|
|
|
|
Strumenti |
15-05-2017, 11:38 | #21 | |
Senior Member
Iscritto dal: Aug 2008
Città: Firenze
Messaggi: 10331
|
Quote:
E sulle ragioni di questo check io ho qualche dubbio, come non mi continua a tornare il phishing come veicolo primario dell'infezione... Se già sapevano, a priori, quale fosse il target dell'attacco ( grandi reti aziendali, enti pubblici, ospedali, università, ovvero in tutti quei luoghi dove c'è la maggior probabilità di trovare una versione di Windows vecchia e non più patchata ), non credo che si siano messi a confezionare email lavorative farlocche personalizzate, a meno che non ci sia stato qualche altra spia che abbia rilevato determinati dati.
__________________
Mac Mini M2 Pro; Apple Studio Display; Logitech MX Keys for Mac; MBA 13" M3; iPod Touch 1st Gen. 8 Gb; iPhone 14 Pro; iPad Air 2020 WiFi 64 Gb, Apple Watch 8... |
|
15-05-2017, 11:40 | #22 |
Senior Member
Iscritto dal: Nov 2007
Messaggi: 8368
|
pare che non pochi stiano pagando
|
15-05-2017, 11:40 | #23 | ||
Senior Member
Iscritto dal: Aug 2015
Città: Padova
Messaggi: 582
|
Ho provato ma è un po' difficile, mi pare che la spiegazione sia qui:
Quote:
Quote:
__________________
PC: Thermaltake V31, Asus Z390-H, Intel i7-9700k, 32GB RGB 2666, Nilox 600W, GTX1070, Corsair 100i RGB Pla, SSD 250GB m.2, 1 TB sata, HDD 6TB, BD-RE, PCIe DVB-T, Win10 pro Accessori: Monitor BenQ 32" 3840×2160 con audio + Philips 17" 1280×1024 Multimedia: Sharp Aquos LE651 60" 1080p 3D, Yamaha HTR-2866 audio 5.1 LFE attivo Fotografia: Canon 80D, 700D, Tam 18-270/3.5-6.3, Sig 8-16/4.5-5.6, Tok 11-16/2.8, Sig 17-50/2.8, Sig 70-200/2.8, Tam 150-600/5-6.3, Sig 10/2.8 fisheye, filtri: CPL, ND |
||
15-05-2017, 11:53 | #24 | |
Senior Member
Iscritto dal: Jan 2008
Messaggi: 8406
|
Quote:
Se crei un malware non vuoi che venga bollato, 5 minuti dopo, da virustotal. Solo che il giochino e' stato implementato male e si e' trasformato in un kill switch. Francamente non capisco perche' cosi' tanta gente si stia arrovellando su quello che e' un banale trick in the box dei creatori di malware. |
|
15-05-2017, 12:04 | #25 |
Senior Member
Iscritto dal: Feb 2009
Messaggi: 50674
|
Ha fatto bene il ragazzo di 22 anni a capire il problema .
Se non lo avesse fatto, se non si fosse accorto che qualcosa non andava.......forse i risultati sarebbero stati peggiori . Bravo
__________________
Aomei in Prog. & Utility - Lic OEM - Q di Merc Ott '22 - W10 Spot Images Seasons from '20 to Summer 2022 - DailyPic dalle Eccezioni alle Unique Images + Rec > DailyPic Unique Images Novembre 2022 |
15-05-2017, 12:06 | #26 |
Senior Member
Iscritto dal: Aug 2008
Città: Firenze
Messaggi: 10331
|
Intanto l'attacco, come previsto da qualcuno, è ripartito in Cina.... Le prime notizie parlano di centinaia di miglia ( ovviamente da verificare come dato ) di computer colpiti!!
Sul pagamento dei riscatti: ci credo che diversi si siano frugati... Una volta installato e partito il worm, sembrerebbe riuscire a resistere ai tentativi di rimozione da parte degli AV.... Magari se su quel computer o su quel server c'è un bell'archivio di cartelle cliniche o altri documenti fondamentali, non rimane molto altro da fare.
__________________
Mac Mini M2 Pro; Apple Studio Display; Logitech MX Keys for Mac; MBA 13" M3; iPod Touch 1st Gen. 8 Gb; iPhone 14 Pro; iPad Air 2020 WiFi 64 Gb, Apple Watch 8... |
15-05-2017, 12:10 | #27 | |
Senior Member
Iscritto dal: Nov 2007
Messaggi: 8368
|
Quote:
spero di esagerare ma mi pare irreale se effettivamente così vediamo a bocce ferme, che per ora è presto |
|
15-05-2017, 12:20 | #28 | |
Senior Member
Iscritto dal: Feb 2009
Messaggi: 50674
|
Quote:
Cina, “centinaia di migliaia” di pc colpiti da attacco WannaCry In Cina Xp è ancora..........al terzo posto con il 19%........ Poi viene W10, con una percentuale, di poco superiore e W7, oltre il 56% . Attaccate anche aziende come Hitachi e Nissan.......... Il Cyberattacco globale Wannacry, l'Asia di nuovo sotto attacco: colpiti Cina e Giappone Sono "centinaia di migliaia" i computer cinesi di 30mila entità diverse colpiti dall'attacco ransomware in corso. Problemi per Hitachi e Nissan in Giappone
__________________
Aomei in Prog. & Utility - Lic OEM - Q di Merc Ott '22 - W10 Spot Images Seasons from '20 to Summer 2022 - DailyPic dalle Eccezioni alle Unique Images + Rec > DailyPic Unique Images Novembre 2022 |
|
15-05-2017, 12:23 | #29 | |
Senior Member
Iscritto dal: Aug 2015
Città: Padova
Messaggi: 582
|
Quote:
E a cosa servono gli ambienti virtuali dove invece un IP viene restituito e l'operazione si interrompe? È la logica che mi sfugge e sto facendo confusione tra cosa serve ai criminali per sviluppare i ransom e farne il debug, e cosa usano gli antivirus. Non lavoro in nessuno dei due ambiti per cui credo che sia normale non capire!
__________________
PC: Thermaltake V31, Asus Z390-H, Intel i7-9700k, 32GB RGB 2666, Nilox 600W, GTX1070, Corsair 100i RGB Pla, SSD 250GB m.2, 1 TB sata, HDD 6TB, BD-RE, PCIe DVB-T, Win10 pro Accessori: Monitor BenQ 32" 3840×2160 con audio + Philips 17" 1280×1024 Multimedia: Sharp Aquos LE651 60" 1080p 3D, Yamaha HTR-2866 audio 5.1 LFE attivo Fotografia: Canon 80D, 700D, Tam 18-270/3.5-6.3, Sig 8-16/4.5-5.6, Tok 11-16/2.8, Sig 17-50/2.8, Sig 70-200/2.8, Tam 150-600/5-6.3, Sig 10/2.8 fisheye, filtri: CPL, ND |
|
15-05-2017, 12:30 | #30 |
Senior Member
Iscritto dal: Oct 2005
Città: Roseto Degli Abruzzi
Messaggi: 11660
|
Mi pare una buffonata, spiego:
Questo si spaccia per salvatore della patria, ma se il gruppo di lamer che ha avviato la pratica, voleva, ci metteva poco e niente a realizzare una variante del virus escludendo/modificando il codice in cui si fa presente che se dominio.xyz non esiste = annulla tutto? Non credo. Qualcuno si fà pubblicità aggratis qui. |
15-05-2017, 12:31 | #31 |
Senior Member
Iscritto dal: Feb 2009
Messaggi: 50674
|
__________________
Aomei in Prog. & Utility - Lic OEM - Q di Merc Ott '22 - W10 Spot Images Seasons from '20 to Summer 2022 - DailyPic dalle Eccezioni alle Unique Images + Rec > DailyPic Unique Images Novembre 2022 |
15-05-2017, 12:59 | #32 | |
Senior Member
Iscritto dal: Jun 2011
Messaggi: 895
|
Quote:
Comunque stanno già girando versioni senza il controllo del dominio. |
|
15-05-2017, 13:14 | #33 | |
Senior Member
Iscritto dal: May 2008
Città: Lucca
Messaggi: 13006
|
Quote:
Leggi il link di unrealizer, spiega tutto in maniera eccellente.
__________________
PC1: Ryzen 5 5600X, 32GB(16x2) Corsair Vengeance RGB Pro 3600MHz, MSI MPG B550 GAMING PLUS, Corsair 275R-Corsair TX650W, Arctic Freezer 34 eSports DUO, Samsung 850 Evo 250GB+MX500 1TB+Seagate 2TB, RTX3070Ti FE, Monitor: AOC D2769VH; |
|
15-05-2017, 13:23 | #34 | |
Member
Iscritto dal: May 2008
Messaggi: 78
|
Quote:
Per evitare di essere riconosciuto come un malware, il programmino in oggetto tenta di capire se sta girando in una di queste sandbox o se è sul PC di un utente. Nel primo caso sta buono e non fa niente di pericoloso, nel secondo crypta il disco. In molti di questi sistemi Antimalware, se il programma prova a contattare un sito Web, gli viene comunque risposto un indirizzo che corrisponde ad un catchall del Sistema che poi analizza il tipo di dati che il programma trasmette, per farsi un'idea più chiara del funzionamento. Quelli che hanno scritto il codice del virus hanno fatto una chiamata ad un dominio insesistente, in questo modo potevano controllare se ricevevano una risposta, e in caso affermativo il programma da per scontato che sta girando in un ambiente non comune e non attiva le routine di cryptaggio dei dati. Il punto è che dopo che il dominio è stato associato ad un indirizzo IP, anche I comuni PC hanno cominciato a rispondere con un indirizzo e adesso, quella versione del virus, è sempre convinta che sta girando in una sandbox e non fa niente. Cia' Andrea |
|
15-05-2017, 13:45 | #35 |
Member
Iscritto dal: Apr 2002
Messaggi: 72
|
parti dal presupposto che di solito le medie e grandi aziende hanno un server DNS interno.
quando tenti di raggiungere un server tramite nome, in primis è il DNS che viene interpellato per risolvere il nome, una volta ottenuto l'IP il pacchetto parte. le analisi di solito vengono effettuate sui pacchetti che escono/entrano. se tu invece tenti di connetterti a un dominio inesistente il DNS non ti risolve nemmeno il nome e non parte nessun pacchetto, quindi diventa più difficile tracciare un'eventuale / potenziale connessione verso l'esterno. e se vuoi sviluppare un malware restando immune, in questo caso basterebbe che il tuo PC risolva il nome, e lo puoi fare a costo 0 inserendo il record nel tuoi hosts (ovviamente questa metodica vale solo per questo caso). e comunque per registrare un dominio ti chiedono un minimo di credenziali, e se è pagamento lasceresti anche un eventuale traccia di movimento dei soldi. tornando a noi credo che sia inutile discutere del perché di questa vulnerabilità del malware, di sicuro avevano le loro ragioni e non le scopriremo mai. |
15-05-2017, 13:46 | #36 | |
Senior Member
Iscritto dal: Jan 2008
Messaggi: 8406
|
Quote:
Le tecniche anti-analisi si basano tutte sul seguire code path innocui, una volta che il malware si e' accorto di essere sotto analisi. Gli ambienti di sandboxing per i malware cercano di simulare un ambiente normale e ovviamente non possono sapere che il malware sta chiedendo l'IP di un dominio inesistente. Un malware che non usi questo trucco, richiede di accedere a domini esistenti, su cui girano i C&C. Solo che fatta la legge si trova l'inganno e gli autori di malware hanno trovato il modo di approfittare di questo comportamento dei tool di analisi. |
|
15-05-2017, 13:54 | #37 | |||
Senior Member
Iscritto dal: May 2006
Città: Milano&Palermo
Messaggi: 10273
|
Quote:
Una delle tecniche di analisi più comune è quella di redirigere tutto il traffico di rete verso una macchina controllata dal ricercatore in modo da poter analizzare cosa effettivamente faccia: è così che si sono accorti che wncry tentava di contattare quel dominio non registrato (infatti nel link in prima pagina spiega che in questi casi è prassi normale registrare il dominio e farlo puntare a un sinkhole, un server controllato "dai buoni" che si comporta come un buco nero in cui tutto il traffico dei malware va a morire. Una delle conseguenze di questa tecnica è che tutte le richieste ai DNS ottengono risposta, anche quelle verso domini che non esistono. La logica di quel virus era "so che questo dominio non esiste, quindi se mi risponde vuol dire che sto girando in sandbox! annulla tutto così non possono analizzarmi!" Il problema è che è stato fatto con il , infatti altri malware più avanzati provano con un tot di domini totalmente random, e se rispondono tutti, soprattutto se con lo stesso IP, si disattivano Questo qui invece usava un unico dominio e per giunta scritto proprio nel codice, è bastato registrarlo per far credere a tutte le copie in giro di essere in sandbox Quote:
Quote:
leggi l'articolo iniziale si, stanno già spuntando altre varianti mutate e si, si fa pubblicità, nel campo della sicurezza funziona così
__________________
PC9Ryzen 9 3900X64GB Vengeance LPXGigabyte RTX3080TiCorsair MP600Aorus Elite X570 - PC10SQ216GB LPDDR4256 GB SSDSurface Pro X - PC11Core i9-9980HK64GB DDR4512GB SSDMacBook Pro 2019 - xboxlivekipters - originkipter - steamkippoz - psnkipters |
|||
15-05-2017, 14:22 | #38 |
Senior Member
Iscritto dal: Sep 2006
Città: Aprilia
Messaggi: 12357
|
pignoleria, l'analisi statica automatica di solito è quella rapida, il disassemblaggio o l'analisi dinamica invece sono più lente
__________________
Quelli che dicevano che era impossibile non hanno mai fatto un tentativo Inventario Steam contattatemi se interessati |
15-05-2017, 14:39 | #39 | |
Senior Member
Iscritto dal: Feb 2009
Messaggi: 50674
|
Quote:
__________________
Aomei in Prog. & Utility - Lic OEM - Q di Merc Ott '22 - W10 Spot Images Seasons from '20 to Summer 2022 - DailyPic dalle Eccezioni alle Unique Images + Rec > DailyPic Unique Images Novembre 2022 |
|
15-05-2017, 14:48 | #40 |
Member
Iscritto dal: Jun 2004
Messaggi: 80
|
Certo che è strano: metti in piedi un attacco mondiale di tale portata (denota un alto livello di competenze in ambito informatico), per poi implementare un sistema di anti analisi così ...banale? (a detta del ricercatore)
Forse al progetto hanno lavorato più persone, ognuna con un ruolo specifico, coordinate da qualcuno. Oppure l'hanno fatto apposta.. però a quale scopo? |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 21:30.