I componenti finora rilevati sono stati passati al setaccio dai ricercatori. Tra questi, l’analisi di una nuova componente, la seconda, di mssecmgr.ocx (con hash md5: ee4b589a7b5d56ada10d9a15f81dada9) ci porta al 9 dicembre del 2008, circa 3 anni e mezzo fa.

Facciamo un passo indietro. Dal report di CrySyS Lab l’analisi della prima componente di mssecmgr.ocx riporta tra le informazioni contenute nella entry Debug un TimeDateStamp: Aug 31 2011.

Nella giornata di ieri, il gruppo di ricerca AlienVault ha pubblicato i risultati dell’analisi della nuova componente (mssecmgr.ocx) di cui è venuta in possesso. Questa volta è la Export Table a rivelare la nuova data 2008-12-09, chiaramente differente da quella di compilazione presente nell’header che risulta falsata: 1993-08-11.

Ecco alcune delle informazioni interessanti sul nuovo mssecmgr.ocx ottenute analizzando la componente con peframe.

$ python peframe.py --hash mssecmgr.ocx

MD5 : ee4b589a7b5d56ada10d9a15f81dada9
SHA1: 005a0a4a931333f05dc16c73224e5b9b42e83836

Contenuto dell’header (peframe con opzione –info), data falsata:

$ python peframe.py --info mssecmgr.ocx

Optional Header: 0x10000000
Address Of Entry Point: 0x13ba30
Compile Time: 1993-08-11 01:32:26
Subsystem: IMAGE_SUBSYSTEM_WINDOWS_GUI
Required CPU type: IMAGE_FILE_MACHINE_I386
Number of RVA and Sizes: 16
DLL: True
Number of Sections: 3

Contenuto della Export Table (peframe con opzione –export), la nuova data:

$ python peframe.py --export mssecmgr.ocx

[IMAGE_EXPORT_DIRECTORY]
0x5F694 0x0 Characteristics: 0x0
0x5F698 0x4 TimeDateStamp: 0x493EA336 [Tue Dec 9 16:56:22 2008 UTC]
0x5F69C 0x8 MajorVersion: 0x0
0x5F69E 0xA MinorVersion: 0x0
0x5F6A0 0xC Name: 0x13C4EE
0x5F6A4 0x10 Base: 0x1
0x5F6A8 0x14 NumberOfFunctions: 0x5
0x5F6AC 0x18 NumberOfNames: 0x5
0x5F6B0 0x1C AddressOfFunctions: 0x13C4BC
0x5F6B4 0x20 AddressOfNames: 0x13C4D0
0x5F6B8 0x24 AddressOfNameOrdinals: 0x13C4E4

Le informazioni su eventuali packer utilizzati per la compressione (peframe con opzione –peid)

$ python peframe.py --peid mssecmgr.ocx

[['ACProtect 1.3x - 1.4x DLL -> Risco Software Inc.']
['UPX v0.89.6 - v1.02 / v1.05 - v1.22']
['UPX v0.89.6 - v1.02 / v1.05 - v1.22 DLL']]

L’analisi di CrySyS Lab, che lo identifica come sKyWIper, pare sia quella più dettagliata, e si evince anche il motivo per cui Kaspersky Lab lo abbia battezzato The Flame.

Il target, come nei casi precedenti, è ancora una volta l’Iran e lo spionaggio industriale. In Italia non è stata rilevata alcuna infezione.

Un ottimo resoconto lo trovate sul blog di Paolo Passeri

Per la gioia degli utenti Windows il tool è scritto in python.

Prima

Dopo

Link: www.devbug.co.uk

Decimale
26-6-21-44-27-6-60-32-29-54-61-50-27-6-16

ASCII
a-G-V-s-b-G-8-g-d-2-9-y-b-G-Q

Se fosse stato presentato in questo modo aGVsbG8gd29ybGQ= avreste riconosciuto immediatamente il tipo di codifica. Magari dal carattere uguale (= o ==) che chiude la stringa. Vi consiglio comunque di non lasciarvi ingannare da quei simboli perchè rappresentano le coppie (1 o 2) di bit nulli (00) mancanti per completare il gruppo e arrivare a 6.

Vediamo passo passo come arrivare alla codifica.

Il primo step riguarda la conversione da ASCII in binario (8 bit)

h - 01101000
e - 01100101
l - 01101100
l - 01101100
o - 01101111
  - 00100000
w - 01110111
o - 01101111
r - 01110010
l - 01101100
d - 01100100

Gli step successivi sono: suddivisione in gruppi di 6 bit, conversione in decimale e in fine la (ri)conversione in ASCII.

011010 - 26 - a
000110 -  6 - G
010101 - 21 - V
101100 - 44 - s
011011 - 27 - b
000110 -  6 - G
111100 - 60 - 8
100000 - 32 - g
011101 - 29 - d
110110 - 54 - 2
111101 - 61 - 9
110010 - 50 - y
011011 - 27 - b
000110 -  6 - G
0100oo - 16 - Q

Come potete notare, fermandoci al penultimo step otteniamo la sequenza di numeri proposta nell’enigma. I bit nulli (00) in coda all’ultimo gruppo (in cui erano rimasti solo 4 bit) sono quelli necessari per arrivare a 6 bit. Ecco spiegata la presenza del simbolo uguale (=) spesso (ma non sempre) in coda alla stringa in Base64.

26-6-21-44-27-6-60-32-29-54-61-50-27-6-16

Decifrare questa sequenza di numeri, senza che venga fornito un indizio a cui appigliarsi, credo sia realmente difficile.

(Tutta colpa di Touch. Mi sta dando alla testa)

Google Checkout

Attraverso l’injection di nuovi moduli scritti ad hoc e un po’ di social engineering ZeuS trae in inganno le proprie vittime proponendo loro un (falso) layer di sicurezza. Lo scopo è sempre lo stesso: sottrarre numero di carta, data di scadenza, codice di sicurezza e PIN.

Si parla di una nuova variante ma conoscendo il modus operandi delle versioni precedenti il vecchio builder non avrebbe avuto difficoltà a compilare i nuovi moduli aggiunti al file di configurazione per le web injection.

Foto di nudo scattate in casa dal telefonino, altre da una fotocamera. Successivamente le foto vengono esportate dai dispositivi e riversati sul mac dell’attrice Carolina Dieckmann. Pochi giorni fa, venerdì 4 maggio, le foto finiscono su internet e i link rimbalzano immediatamente su twitter e altri social network.

Il tutto è avvenuto in seguito ad una serie di ricatti, durati due settimane, attraverso messaggi di posta elettronica in cui veniva richiesta in maniera esplicita la cifra di 10.000$ per non procedere con la divulgazione. Insomma un ricatto.

Il computer viene sottoposto a perizia. I sospetti ricadono anche sul centro assistenza Apple dove in passato era stato consegnato il mac dell’attrice e dove qualcuno si sarebbe potuto impossessare del materiale.

Vi state ancora chiedendo qual è la morale della favola?

Il DDoS condotto su una macchina o un sistema di front-end infatti potrebbe propagarsi all’interno inficiando anche i sistemi o le applicazioni utilizzate dentro l’infrastruttura. A quel punto tutte le belle idee del tipo “ma tanto al massimo il sito non è raggiungibile” si vanno a far friggere. E’ questo il cosiddetto effetto domino e qui ne avete un esempio “reale”.

Buona lettura

Installare i seguenti pacchetti

sudo apt-get install sqsh
sudo apt-get install freetds

Editare freetds.conf

nano /etc/freetds/freetds.conf

Aggiungere il proprio host

# A typical Microsoft server
[myhost]
      host = myhost.domain.com
      port = 1433
      tds version = 7.0

Connettersi al DB ed eseguire la Query

sqsh -S myhost -D dbname -U username -P password -X -i $QUERYFILE

Aggiungendo l’opzione -o $FILENAME l’output ottenuto verrà scritto su un file di testo.