Attacco hacker Wannacry: ecco come è stato rallentato grazie ad un dominio da 10 dollari

Redazione di Hardware Upg · 15-05-2017, 09:01

Link alla notizia: http://www.hwupgrade.it/news/sicurez...ari_68647.html

Un giovane ricercatore britannico ha capito che qualcosa non andava nella giornata dell'attacco hacker più importante di tutti i tempi. Acquistato un dominio da soli 10 dollari è riuscito a rallentare il sistema che ha mandato in tilt mezza europa. Ecco come.

Click sul link per visualizzare la notizia.

AlexSwitch · 15-05-2017, 09:15

Complimenti, per prima cosa, al giovane ricercatore che si è messo a sezionare il worm immediatamente, trovando questa sicura nel suo codice.
Ma anche qui nascono dei dubbi, delle domande.... Perchè mettere una sicura per interrompere la diffusione del worm? Chi o cosa non doveva essere toccato?

Phoenix Fire · 15-05-2017, 09:29

Quote:

Originariamente inviato da AlexSwitch

Complimenti, per prima cosa, al giovane ricercatore che si è messo a sezionare il worm immediatamente, trovando questa sicura nel suo codice.
Ma anche qui nascono dei dubbi, delle domande.... Perchè mettere una sicura per interrompere la diffusione del worm? Chi o cosa non doveva essere toccato?

mi unisco ai complimenti e anche a me sorge quel dubbio, magari a un certo punto volevano fermare l'infezione o boh

gd350turbo · 15-05-2017, 09:33

Secondo me , c'è qualcosa di grosso dietro...
Ma di grosso grosso !

Portocala · 15-05-2017, 09:34

Il ransomware deve contattare qualcuno, perchè in teoria, pagando, dovresti avere il codice di sblocco.

Quote:

nella giornata di venerdì è stato portato avanti su milioni e milioni di computer di tutta Europa

Bruno please.... Studio Aperto ti sta cercando

Unrealizer · 15-05-2017, 09:37

Quote:

Originariamente inviato da AlexSwitch

Complimenti, per prima cosa, al giovane ricercatore che si è messo a sezionare il worm immediatamente, trovando questa sicura nel suo codice.
Ma anche qui nascono dei dubbi, delle domande.... Perchè mettere una sicura per interrompere la diffusione del worm? Chi o cosa non doveva essere toccato?

(non ho letto quest'articolo, ma ho letto il postmortem originale scritto della persona in oggetto)

nell'articolo dice che probabilmente era una misura anti analisi pensata male e implementata peggio più che una sicura

Quote:

Originariamente inviato da gd350turbo

Secondo me , c'è qualcosa di grosso dietro...
Ma di grosso grosso !

si, la grossa incoscienza di chi si ostina ad usare sistemi fuori supporto e/o si ostina a non voler fare gli aggiornamenti

Mars4ever · 15-05-2017, 09:48

Quote:

Originariamente inviato da AlexSwitch

Ma anche qui nascono dei dubbi, delle domande.... Perchè mettere una sicura per interrompere la diffusione del worm? Chi o cosa non doveva essere toccato?

Gran bella domanda, ma quella vera è "se si tratta di una sicura, perché i criminali hanno inserito nel codice il richiamo a un dominio inesistente? Se c'era un motivo per decidere quando interrompere la diffusione, perché non mettere un indirizzo controllato e semplicemente cambiare una variabile al suo interno al momento desiderato, invece di lasciare la possibilità di farlo a chiunque?

E come ha fatto il tizio a scoprire che wanacry cercava di contattare quel dominio?

Ork · 15-05-2017, 09:48

un eroe che forse voleva arrotondare con qualche banner visti i 6mila accessi al secondo.
Però forse sono troppo cinico e non vedo la bontà d'animo nelle persone.

Unrealizer · 15-05-2017, 10:03

Quote:

Originariamente inviato da Mars4ever

Gran bella domanda, ma quella vera è "se si tratta di una sicura, perché i criminali hanno inserito nel codice il richiamo a un dominio inesistente? Se c'era un motivo per decidere quando interrompere la diffusione, perché non mettere un indirizzo controllato e semplicemente cambiare una variabile al suo interno al momento desiderato, invece di lasciare la possibilità di farlo a chiunque?

Leggi l'articolo che ho linkato sopra

Quote:

E come ha fatto il tizio a scoprire che wanacry cercava di contattare quel dominio?

wireshark e IDA

Quote:

Originariamente inviato da Ork

un eroe che forse voleva arrotondare con qualche banner visti i 6mila accessi al secondo.
Però forse sono troppo cinico e non vedo la bontà d'animo nelle persone.

leggi l'articolo che ho linkato, è il suo lavoro

VashXP · 15-05-2017, 10:06

se vuoi fare un'attacco biologico, prima ti assicuri di avere l'antidoto...
lo scopo non era quello di fare il danno, ma puramente economico, i danni da noi subiti sono solo un effetto collaterale.

e comunque puntare a un indirizzo esistente è la scelta meno consigliabile, in quanto sarebbe tutto tracciabile, maggior ragione se puoi ci devi anche accedere per modificare le variabili.
meglio puntare a qualcosa che non esiste e che non sia di nessuno.

e comunque era un danno facilmente evitabile tenendo aggiornati i propri sistemi, la vulnerabilità del SMB v1 microsoft l'aveva già risolto a marzo.

DjLode · 15-05-2017, 10:08

Quote:

Originariamente inviato da Unrealizer

(non ho letto quest'articolo, ma ho letto il postmortem originale scritto della persona in oggetto)

Interessante, grazie!

Ork · 15-05-2017, 10:18

Quote:

Originariamente inviato da Unrealizer

leggi l'articolo che ho linkato, è il suo lavoro

letto. Si ora è più chiaro e specifico.

AlexSwitch · 15-05-2017, 10:18

Quote:

Originariamente inviato da VashXP

se vuoi fare un'attacco biologico, prima ti assicuri di avere l'antidoto...
lo scopo non era quello di fare il danno, ma puramente economico, i danni da noi subiti sono solo un effetto collaterale.

e comunque puntare a un indirizzo esistente è la scelta meno consigliabile, in quanto sarebbe tutto tracciabile, maggior ragione se puoi ci devi anche accedere per modificare le variabili.
meglio puntare a qualcosa che non esiste e che non sia di nessuno.

e comunque era un danno facilmente evitabile tenendo aggiornati i propri sistemi, la vulnerabilità del SMB v1 microsoft l'aveva già risolto a marzo.

Ma non è nella logica di chi crea un virus o un worm informatico, visto che gli antidoti vengono lasciati sviluppare ad altri....
Così come comunque mettere " in chiaro " un indirizzo, seppur inesistente, per rallentare od arrestare l'infezione... Se lo scopo è quello di tirare più soldi possibile senza fare troppi danni, poteva essere benissimo implementato un contatore che dopo tot exploit inibisse la replicazione del worm.

pabloski · 15-05-2017, 10:19

Quote:

Originariamente inviato da Mars4ever

Gran bella domanda, ma quella vera è "se si tratta di una sicura, perché i criminali hanno inserito nel codice il richiamo a un dominio inesistente?

Perche' i tool automatici che analizzano i malware rispondono a tutte le richieste DNS che gli arrivano ( spesso inviando sempre lo stesso IP ).

Il malware sa che quel dominio non e' registrato, per cui la relativa richiesta DNS dovrebbe produrre un errore invece di restituire un IP. Se restituisce un IP, allora significa che il malware sta girando nella sandbox di uno di questi tool. E' una banale misura anti-analisi.

Ovviamente il giochino funziona finche' qualcuno appunto non registra per davvero quel dominio.

GTKM · 15-05-2017, 10:19

Quote:

Originariamente inviato da AlexSwitch

Ma non è nella logica di chi crea un virus o un worm informatico, visto che gli antidoti vengono lasciati sviluppare ad altri....
Così come comunque mettere " in chiaro " un indirizzo, seppur inesistente, per rallentare od arrestare l'infezione... Se lo scopo è quello di tirare più soldi possibile senza fare troppi danni, poteva essere benissimo implementato un contatore che dopo tot exploit inibisse la replicazione del worm.

Secondo me, dietro c'è molto più di quello che immaginiamo noi.

Wikkle · 15-05-2017, 10:20

Quote:

Oltretutto in queste ore stiamo inviando gli IP infetti alle autorità, in modo che possano comunicarlo alle vittime, molte ancora ignare.

Ma come possono le autorità avvisare gli utenti???
Avere l'IP degli interessati non equivale ad avere numero di telefono o email.

Come fanno???

VashXP · 15-05-2017, 10:40

scusa AlexSwitch, ma cosa ne sai tu della logica di chi crea i virus?
"Se lo scopo è quello di tirare più soldi possibile senza fare troppi danni", questo lo dici tu.
evidentemente avevano le loro ragioni per inserire un check simile e a fatto compiuto è palese che pur di tirare su qualche soldino non si sono minimamente preoccupati di fare danno.
e cmq puntare su un dominio già esistente è nettamente più pericoloso, dal punto di vista dell'analisi di sicurezza che di tracciabilità.

questo non è un'attacco fatto da un ragazzino che voleva mettersi in mostra.
è stata pianificata con grande meticolosità da più soggetti e già da molto tempo, ma sopratutto con uno scopo ben preciso.

nickmot · 15-05-2017, 11:06

Quote:

Originariamente inviato da Unrealizer

(non ho letto quest'articolo, ma ho letto il postmortem originale scritto della persona in oggetto)

nell'articolo dice che probabilmente era una misura anti analisi pensata male e implementata peggio più che una sicura

Grazie!
Un articolo davvero interessante!

s-y · 15-05-2017, 11:10

Quote:

Originariamente inviato da Wikkle

Ma come possono le autorità avvisare gli utenti???
Avere l'IP degli interessati non equivale ad avere numero di telefono o email.

ma una localizzazione geografica si, oltre a chi 'appartiene' la sub/super net, ovviamente
cmq sia avvisano le autorità preposte, mica gli utenti (sono poi i provider che sanno a che loro utenze corrispondono, che btw non penso aspettino le segnalazioni esterne, almeno spero...)

ps: basta provare a fare un mero whois sul proprio ip pubblico (a meno di meccanismi di nat a monte, in tal caso l'ip pubblico lo sa solo il provider) ad esempio
ps2: poi in realtà gli stessi potrebbero anche scriptare il tutto e inviare automaticamente direttamente agli indirizzi 'abuse' che outputta il whois stesso...

illidan2000 · 15-05-2017, 11:25

Quote:

Originariamente inviato da VashXP

scusa AlexSwitch, ma cosa ne sai tu della logica di chi crea i virus?
"Se lo scopo è quello di tirare più soldi possibile senza fare troppi danni", questo lo dici tu.
evidentemente avevano le loro ragioni per inserire un check simile e a fatto compiuto è palese che pur di tirare su qualche soldino non si sono minimamente preoccupati di fare danno.
e cmq puntare su un dominio già esistente è nettamente più pericoloso, dal punto di vista dell'analisi di sicurezza che di tracciabilità.

questo non è un'attacco fatto da un ragazzino che voleva mettersi in mostra.
è stata pianificata con grande meticolosità da più soggetti e già da molto tempo, ma sopratutto con uno scopo ben preciso.

beh, poteva pure non farlo proprio il controllo e infettare senza ritegno alcuno...

15-05-2017, 09:15	#2
AlexSwitch Senior Member Iscritto dal: Aug 2008 Città: Firenze Messaggi: 8459	Complimenti, per prima cosa, al giovane ricercatore che si è messo a sezionare il worm immediatamente, trovando questa sicura nel suo codice. Ma anche qui nascono dei dubbi, delle domande.... Perchè mettere una sicura per interrompere la diffusione del worm? Chi o cosa non doveva essere toccato? __________________ iMac 21,5" ( late 2013 ); iPod Touch 1st Gen. 8 Gb; iPhone Xs; iPad Air 2020 WiFi 64 Gb, Apple Watch 2...flickr

15-05-2017, 09:01	#1
Redazione di Hardware Upg www.hwupgrade.it Iscritto dal: Jul 2001 Messaggi: 75178	Link alla notizia: http://www.hwupgrade.it/news/sicurez...ari_68647.html Un giovane ricercatore britannico ha capito che qualcosa non andava nella giornata dell'attacco hacker più importante di tutti i tempi. Acquistato un dominio da soli 10 dollari è riuscito a rallentare il sistema che ha mandato in tilt mezza europa. Ecco come. Click sul link per visualizzare la notizia.

15-05-2017, 09:33	#4
gd350turbo Senior Member Iscritto dal: Feb 2003 Città: Mo<->Bo Messaggi: 35819	Secondo me , c'è qualcosa di grosso dietro... Ma di grosso grosso !

15-05-2017, 09:48	#8
Ork Senior Member Iscritto dal: Aug 2004 Città: Verona Messaggi: 2356	un eroe che forse voleva arrotondare con qualche banner visti i 6mila accessi al secondo. Però forse sono troppo cinico e non vedo la bontà d'animo nelle persone.

15-05-2017, 10:06	#10
VashXP Member Iscritto dal: Apr 2002 Messaggi: 72	se vuoi fare un'attacco biologico, prima ti assicuri di avere l'antidoto... lo scopo non era quello di fare il danno, ma puramente economico, i danni da noi subiti sono solo un effetto collaterale. e comunque puntare a un indirizzo esistente è la scelta meno consigliabile, in quanto sarebbe tutto tracciabile, maggior ragione se puoi ci devi anche accedere per modificare le variabili. meglio puntare a qualcosa che non esiste e che non sia di nessuno. e comunque era un danno facilmente evitabile tenendo aggiornati i propri sistemi, la vulnerabilità del SMB v1 microsoft l'aveva già risolto a marzo.

15-05-2017, 10:40	#17
VashXP Member Iscritto dal: Apr 2002 Messaggi: 72	scusa AlexSwitch, ma cosa ne sai tu della logica di chi crea i virus? "Se lo scopo è quello di tirare più soldi possibile senza fare troppi danni", questo lo dici tu. evidentemente avevano le loro ragioni per inserire un check simile e a fatto compiuto è palese che pur di tirare su qualche soldino non si sono minimamente preoccupati di fare danno. e cmq puntare su un dominio già esistente è nettamente più pericoloso, dal punto di vista dell'analisi di sicurezza che di tracciabilità. questo non è un'attacco fatto da un ragazzino che voleva mettersi in mostra. è stata pianificata con grande meticolosità da più soggetti e già da molto tempo, ma sopratutto con uno scopo ben preciso.

Strumenti
Mostra una versione stampabile Invia questa pagina per email