep State. Quindi si tratta di un'organizzazione composta da spie, cyberspie e gente simile. Il loro scopo non e' fare soldi ma far crollare l'impero Clinton/Soros/Podesta e compagnia.

scusa ma tutto questo centra col pizza-gate? sono confuso

[pabloski]

Quote:

Originariamente inviato da amd-novello

scusa ma tutto questo centra col pizza-gate? sono confuso

il pizzagate vede coinvolti esponenti del gruppo della Clinton ed e' stato un tentativo di farlo crollare

quello che sta succedendo e' che c'e' una guerra all'interno dei poteri forti e ovviamente ogni scandalo ( che sia finanziario, politico o riguardi la pedofilia come nel caso del pizzagate ) e' un'arma in piu' in questa guerra

[Phoenix Fire]

Quote:

Originariamente inviato da Mars4ever

Sì intendevo il dominio.
Vedremo quanto sono dilettanti non solo dalla qualità del codice ma se si faranno beccare o no! Perché oltre alla parte di programmazione, c'è tutto il resto. Io non ho idea di come funzionino questi bitcoin e di come si convertano da/in soldi normali e reali, ma la domanda che sorge spontanea è: una volta che hanno ottenuto i lauti incassi dal ricatto, come li riciclano?

la qualità del codice non ha senso valutarla, i malware si possono comprare sul dark web, anche in comodi toolkit da configurare tramite interfaccia grafica

[Wikkle]

Quote:

Originariamente inviato da Phoenix Fire

anche in comodi toolkit

un esperto!!

[matsnake86]

In ogni caso...

C'è ancora qualcuno convinto che gli antivirus siano di qualche utilità?

[pabloski]

Quote:

Originariamente inviato da matsnake86

In ogni caso...

C'è ancora qualcuno convinto che gli antivirus siano di qualche utilità?

perche' non lo sono per i produttori di antivirus?

guarda la villa di McAfee

[Phoenix Fire]

Quote:

Originariamente inviato da Wikkle

un esperto!!

Non ho capito cosa intendevi

Quote:

Originariamente inviato da pabloski

perche' non lo sono per i produttori di antivirus?

guarda la villa di McAfee

Gli AV almeno eliminano gli attacchi "noti", riducendo di molto le possibilità di attacco

[pabloski]

Quote:

Originariamente inviato da Phoenix Fire

Gli AV almeno eliminano gli attacchi "noti", riducendo di molto le possibilità di attacco

In parte, visto che ormai i sistemi basati su signature fanno sempre piu' cilecca. Le euristiche riescono ancora a mantenere gli antivirus di una qualche utilita', ma non durera' in eterno.