(A volte ritornano…)
Qualche mese fa ci
siamo soffermati ad analizzare i rischi cyber relativi all’F-35, e questo
ha incluso un’analisi della rete (ovviamente di ciò che è
pubblicaente visibile) della casa produttrice, la società Lockheed
Martin, leader nel settore degli armamenti, dei voli spaziali, dei
veicoli e degli equipaggiamenti militari. (vedi articolo:
http://www.difesaonline.it/evidenza/cyber/f-35-analisi-sui-rischi-cyber-del-caccia-di-quinta-generazione
)
L’articolo di oggi
prende vita in realtà da un’esigenza che dovrebbe essere primaria
per chiunque voglia affrontare le sfide quotidiane relative alla
sicurezza informatica, ovvero le modifiche nel “campo di battaglia”
e delle minacce in gioco.
Per capire meglio
il “mutamento” dello scenario, è buona norma per chi difende
analizzare periodicamente i propri asset, in quanto chi attacca cerca
sempre di scoprire nuovi punti deboli della struttura.
Lasciar passare
troppo tempo significa aumentare sensibilmente il rischio.
In questo articolo
vedremo proprio questo cambiamento e potremo analizzare da vicino
come per lo stesso dominio la situazione sia radicalmente diversa.
Come sempre, il
primo step da eseguire è il cosiddetto “information gathering”,
ovvero la raccolta di informazioni che ci servono per eseguire
l’analisi vera e propria.
In questo caso,
verifichiamo se per il Dominio “lockheedmartin.com” siano
presenti indicatori validi di compromissione.
Per semplificarci il
lavoro, possiamo utilizzare le API di VirusTotal (Application
Programming Interface – una serie di funzioni richiamabili per
eseguire una serie di operazioni anche con linguaggi di
programmazione diversi e programmi di terze parti), per verificare se
un determinato file (o dominio, nel nostro caso...) debba essere
approfondito.
Come si può
evincere, non sono presenti file che possono considerarsi sospetti,
quindi possiamo effettuare una nuova ricerca tramite la piattaforma
“ThreatCrowd” per cercare altri elementi correlabili al Dominio e
ai propri sotto-Domini:
Fonte: ThreatCrowd
Possiamo quindi
visualizzare i dati dalla piattaforma in formato tabellare:
Fonte: ThreatCrowd
Tra le informazioni forniteci, la
piattaforma restituisce l’email “lm-nic@lmco.com”. A questo punto
possiamo ri-analizzare il dominio “lmco.com” e osservare quindi la differenza con la precedente analisi.
Stavolta eseguiremo questa ricerca con le API di VirusTotal per
poterci semplificare il tutto:
Possiamo osservare
da subito che la situazione è cambiata dalla precedente analisi,
ovvero non sono presenti gli stessi hash dell’analisi precedente.
In un’analisi
reale, dovremmo analizzare tutti gli hash trovati, per avere
effettivamente una buona visione di insieme.
In questo caso
prenderemo come riferimento due hash in particolare, il primo:
1864a5be0f8b61624beb73ed764cd1391a36bd6d065b5b51b5b937cfd6f155c0
ed il secondo hash:
907abf802a51324d5733870d9b60f39e4ff0cd4741ce359529d3c2d18daadd80
Per studiare la
natura del primo hash, possiamo affidarci sempre alla piattaforma
“VirusTotal” che grazie all’analisi del comportamento del
malware, ci può fornire un ottimo approfondimento sui Domini, gli IP
contattati e le varie modifiche al registro di sistema e file system
che possono aiutarci a capire se un sistema sia compromesso o meno.
Si può osservare il
comportamento del primo malware semplicemente cliccando questo link:
Come si può
osservare, abbiamo l’analisi comportamentale.
Cliccando sul
pulsante “Full Report” in alto a destra, è possibile
visualizzare il report della sandbox.
La sandbox permette
di eseguire il malware in uno spazio isolato e sicuro, ed analizzarne
le azioni per prendere poi le dovute azioni, come il blocco degli IP
o dei domini malevoli.
NOTA BENE:
Eseguire
questo tipo di operazione è potenzialmente dannoso, in quanto si va
letteralmente ad eseguire un malware su una propria macchina.
Eseguire
questo tipo di analisi SOLO E SOLTANTO SE SI E’ PERFETTAMENTE
CONSCI DEI RISCHI E PERFETTAMENTE IN GRADO DI FARLO IN TOTALE
SICUREZZA!
Fonte: DrWeb vxCube
Analizzando invece
il secondo malware, è possibile notare qualcosa di diverso:
Link all’analisi
comportamentale:
Dall’analisi del comportamento è
possibile notare che il malware, oltre a provare a
contattare il Dominio della Provincia di Milano, ha un comportamento del singolare, comprensibile dall'analisi degli IP contattati.
Questa sotto
riportata è la lista parziale degli IP contattati:
Fonte:
VirusTotal
E' possibile notare che gli IP contattati dal malware seguono un “pattern” particolare.
Il pattern
interessante è il “10.152.152.x”
Questo pattern
coincide con la rete di una diffusa soluzione di anonimizzazione,
ovvero Whonix.
Whonix è una
macchina virtuale, il cui Gateway reindirizza in modo automatico e
“trasparente” (ovvero non c’è bisogno di interazione o
conoscenza dell’operazione da parte dell’utente) tutta la
connessione sul network Tor (la più diffusa soluzione di
anonimizzazione sul web).
Come riportato sulla
pagina ufficiale del progetto (consultabile al link:
https://www.whonix.org/wiki/Other_Operating_Systems
) per poter reindirizzare tutto il traffico di un client su Tor,
tramite il Gateway di Whonix è sufficiente impostare i seguenti
parametri:
## increment last
octet of IP address on additional workstations
IP address
10.152.152.50
Subnet netmask
255.255.192.0
Default gateway
10.152.152.10
Preferred DNS server
10.152.152.10
E’ interessante
notare come il malware cerchi di contattare questo tipo di rete.
Da ciò possiamo dire che o si tratta di una
fortuita coincidenza, oppure ci troviamo di fronte ad un possibile
caso di data leak.
Ovviamente, sia il
CERT Nazionale che lo US-CERT sono stati avvisati immediatamente.
Ricordo che tutta
l’analisi è basata su dati pubblicamente accessibili e
consultabili da chiunque.
Come fatto nel precedente articolo dobbiamo avvisare che dal momento che non
si ha visione della rete interna, la situazione riscontrata potrebbe essere
frutto di sistemi Antivirus, IPS, Honeypot, Sandbox o altri sistemi
difensivi.
Come dimostrato, la
situazione tra due analisi può cambiare radicalmente, consiglio
pertanto una scansione regolare della propria rete e dei propri
sistemi.
Il consiglio è
sempre lo stesso: non dobbiamo vedere la sicurezza come un
“prodotto”, bensì come un processo.
Lo studio e
relativa analisi degli asset ci aiuta a tenere sotto controllo le
minacce, le quali sono mutevoli nel tempo ed evolvono con le nostre
difese.
E’
fondamentale tenere traccia dei cambiamenti e delle evoluzioni delle
minacce per non farsi trovare impreparati.
Alessandro Fiori
Nessun commento:
Posta un commento