Attacco hacker Wannacry: ecco come è stato rallentato grazie ad un dominio da 10 dollari

[AlexSwitch]

Quote:

Originariamente inviato da VashXP

scusa AlexSwitch, ma cosa ne sai tu della logica di chi crea i virus?
"Se lo scopo è quello di tirare più soldi possibile senza fare troppi danni", questo lo dici tu.
evidentemente avevano le loro ragioni per inserire un check simile e a fatto compiuto è palese che pur di tirare su qualche soldino non si sono minimamente preoccupati di fare danno.
e cmq puntare su un dominio già esistente è nettamente più pericoloso, dal punto di vista dell'analisi di sicurezza che di tracciabilità.

questo non è un'attacco fatto da un ragazzino che voleva mettersi in mostra.
è stata pianificata con grande meticolosità da più soggetti e già da molto tempo, ma sopratutto con uno scopo ben preciso.

Bhè mi pare che la logica e lo scopo ( di facciata ) di questo worm sia abbastanza palese no? 300 USD in Bitcoin subito, dopo un tot raddoppiano e scaduto l'ultimo termine temporale si da il bacino di addio ad disco criptato!!
E sulle ragioni di questo check io ho qualche dubbio, come non mi continua a tornare il phishing come veicolo primario dell'infezione... Se già sapevano, a priori, quale fosse il target dell'attacco ( grandi reti aziendali, enti pubblici, ospedali, università, ovvero in tutti quei luoghi dove c'è la maggior probabilità di trovare una versione di Windows vecchia e non più patchata ), non credo che si siano messi a confezionare email lavorative farlocche personalizzate, a meno che non ci sia stato qualche altra spia che abbia rilevato determinati dati.

[s-y]

pare che non pochi stiano pagando

[Mars4ever]

Quote:

Originariamente inviato da Unrealizer

Leggi l'articolo che ho linkato sopra

Ho provato ma è un po' difficile, mi pare che la spiegazione sia qui:

Quote:

I believe they were trying to query an intentionally unregistered domain which would appear registered in certain sandbox environments, then once they see the domain responding, they know they’re in a sandbox the malware exits to prevent further analysis.

Ma comunque non ne capisco il senso, a che serve questo meccanismo?

Quote:

Il malware sa che quel dominio non e' registrato, per cui la relativa richiesta DNS dovrebbe produrre un errore invece di restituire un IP. Se restituisce un IP, allora significa che il malware sta girando nella sandbox di uno di questi tool. E' una banale misura anti-analisi.

Idem con patate. È chiara la prima parte ma cosa sono questi tool di analisi?

[pabloski]

Quote:

Originariamente inviato da Mars4ever

Ma comunque non ne capisco il senso, a che serve questo meccanismo?

Ad impedire ai tool automatici di bollare il malware come tale. Sono tecniche anti-analisi, roba che si trova pure nei tutorial di hacking sui forum specializzati.

Se crei un malware non vuoi che venga bollato, 5 minuti dopo, da virustotal. Solo che il giochino e' stato implementato male e si e' trasformato in un kill switch.

Francamente non capisco perche' cosi' tanta gente si stia arrovellando su quello che e' un banale trick in the box dei creatori di malware.

[tallines]

Ha fatto bene il ragazzo di 22 anni a capire il problema .

Se non lo avesse fatto, se non si fosse accorto che qualcosa non andava.......forse i risultati sarebbero stati peggiori .

Bravo

[AlexSwitch]

Quote:

Originariamente inviato da s-y

pare che non pochi stiano pagando

Intanto l'attacco, come previsto da qualcuno, è ripartito in Cina.... Le prime notizie parlano di centinaia di miglia ( ovviamente da verificare come dato ) di computer colpiti!!

Sul pagamento dei riscatti: ci credo che diversi si siano frugati... Una volta installato e partito il worm, sembrerebbe riuscire a resistere ai tentativi di rimozione da parte degli AV.... Magari se su quel computer o su quel server c'è un bell'archivio di cartelle cliniche o altri documenti fondamentali, non rimane molto altro da fare.

[s-y]

Quote:

Originariamente inviato da AlexSwitch

Intanto l'attacco, come previsto da qualcuno, è ripartito in Cina.... Le prime notizie parlano di centinaia di miglia ( ovviamente da verificare come dato ) di computer colpiti!!

Sul pagamento dei riscatti: ci credo che diversi si siano frugati... Una volta installato e partito il worm, sembrerebbe riuscire a resistere ai tentativi di rimozione da parte degli AV.... Magari se su quel computer o su quel server c'è un bell'archivio di cartelle cliniche o altri documenti fondamentali, non rimane molto altro da fare.

penso che in buona sostanza chi sgancia, non aveva backup, per quello sottolineavo
spero di esagerare ma mi pare irreale se effettivamente così
vediamo a bocce ferme, che per ora è presto

[tallines]

Quote:

Originariamente inviato da AlexSwitch

Intanto l'attacco, come previsto da qualcuno, è ripartito in Cina.... Le prime notizie parlano di centinaia di miglia ( ovviamente da verificare come dato ) di computer colpiti!!

Infatti.........

Cina, “centinaia di migliaia” di pc colpiti da attacco WannaCry

In Cina Xp è ancora..........al terzo posto con il 19%........

Poi viene W10, con una percentuale, di poco superiore e W7, oltre il 56% .

Attaccate anche aziende come Hitachi e Nissan..........

Il Cyberattacco globale Wannacry, l'Asia di nuovo sotto attacco:

colpiti Cina e Giappone

Sono "centinaia di migliaia" i computer cinesi di 30mila entità diverse colpiti dall'attacco ransomware in corso.

Problemi per Hitachi e Nissan in Giappone

[Mars4ever]

Quote:

Originariamente inviato da pabloski

Ad impedire ai tool automatici di bollare il malware come tale. Sono tecniche anti-analisi, roba che si trova pure nei tutorial di hacking sui forum specializzati.

Ok sarò rincoglionito ma ancora non ci arrivo. Perché un software non deve essere riconosciuto come malware solo perché tra le varie operazioni chiama un DNS inesistente?
E a cosa servono gli ambienti virtuali dove invece un IP viene restituito e l'operazione si interrompe?

È la logica che mi sfugge e sto facendo confusione tra cosa serve ai criminali per sviluppare i ransom e farne il debug, e cosa usano gli antivirus. Non lavoro in nessuno dei due ambiti per cui credo che sia normale non capire!

[Alessio.16390]

Mi pare una buffonata, spiego:

Questo si spaccia per salvatore della patria,
ma se il gruppo di lamer che ha avviato la pratica, voleva, ci metteva poco e niente a realizzare una variante del virus escludendo/modificando il codice in cui si fa presente che se dominio.xyz non esiste = annulla tutto?

Non credo.

Qualcuno si fà pubblicità aggratis qui.

[tallines]

Qualcosa viene detto in questo articolo

Le conseguenze dell’NSA “fanno piangere” gli ospedali

[danieleg.dg]

Quote:

Originariamente inviato da Alessio.16390

Mi pare una buffonata, spiego:

Questo si spaccia per salvatore della patria,
ma se il gruppo di lamer che ha avviato la pratica, voleva, ci metteva poco e niente a realizzare una variante del virus escludendo/modificando il codice in cui si fa presente che se dominio.xyz non esiste = annulla tutto?

Non credo.

Qualcuno si fà pubblicità aggratis qui.

Ma è possibile che in tutte le cose bisogna per forza trovare un lato negativo?? Ogni tanto un po' di fiducia non guasta.
Comunque stanno già girando versioni senza il controllo del dominio.

[nickmot]

Quote:

Originariamente inviato da Alessio.16390

Mi pare una buffonata, spiego:

Questo si spaccia per salvatore della patria,
ma se il gruppo di lamer che ha avviato la pratica, voleva, ci metteva poco e niente a realizzare una variante del virus escludendo/modificando il codice in cui si fa presente che se dominio.xyz non esiste = annulla tutto?

Non credo.

Qualcuno si fà pubblicità aggratis qui.

Ed infatti lo stanno monitorando, proprio perché una delle possibilità è che venga messa in circolazione una variante del ransomware o addirittura che il codice dello stesso fosse progettato per cambiare il sito di check dopo tot tempo.

Leggi il link di unrealizer, spiega tutto in maniera eccellente.

[andrea.db]

Quote:

Originariamente inviato da Mars4ever

Ok sarò rincoglionito ma ancora non ci arrivo. Perché un software non deve essere riconosciuto come malware solo perché tra le varie operazioni chiama un DNS inesistente?
E a cosa servono gli ambienti virtuali dove invece un IP viene restituito e l'operazione si interrompe?

È la logica che mi sfugge e sto facendo confusione tra cosa serve ai criminali per sviluppare i ransom e farne il debug, e cosa usano gli antivirus. Non lavoro in nessuno dei due ambiti per cui credo che sia normale non capire!

I sistemi più recenti di Antimalware fanno girare tutto in una macchina virtuale e analizzano il risultato. Se il programma si comporta male, viene blacklistato e non può essere scaricato o eseguito sul resto dell'Infrastruttura.

Per evitare di essere riconosciuto come un malware, il programmino in oggetto tenta di capire se sta girando in una di queste sandbox o se è sul PC di un utente. Nel primo caso sta buono e non fa niente di pericoloso, nel secondo crypta il disco.

In molti di questi sistemi Antimalware, se il programma prova a contattare un sito Web, gli viene comunque risposto un indirizzo che corrisponde ad un catchall del Sistema che poi analizza il tipo di dati che il programma trasmette, per farsi un'idea più chiara del funzionamento. Quelli che hanno scritto il codice del virus hanno fatto una chiamata ad un dominio insesistente, in questo modo potevano controllare se ricevevano una risposta, e in caso affermativo il programma da per scontato che sta girando in un ambiente non comune e non attiva le routine di cryptaggio dei dati.

Il punto è che dopo che il dominio è stato associato ad un indirizzo IP, anche I comuni PC hanno cominciato a rispondere con un indirizzo e adesso, quella versione del virus, è sempre convinta che sta girando in una sandbox e non fa niente.

Cia'

Andrea

[VashXP]

parti dal presupposto che di solito le medie e grandi aziende hanno un server DNS interno.
quando tenti di raggiungere un server tramite nome, in primis è il DNS che viene interpellato per risolvere il nome, una volta ottenuto l'IP il pacchetto parte.
le analisi di solito vengono effettuate sui pacchetti che escono/entrano.
se tu invece tenti di connetterti a un dominio inesistente il DNS non ti risolve nemmeno il nome e non parte nessun pacchetto, quindi diventa più difficile tracciare un'eventuale / potenziale connessione verso l'esterno.
e se vuoi sviluppare un malware restando immune, in questo caso basterebbe che il tuo PC risolva il nome, e lo puoi fare a costo 0 inserendo il record nel tuoi hosts (ovviamente questa metodica vale solo per questo caso).

e comunque per registrare un dominio ti chiedono un minimo di credenziali, e se è pagamento lasceresti anche un eventuale traccia di movimento dei soldi.

tornando a noi credo che sia inutile discutere del perché di questa vulnerabilità del malware, di sicuro avevano le loro ragioni e non le scopriremo mai.

[pabloski]

Quote:

Originariamente inviato da Mars4ever

Perché un software non deve essere riconosciuto come malware solo perché tra le varie operazioni chiama un DNS inesistente?

Il motivo non e' questo. I tool automatici ( ma pure i ricercatori in buona misura ) seguono l'andamento del malware, cioe' tengono nota delle operazioni che svolge. Ma se l'unica cosa che il malware fa ( essendosi accorto di essere sotto controllo ) e' chiedere l'IP di un dominio e poi terminare, beh, il tool automatico crede che il malware svolga solo queste due operazioni ( innocue e banalissime ) e che quindi sia un programma innocuo.

Le tecniche anti-analisi si basano tutte sul seguire code path innocui, una volta che il malware si e' accorto di essere sotto analisi.

Quote:

Originariamente inviato da Mars4ever

E a cosa servono gli ambienti virtuali dove invece un IP viene restituito e l'operazione si interrompe?

Gli ambienti di sandboxing per i malware cercano di simulare un ambiente normale e ovviamente non possono sapere che il malware sta chiedendo l'IP di un dominio inesistente. Un malware che non usi questo trucco, richiede di accedere a domini esistenti, su cui girano i C&C. Solo che fatta la legge si trova l'inganno e gli autori di malware hanno trovato il modo di approfittare di questo comportamento dei tool di analisi.

[Unrealizer]

Quote:

Originariamente inviato da Mars4ever

Ho provato ma è un po' difficile, mi pare che la spiegazione sia qui:

Ma comunque non ne capisco il senso, a che serve questo meccanismo?


Idem con patate. È chiara la prima parte ma cosa sono questi tool di analisi?

Quando salta fuori un malware, i vari ricercatori di sicurezza, come il ragazzo in questione, cercano di ottenerne un campione da analizzare in un ambiente controllato: hanno delle macchine virtuali, ben isolate, il cui scopo è venire infettate in modo da vedere il comportamento del malware

Una delle tecniche di analisi più comune è quella di redirigere tutto il traffico di rete verso una macchina controllata dal ricercatore in modo da poter analizzare cosa effettivamente faccia: è così che si sono accorti che wncry tentava di contattare quel dominio non registrato (infatti nel link in prima pagina spiega che in questi casi è prassi normale registrare il dominio e farlo puntare a un sinkhole, un server controllato "dai buoni" che si comporta come un buco nero in cui tutto il traffico dei malware va a morire.

Una delle conseguenze di questa tecnica è che tutte le richieste ai DNS ottengono risposta, anche quelle verso domini che non esistono.

La logica di quel virus era "so che questo dominio non esiste, quindi se mi risponde vuol dire che sto girando in sandbox! annulla tutto così non possono analizzarmi!"

Il problema è che è stato fatto con il , infatti altri malware più avanzati provano con un tot di domini totalmente random, e se rispondono tutti, soprattutto se con lo stesso IP, si disattivano

Questo qui invece usava un unico dominio e per giunta scritto proprio nel codice, è bastato registrarlo per far credere a tutte le copie in giro di essere in sandbox

Quote:

Originariamente inviato da tallines

Ha fatto bene il ragazzo di 22 anni a capire il problema .

Se non lo avesse fatto, se non si fosse accorto che qualcosa non andava.......forse i risultati sarebbero stati peggiori .

Bravo

Nell'articolo dice che ha scoperto solo dopo questo comportamento (l'analisi statica è un'operazione che richiede tempo), infatti anche lui dice che l'ha bloccato accidentalmente proprio perché è stata un'operazione di routine (la registrazione del dominio) che si fa durante l'analisi a bloccare tutto

Quote:

Originariamente inviato da Alessio.16390

Mi pare una buffonata, spiego:

Questo si spaccia per salvatore della patria,
ma se il gruppo di lamer che ha avviato la pratica, voleva, ci metteva poco e niente a realizzare una variante del virus escludendo/modificando il codice in cui si fa presente che se dominio.xyz non esiste = annulla tutto?

Non credo.

Qualcuno si fà pubblicità aggratis qui.

non si spaccia per nulla, è semplicemente arrivato al momento giusto
leggi l'articolo iniziale

si, stanno già spuntando altre varianti mutate

e si, si fa pubblicità, nel campo della sicurezza funziona così

[Phoenix Fire]

Quote:

Originariamente inviato da Unrealizer

cut

pignoleria, l'analisi statica automatica di solito è quella rapida, il disassemblaggio o l'analisi dinamica invece sono più lente

[tallines]

Quote:

Originariamente inviato da Unrealizer

Nell'articolo dice che ha scoperto solo dopo questo comportamento (l'analisi statica è un'operazione che richiede tempo), infatti anche lui dice che l'ha bloccato accidentalmente proprio perché è stata un'operazione di routine (la registrazione del dominio) che si fa durante l'analisi a bloccare tutto

Anche se l' ha scoperto dopo, l' ha scoperto

[rewind176]

Certo che è strano: metti in piedi un attacco mondiale di tale portata (denota un alto livello di competenze in ambito informatico), per poi implementare un sistema di anti analisi così ...banale? (a detta del ricercatore)
Forse al progetto hanno lavorato più persone, ognuna con un ruolo specifico, coordinate da qualcuno. Oppure l'hanno fatto apposta.. però a quale scopo?