91
dicembre 2012, nel periodo natalizio, quando gli
staff di sicurezza informatica sono ridotti: questo
ha consentito al malware di rimanere sul sito per
un tempo non breve. I colpiti dal malware furono
quindi ‘solo’ i nuovi visitatori che accedevano con
un browser Internet Explorer v8 configurato per le
lingue inglese, cinese, giapponese, coreano, rus-
so. Gli attaccanti hanno inserito nel sito web un
malware ‘cavallo di troia’ capace di sfruttare una
vulnerabilità delle vecchie versioni (dalla 6 alla 8)
del browser Microsoft.
Il sofisticato malware ha operato nel seguente modo:
1. Verifica del browser e della sua configurazione
con un JavaScript;
2. Il codice maligno in JavaScript ha forzato un
downoload di un file immagine (xsainfo.jpg) nella
cache del browser usando una tecnica di attacco
chiamata ‘drive-by cache’.
3. Questo file immagine è il ‘dropper’, ossia il vetto-
re che installa un codice maligno nell’end-point
(pc, tablet, smatphone) per nascondersi ai sistemi
antimalware; il file immagine viene decodificato
come un DLL e archiviato nel folder %TEMP%
sempre come una immagine .jpg.
4. Il malware JavaScript a questo punto attiva Flash
di Adobe per sfruttare una vulnerabilità di In-
ternet Explorer v8 e attivare un attacco ‘heap
spray’. Con questo termine si indica una tecnica
utilizzata per facilitare l’esecuzione di codice ma-
ligno: viene inserita una sequenza di byte nella
memoria, per esempio cache, di un programma
attivo, per esempio il browser;
5. L’end-point, pc o tablet o smartphone, è ora in-
fettato e può iniziare l’individuazione ed il furto
delle informazioni dell’utente.
6. Il malware in JavaScript non ha ancora finito il suo
compito: per infettare altri nuovi utenti, mette in
esecuzione il codice binario dal file ‘shiape.exe’
posto nel folder %TEMP%. Questo programma
effettua un ‘code injection’ nell’eseguibile del
browser, iexplore.exe, e si installa come file di
programma modificando il registro del compu-
ter. Il codice maligno si registra come ‘DirectDB.
exe’ e ad ogni nuovo login di utente infetta il suo
browser come già descritto.
Cosa bisogna fare
Questa breve descrizione fa capire la sofisticazione
e la complessità di un tipico attacco watering hole,
che presuppone l’inserimento del codice maligno
sul server del sito web in modo tale che sia diffi-
cile da scoprire. Nel caso CFR è stata usata una
backdoor, il codice è stato camuffato, da immagine,
e sono stati creati diversi file (oggetti multipli) con
codice maligno, così da rendere più difficile la loro
complessiva individuazione. I tradizionali e diffusi
metodi di difesa, come gli antivirus, non risultano
sufficienti a individuare e contrastare questo tipo
di attacco.
La vulnerabilità zero-day di IE v8 è stata classifi-
cata CVE-2012-4792 e a fine dicembre 2012 Micro-
soft ha rilasciato un ‘security advisory’. Le versio-
ni successive di IE non hanno tali vulnerabilità, e
questo evidenzia come una delle prime regole di
prevenzione sia aggiornare sistematicamente ogni
programma software all’ultima versione rilasciata.
Altri strumenti e metodiche possono aiutare a in-
dividuare e contrastare simili attacchi. Tra queste:
•
Sistematica analisi delle vulnerabilità per i propri
ambienti informatici consultando le varie banche
dati disponibili, in primis la CVE (Common Vul-
nerabilities and Exposures, cve.mitre.org) .
•
Rafforzamento (hardening) della sicurezza all’end-
point, per esempio non consentendo l’uso di plu-
gin se non necessari.
•
Analisi del traffico attraverso diverse metodiche
e strumenti.
•
Analisi del comportamento dei sistemi, in partico-
lare degli end-point, per l’individuazione di questi
tipi di attacchi: è un confronto tra un utilizzo in
condizioni normali e uno con sistemi “sospetti”.
•
Uso di strumenti di mitigazione delle vulnerabi-
lità.
Marco Bozzetti
giugno 2013
