Nuovo Virus " Chuck Norris "

Chuck Norris potrebbe fare breccia nel vostro router. Ricercatori della Repubblica Ceca hanno scoperto l'espansione di una botnet, denominata come il famoso attore statunitense, che si sta diffondendo sfruttando le password troppo semplici di parecchi router e modem DSL.

L'attacco sembrerebbe avere un tocco italiano, infatti nel codice del malware si può leggere un chiaro e inequivocabile "in nome di Chuck Norris", ormai una divinità  tra il popolo dei netizen tricolore.

Secondo gli esperti "Chuck Norris è insolito perché infetta modem DSL e router anziché PC", riporta ComputerWorld. I ricercatori, inoltre, sottolineano che è in grado di sfruttare anche una vulnerabilità nota dei prodotti D-Link.

Al momento non si conosce la grandezza della botnet, che ha già colpito in Europa, Sud America e Asia.

Una volta raggiunti dal malware, Chuck Norris non solo blocca le porte di comunicazione remote e tenta di propagarsi, ma può anche cambiare le impostazioni DNS (Domain Name System) del router, dirottando le ignare vittime su pagine web piene zeppe di virus.

Per ogni male, però, c'è un rimedio - ed è anche abbastanza semplice: impostate una password del router più complicata, oppure non dovete far altro che spegnere e riaccendere il router. Chuck Norris, infatti, vive nella RAM del dispositivo, una memoria di tipo volatile che senza costante alimentazione perde i dati immagazzinati.

Fonte : http://www.tomshw.it
Pubblicato da alle Nessun commento:

Trojan.Hydraq Exposed

The post describes functionality (static analysis) of the trojan that was reported in the recent targeted attacks against some large companies.

Trojan.Hydraq trojan is a DLL that runs as a service within the context of the system process svchost.exe.

In order to be executed within the process svchost.exe at the system startup, the trojan employs no injection techniques - this is achieved with the steps described below.

Firstly, the trojan registers itself as a system service RaS[4 random characters] by creating registry entries under the newly created key:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RaS[4 random characters]

The "ImagePath" value of its service registry key is set to start svchost.exe, as shown below:

"ImagePath" = %SystemRoot%\system32\svchost.exe -k netsvcs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RaS[4 random characters]

This will force the system process svchost.exe to look up its multi-string value "netsvcs", load all services specified in it into its address space, and then call their ServiceMain() exports.

To make svchost.exe aware of its existence and be loaded too, the trojan adds its service name into the list of strings (service names) stored in the value "netsvcs" of the registry key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

To make sure its service name is added to the list of services only once, the trojan queries the contents of the value "netsvcs" to make sure that the multiple strings stored in that value do not contain any string that starts from "RaS" (case-sensitive).

Other parameters of the newly installed service are specified in the values:

ObjectName = LocalSystem
Type = dword:0x20 (a win32 service that can share a process with other win32 services)
Start = 2 (to be loaded automatically for all startups)

of the registry key:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RaS[4 random characters]

Finally, to let svchost.exe process know where to load the DLL from, the image path of the trojan's service DLL is saved by setting the value:

ServiceDll = [path to trojan DLL]

of the registry key:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RaS[4 random characters]\Parameters

The file name of the trojan DLL is retrieved by calling GetModuleFileNameA() API, as the trojan knows its name may vary.

For instance, the trojan can create a copy of itself under a random filename in the %TEMP% directory; if it locates a file %TEMP%\c_1758.nls, it may rename that file under a different file name.

NOTE: %TEMP% is a variable that refers to the temporary folder in the short path form. By default, this is C:\Documents and Settings\[UserName]\Local Settings\Temp\ (Windows NT/2000/XP), or C:\User\[UserName]\AppData\Local\Temp (Windows Vista, Windows 7).

The Hydraq trojan installs a backdoor trojan that listens for incoming commands. The commands allow the trojan to perform multiple actions - the trojan organizes them into groups - these commands are enlisted below with the [group number].[internal command number] prefixes:



* [0.0] adjust token privileges

* [0.1] terminate processes


* [1.0] enumerate name and status for all system services

* [1.1] control arbitrary services

* [1.2] query status for arbitrary services


* [2.0] receive remote file and save it as %TEMP%\mdm.exe, then launch it by using command control program %SYSTEM%\cmd.exe


* [3.0] enumerate registry keys under the specified key

* [3.1] enumerate registry values for the specified key

* [3.3] query registry values

* [3.4] set registry values conditionally

* [3.5] set registry values unconditionally

* [3.6] delete registry keys

* [3.7] create registry keys conditionally

* [3.8] create registry keys unconditionally


* [4.0] retrieve the list of logical drives on a system

* [4.1] read files from the local file system

* [4.2] execute arbitrary files

* [4.3] copy files in the local file system

* [4.4] delete arbitrary directories

* [4.5] rename files

* [4.6] change file attributes


* [5.1] power off computer

* [5.2] reboot Windows

* [5.3] uninstall itself by deleting the registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RaS[4 random characters]

* [5.5] clear all system event logs (application, security, and system pools)


* [6.0] enumerate files in the specified path


* [7.11] check if %SYSTEM%\acelpvc.dll is present - if it is present, load it and call its EntryMain() export; check the presence of the DLL %SYSTEM%\VedioDriver.dll


* [9.1] open the file %SYSTEM%\drivers\etc\networks.ics and read 616 bytes from it

* [9.2] delete the file %SYSTEM%\drivers\etc\networks.ics


In addition to the commands enlisted above, the trojan retrieves CPU speed by querying the "~MHz" value from the registry key:

HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0

The stolen details are then delivered to the remote site.

Hydraq trojan is capable to keep inter-process communications with other components via a named pipe - a separate thread is spawned for that purpose.

Internal data or configuration is stored by the trojan in the values "IsoTp" and "AppleTlk" in the dedicated registry key:
HKEY_LOCAL_MACHINE\Software\Sun\1.1.2

Fonte : http://blog.threatexpert.com
Pubblicato da alle Nessun commento:

Threat Resource Center

Pubblicato da alle Nessun commento:

Tenix Data Diode: La sicurezza certificata EAL7

La certificazione EAL è probabilmente tra quelle più stringenti attualmente utilizzate in ambito security. Prossimamente scriverò un analisi approfondita dei Common Criteria e delle certificazioni EAL. Fino ad oggi un unico prodotto di sicurezza è riuscito a conseguire la certificazione EAL7 ovvero la più alta ottenibile: Stiamo parlando dell’Interactive Link Data Diode della Tenix.
Questo particolare Device promette di dividere fisicamente due segmenti di rete, garantendo un sicurezza completa in quanto il link avviene a livello hardware senza essere elaborato da firmware o componenti software poste sul device.

Tramite questo aggeggio avremo quindi la possibilità di reperire un contenuto remoto posto su una rete con un grado di sicurezza più basso senza che sia possibile inviare informazioni all’esterno. Le informazioni viaggieranno attraverso il diodo in un solo ed unico senso tramite la fibra ottica in ingresso ed uscita.

Questo prodotto, oltre a garantire un isolamento completo tra due reti con tipologie diverse di dati offre una buona protezione da tentativi di intercettazione basati su tecnologie TEMPEST dovuta all’assenza di firmware ed al passaggio unicamente ottico.

Sicuramente è un prodotto unico nel suo genere e offre funzionalità che difficilmente trovano esempi nella vita di tutti i giorni, ma si tratta dell’ennersimo prodotto che offre standard di sicurezza a livello militare.
Nell’esempio qui riportato, tratto questo paper dell’Università dell’Iowa, vediamo uno dei campi di applicazione del data diode. in questo specifico campo di applicazione riguardante un sistema di votazioni politiche elettroniche abbiamo due reti locali distinte nel seguente modo:

* La rete del seggio: Viene raccolto un dato dai terminali di voto, niente devo poter entrare ma il dato deve poter uscire per arrivare allo scrutinio.

* La rete dello scrutinio: Viene elaborato il dato, niente deve poter uscire ma il dato deve poter entrare per essere elaborato.

In questo caso l’Interactive Link Data Diode garantisce l’isolamento tra le due reti e permette il funzionamento del sistema di voto riducendo notevolmente il rischio di attacchi o di manomissioni. Nessun firewall può competere con le leggi fisiche che regolano il funzionamento di un diodo e che garantiscono un alto margine di riduzione del rischio delle reti critiche.
Fonte :  http://www.neverwhere.it

Pubblicato da alle Nessun commento:

Niente sesso sull’iPhone: utenti in rivolta

La ‘polizia’ Apple pattuglia gli iPhone e rimuove dai suoi ‘negozi’ migliaia di applicazioni ’sexy’. Sarebbero circa 5.000 i programmi che la casa di Cupertino ha tolto dai suoi scaffali virtuali a causa di ”un aperto contenuto sessuale”. Lo riportano vari siti americani tra cui Tech Crunch. ”A questo punto l’esatta natura del bando non e’ chiara”, scrive Tech Crunch osservando che la decisione, quale che sia la sua portata, ha messo in allarme molti programmatori, non solo quelli che producono applicazioni con contenuti sexy.

Secondo Tech Crunch, al momento di scrivere, su iTunes erano ancora disponibili numerose ‘apps’ con nomi tipo Magic Boobs (tette magiche), ma un controllo successivo ha rivelato che di ‘tette’, magiche o no, e’ sparita ogni traccia. Secondo Jon Atherton, un programmatore responsabile per l’app Wooble (fa ballonzolare parti anatomiche), il bando sarebbe arrivato a riguardare addirittura immagini di donne in bikini o parole allusive a contenuti sessuali.
”Ogni volta che riceviamo proteste da parte del pubblico sui contenuti di un app le esaminamo con attenzione e, se del caso, la rimuoviamo dal negozio”, ha detto a Tech Crunch un portavoce della Apple. Ma intanto c’e’ chi protesta che il controllo esercitato dalla casa madre sarebbe eccessivo e reclama la creazione di un ”quartiere a luci rosse’ nei negozi Apple.
http://techblog.tgcom.it


 
Pubblicato da alle Nessun commento:

Cina-Usa: migliaia di imprese spiate da hackers

Gli hacker cinesi non minacciano solo il server di Google, ma stanno spiando alcune migliaia di aziende e istituzioni americane.
Gli hacker cinesi non minacciano solo il server di Google, ma stanno spiando alcune migliaia di aziende e istituzioni americane. Tra queste ci sarebbero anche organizzazioni che si occupano di sicurezza nazionale.
Lo denuncia l’ultimo rapporto di Mandiant, una grande impresa statunitense, che ha sede in Virginia e si occupa di sicurezza informatica.
Secondo questo studio, diffuso dalla rivista Wired, gli attacchi informatici non puntano più a carpire all’improvviso i segreti delle aziende, ma ormai sorvegliano costantemente nel tempo, a volte anche per anni in modo consecutivo, ogni attività delle loro vittime.
Per spiegare questa minaccia sofisticata e permanente è stato inventato un neologismo con tanto di sigla, Atp, che sta per Advanced Persistent Threats.
Secondo Mandiant nessuno è immune da questi attacchi difficili da intercettare, che appaiono sempre più ben congeniati e sempre più raffinati. L’anno scorso, ad esempio, un contractor della Difesa americana ha scoperto ben cento sistemi di comunicazione nella sua rete ormai compromessi da alcuni intrusi che lo stavano spiando almeno dal 2007.
Fonte : http://www.blitzquotidiano.it


 
Pubblicato da alle Nessun commento:

Massiccio attacco hacker mondiale, colpiti 196 paesi

L'attacco hacker più sofisticato ed esteso di sempre. È questa l'informazione divulgata dal prestigioso Washington Post. L'iniziativa criminale è stata scoperta da un'azienda americana di cybersicurezza, la Netwitness, che ha subito dato l'allarme. Anche se era ormai troppo tardi.
L'attacco era cominciato nel 2008 e, nel lasso di tempo in cui è stato attivo, è riuscito a raccogliere informazioni di vitale importanza riguardo a moltissime aziende e persino enti governativi: carte di credito, dati di accesso, caselle email aziendali, niente è rimasto al sicuro. Le aziende colpite sono le più importanti del mondo e attive in diversi settori, dalla sanità alla tecnologia: hanno confermato l'attacco i colossi farmaceutici Merck & Co. e Cardinal Health. Sembra che nel mirino dei criminali ci sia stata anche la Paramount Pictures, ma non ci sono conferme.
La rete di hacker sarebbe stata basata in est-Europa, con un centro di controllo in Germania. Le nazioni più colpite dalla massiccia iniziativa sono Usa, Messico, Egitto, Arabia Saudita e Turchia. I Paesi interessati dall'offensiva informatica sono ben 196, per un totale di circa 75mila macchine violate, tra Pc e server.
La scoperta dell'attacco si deve ad Alex Cox, ingegnere della Netwittnes, che il 26 gennaio scorso ha individuato il sistema utilizzato dagli hacker per carpire i dati segreti: un bot, denominato Kneper. Il sistema è semplice ma efficace e, come sempre, fa leva sulla superficialità degli utenti: agli hacker è bastato indurre gli ignari dipendenti a scaricare del software infetto, software che, dopo essere stato installato, ha aperto le porte dei Pc e server aziendali ai criminali. Per l'occasione è stato anche utilizzato un pericoloso spyware noto come ZeuS.
Secondo altre fonti, l'attacco ha interessato anche enti governativi americani: è documentato da Netwitness un caso di furto di dati ai danni di un soldato Usa. Dal Pentagono è arrivato un secco "no comment".
Fonte : www.bitcity.it


 
Pubblicato da alle Nessun commento:
Iscriviti a: Post (Atom)