Lockheed Martin: qualche aggiornamento sulle analisi dei rischi cyber

(A volte ritornano…)

Qualche mese fa ci siamo soffermati ad analizzare i rischi cyber relativi all’F-35, e questo ha incluso un’analisi della rete (ovviamente di ciò che è pubblicaente visibile) della casa produttrice, la società Lockheed Martin, leader nel settore degli armamenti, dei voli spaziali, dei veicoli e degli equipaggiamenti militari. (vedi articolo: http://www.difesaonline.it/evidenza/cyber/f-35-analisi-sui-rischi-cyber-del-caccia-di-quinta-generazione )

L’articolo di oggi prende vita in realtà da un’esigenza che dovrebbe essere primaria per chiunque voglia affrontare le sfide quotidiane relative alla sicurezza informatica, ovvero le modifiche nel “campo di battaglia” e delle minacce in gioco.

Per capire meglio il “mutamento” dello scenario, è buona norma per chi difende analizzare periodicamente i propri asset, in quanto chi attacca cerca sempre di scoprire nuovi punti deboli della struttura.

Lasciar passare troppo tempo significa aumentare sensibilmente il rischio.

In questo articolo vedremo proprio questo cambiamento e potremo analizzare da vicino come per lo stesso dominio la situazione sia radicalmente diversa.

Come sempre, il primo step da eseguire è il cosiddetto “information gathering”, ovvero la raccolta di informazioni che ci servono per eseguire l’analisi vera e propria.

In questo caso, verifichiamo se per il Dominio “lockheedmartin.com” siano presenti indicatori validi di compromissione.

Per semplificarci il lavoro, possiamo utilizzare le API di VirusTotal (Application Programming Interface – una serie di funzioni richiamabili per eseguire una serie di operazioni anche con linguaggi di programmazione diversi e programmi di terze parti), per verificare se un determinato file (o dominio, nel nostro caso...) debba essere approfondito.

Come si può evincere, non sono presenti file che possono considerarsi sospetti, quindi possiamo effettuare una nuova ricerca tramite la piattaforma “ThreatCrowd” per cercare altri elementi correlabili al Dominio e ai propri sotto-Domini:

Fonte: ThreatCrowd

Possiamo quindi visualizzare i dati dalla piattaforma in formato tabellare:

Fonte: ThreatCrowd

Tra le informazioni forniteci, la piattaforma restituisce l’email “lm-nic@lmco.com”. A questo punto possiamo ri-analizzare il dominio “lmco.com” e osservare quindi la differenza con la precedente analisi. Stavolta eseguiremo questa ricerca con le API di VirusTotal per poterci semplificare il tutto:

Possiamo osservare da subito che la situazione è cambiata dalla precedente analisi, ovvero non sono presenti gli stessi hash dell’analisi precedente.

In un’analisi reale, dovremmo analizzare tutti gli hash trovati, per avere effettivamente una buona visione di insieme.

In questo caso prenderemo come riferimento due hash in particolare, il primo:

1864a5be0f8b61624beb73ed764cd1391a36bd6d065b5b51b5b937cfd6f155c0

ed il secondo hash:

907abf802a51324d5733870d9b60f39e4ff0cd4741ce359529d3c2d18daadd80

Per studiare la natura del primo hash, possiamo affidarci sempre alla piattaforma “VirusTotal” che grazie all’analisi del comportamento del malware, ci può fornire un ottimo approfondimento sui Domini, gli IP contattati e le varie modifiche al registro di sistema e file system che possono aiutarci a capire se un sistema sia compromesso o meno.

Si può osservare il comportamento del primo malware semplicemente cliccando questo link:

https://www.virustotal.com/gui/file/1864a5be0f8b61624beb73ed764cd1391a36bd6d065b5b51b5b937cfd6f155c0/behavior/Dr.Web%20vxCube

Come si può osservare, abbiamo l’analisi comportamentale.

Cliccando sul pulsante “Full Report” in alto a destra, è possibile visualizzare il report della sandbox.

La sandbox permette di eseguire il malware in uno spazio isolato e sicuro, ed analizzarne le azioni per prendere poi le dovute azioni, come il blocco degli IP o dei domini malevoli.

NOTA BENE:

Eseguire questo tipo di operazione è potenzialmente dannoso, in quanto si va letteralmente ad eseguire un malware su una propria macchina.

Eseguire questo tipo di analisi SOLO E SOLTANTO SE SI E’ PERFETTAMENTE CONSCI DEI RISCHI E PERFETTAMENTE IN GRADO DI FARLO IN TOTALE SICUREZZA!

Fonte: DrWeb vxCube

Analizzando invece il secondo malware, è possibile notare qualcosa di diverso:

Link all’analisi comportamentale:

https://www.virustotal.com/gui/file/907abf802a51324d5733870d9b60f39e4ff0cd4741ce359529d3c2d18daadd80/behavior/SecondWrite

Dall’analisi del comportamento è possibile notare che il malware, oltre a provare a contattare il Dominio della Provincia di Milano, ha un comportamento del singolare, comprensibile dall'analisi degli IP contattati.

Questa sotto riportata è la lista parziale degli IP contattati:

Fonte: VirusTotal

E' possibile notare che gli IP contattati dal malware seguono un “pattern” particolare.

Il pattern interessante è il “10.152.152.x”

Questo pattern coincide con la rete di una diffusa soluzione di anonimizzazione, ovvero Whonix.

Whonix è una macchina virtuale, il cui Gateway reindirizza in modo automatico e “trasparente” (ovvero non c’è bisogno di interazione o conoscenza dell’operazione da parte dell’utente) tutta la connessione sul network Tor (la più diffusa soluzione di anonimizzazione sul web).

Come riportato sulla pagina ufficiale del progetto (consultabile al link: https://www.whonix.org/wiki/Other_Operating_Systems ) per poter reindirizzare tutto il traffico di un client su Tor, tramite il Gateway di Whonix è sufficiente impostare i seguenti parametri:

## increment last octet of IP address on additional workstations

IP address 10.152.152.50

Subnet netmask 255.255.192.0

Default gateway 10.152.152.10

Preferred DNS server 10.152.152.10

E’ interessante notare come il malware cerchi di contattare questo tipo di rete.

Da ciò possiamo dire che o si tratta di una fortuita coincidenza, oppure ci troviamo di fronte ad un possibile caso di data leak.

Ovviamente, sia il CERT Nazionale che lo US-CERT sono stati avvisati immediatamente.

Ricordo che tutta l’analisi è basata su dati pubblicamente accessibili e consultabili da chiunque.

Come fatto nel precedente articolo dobbiamo avvisare che dal momento che non si ha visione della rete interna, la situazione riscontrata potrebbe essere frutto di sistemi Antivirus, IPS, Honeypot, Sandbox o altri sistemi difensivi.

Come dimostrato, la situazione tra due analisi può cambiare radicalmente, consiglio pertanto una scansione regolare della propria rete e dei propri sistemi.

Il consiglio è sempre lo stesso: non dobbiamo vedere la sicurezza come un “prodotto”, bensì come un processo.

Lo studio e relativa analisi degli asset ci aiuta a tenere sotto controllo le minacce, le quali sono mutevoli nel tempo ed evolvono con le nostre difese.

E’ fondamentale tenere traccia dei cambiamenti e delle evoluzioni delle minacce per non farsi trovare impreparati.

Alessandro Fiori