Informatica Generale, ransomware, Recensioni, Sicurezza Informatica

Yoroi rende disponibile al pubblico ‘Yomi’

Una delle aziende con cui collaboro ormai da diversi anni e che ho scelto come partner aziendale in ambito security è Yoroi: azienda italiana con sede a Cesena è senza dubbio fiore all’occhiello d’eccellenza in ambito di Cyber Security in Italia.

Yoroi ha recentemente deciso di rendere gratuitamente pubblico ‘Yomi, uno dei suoi innovativi e potenti strumenti atti a rilevare, analizzare e bloccare i software dannosi. Come dice il nome, “Yomi: The Malware Hunter“, è infatti una piattaforma online per la rilevazione e la gestione in sicurezza di malware informatici.; basato su tecnologia open source italiana da oggi può essere usata anche dai singoli individui, gratuitamente.

Ma che cos’è Yomi?

Già soprannominata dalla stampa come “Il cimitero dei virus” all’epoca del suo lancio in versione beta, la piattaforma Yomi, ulteriormente perfezionata, è una pagina web in grado di “digerire” e detonare nel suo recinto di sabbia (sandbox) documenti dannosi, file eseguibili, installatori e script senza alcun pericolo. La “detonazione” avviene infatti in una maniera controllata, registrando il comportamento di ogni file potenzialmente dannoso dentro un ambiente personalizzato e progettato per sconfiggere le tecniche di evasione più avanzate messe in atto da chi diffonde il malware.

Detto in parole povere, se ci ritroviamo un file sospetto e vogliamo verificarlo, possiamo caricarlo gratuitamente dentro Yomi che lo “eseguirà” in una zona protetta e restituirà in output un report dettagliato sul tipo di minaccia e il suo comportamento.

“Compito di Yomi è di contribuire a rendere il cyberspace più sicuro per tutti – ha detto Marco Ramilli di Yoroi -, e per questo ne facciamo dono alla comunità italiana di info-security.”

Il malware rappresenta un potente strumento per il cybercrime in tutto il mondo e, con oltre 856 milioni di campioni identificati durante l’ultimo anno è, senza dubbio, uno dei principali tipi di minaccia che aziende e organizzazioni affrontano ogni giorno per gestire la propria attività con grande impegno di tempo, risorse e denaro, mettendo a rischio la propria reputazione e gli asset dei loro clienti.

Le minacce malware hanno sviluppato in questi anni la capacità di eludere ogni rilevamento, scavalcando le barriere di sicurezza e rimanendo in silenzio fino a scatenare il loro potenziale malevolo, consentendo ad hacker malvagi, cyber-criminali e spie di rubare segreti, dati, beni digitali e denaro, compromettendo processi aziendali e persino vite umane quando colpiscono le infrastrutture critiche. Per divertimento e profitto.

Per tutti questi motivi ‘Yomi’ è il contributo italiano alla battaglia contro il malware dedicato ai professionisti della sicurezza, alle comunità di intelligence, ai CERT e ai CSIRT che vorranno usarlo.

Il software di Yomi è in grado di condurre un’analisi multilivello sui software malevoli: statica, dinamica e comportamentale, per aiutare gli analisti umani a comprendere la dinamica dell’esecuzione del codice dannoso risparmiando tempo e denaro, può analizzare una grande varietà di tipi di file, per ogni tipo di esigenza, sia privata che aziendale, per realtà di piccole e di grandi dimensioni, compresi i pericoli che preoccupano di più i gli utenti comuni e che derivano dal trattamento di documenti PDF, Office, Powerpoint, Word o Excel, anche nei formati compressi.

Yomi è anche capace di ispezionare gli indirizzi e i domini di rete e presenta funzionalità di analisi SSL, per consentire ai cacciatori di malware di riconoscere le minacce nascoste che sfruttano la protezione crittografica.

La piattaforma creata da Yoroi presenta diverse caratteristiche innovative nel panorama dell’analisi delle minacce informatiche. Mentre è possibile condividere con la comunità le proprie scoperte ‘Yomi’ rende anche possibile decidere – per questioni di privacy o di segretezza – di richiedere report privati per i campioni analizzati attraverso la sua piattaforma.

Per provare “Yomi: The Malware Hunter” clicca qui.

Oppure contattami pure per una demo-training sul suo utilizzo.

Informatica Generale, Microsoft, ransomware, Sicurezza Informatica

Cyber-Spionaggio industriale : campagna MartyMcFly

Durante la scorsa settimana diversi analisti  hanno scoperto diversi attacchi rivolti all’Industria Navale e della Difesa Italiana.

L’aggressore ha utilizzato l’e-mail come vettore di propagazione per infettare le vittime inviando un file .xls appositamente creato
Le e-mail sospette sono state intercettate tra il 9 e il 15 ottobre  in due diversi campaings, ciascuna caratterizzata da uno o più tentativi e trucchi di ingegneria sociale leggermente diversi tra loro.

Email dannose
La prima e-mail malevola intercettata aveva come indirizzo mittente [ markvanschaick.nl @qixnig .com] , nome specifico probabilmente scelto dall’attaccante per provare a sfruttare la reputazione della compagnia di servizi marittima olandese “Mark Van Schaick“, anche se il dominio del mittente e l’indirizzo IP non hanno mostrato alcuna relazione diretta con tale organizzazione.

Il messaggio è stato inviato da un Server Mail di Roundcube ospitato su [Lord. vivawebhost .com (173.237.190.12 COLO4-BLK7 US)] e apparentemente non correlato al dominio del mittente. Inoltre, [“qixnig .com“] (nome di dominio del mittente) risolve un diverso indirizzo IP ossia 66.45.243.148 (Interserver USA). è curioso il reindirizzamento creato per gli utenti che lo visitano: un codice HTTP 301 che reindirizza al portale web del gruppo Dan Marine. (ecco l’immagine).

La seconda campagna di email è stata leggermente diversa rispetto alla prima, originata da un altro servizio  webmail di Roundcube ospitato su [” mail.dbweb .se (52.58.78.16 AT-88-Z US)” ]

Stavolta il falso processo di comunicazione imita l’interazione tra “Naviera Ulises Ltd  [ supplie@ ulisnav.gr ]” e “[Evripidis Mareskas (Mr) <supplies.ulisnav @ kiramko.com]“.

Il dominio estratto sembra essere [kiramko .com] e ha risolto lo stesso indirizzo IP remoto scoperto nella prima ondata della campagna (quello al quale rispondeva “qixnig .com” ovvero 66.45.243.148 Interserver Stati Uniti).

Queste campagne potrebbero essere considerate strettamente correlate.

Il dominio “Ulisnav .gr” sembra non essere registrato al momento della scrittura.

La Tecnica

Le e-mail intercettate si presentano con uno schema di phishing preparato con cura, destinato sicuramente al settore navale italiano. I blocchi osservati delle intestazioni e il contesto di rete hanno mostrato che l’aggressore ha tentato di impersonare venditori noti di parti marine e servizi navali allo scopo di attirare le vittime per aprire i documenti allegati.

Firma del mittente di una mail

Ad esempio, i primi due rilevati hanno cercato di imitare le richieste del gruppo Dan Marine, facendo finta di convalidare il dominio del mittente “qixnig.com” come legalmente posseduto dal gruppo, poi hanno provato a reindirizzare i visitatori sul sito ufficiale di Dan Marine.

Un’altra e-mail intercettata ha inserito la vittima come Bcc (copia conoscenza nascosta) in una comunicazione fittizia tra il supporto tecnico della greca Naviera Ulises Ltd e uno dei suoi datori di lavoro.

Nessun dato è considerato reale e legittimo, infatti i dati intercettati non suggeriscono che l’attaccante abbia alcun tipo di accesso a beni reali.

Gli Allegati

I messaggi di Posta Elettronica intercettati hanno più di un documento allegato: nella prima campagna abbiamo osservato due copie dello stesso file Excel che occultano dati crittografati CDFV2 e ottengono punteggi relativamente bassi nel test di copertura Anti Virus  di  Virus Total .

Questo documento è in grado di scaricare un payload eseguibile da un portale Web compromesso (vedi immagine)

Il secondo attacco aveva come allegato un Excel e un  documento PDF denominato “Company profile.pdf” , questo file sembra essere stato generato nello stesso periodo dei tentativi di phishing: circa 30 minuti prima del invio del messaggio malevolo, da un documento MS Word 2013. (sotto i metadati)

 

Gli allegati  sono stati diffusi a metà ottobre utilizzando più nomi, molti dei quali relativi all’industria navale e contenenti riferimenti a citazioni, richieste o ordini di parti meccaniche.

Detto questo, ora possiamo spiegare la scelta interna del nome in codice “MartyMcFly” per questa campagna: il nome deriva dal valore “Prima vista in The Wild” riportato dalla piattaforma Virus Total e dai meta-dati trovati negli artefatti , che sono un argomento abbastanza interessante da discutere.

 

Il  Payload è stato scaricato da un sito Web potenzialmente compromesso e legittimamente di proprietà di una società turca che vende pezzi di ricambio meccanici, a indicare che l’autore dell’attacco aveva curato attentamente la tematizzazione dell’infrastruttura di distribuzione del malware.
Il file PE32 contiene codice binario eseguibile compilato dal codice sorgente Delphi (BobSoft Mini Delphi).

La prima fase dell’esecuzione mostra diversi schemi e trucchi anti-analisi, ad esempio a 0x0045e304 il malware controlla se l’anno dell’ora locale configurata nel sistema operativo è successiva al 2017 (rif. Figura 8);

 

inoltre a 0x045e393 rallenta l’esecuzione invocando la funzione di libreria SleepEx (rif. Figura 9)

Il bypass di tutti i controlli di debug e i trucchi di evasione all’interno del codice dannoso portano al caricamento dinamico di un modulo .NET in un segmento di codice RWX mappato nella posizione 0x012e0000.

Le firme  Yara invocate confermano che  il modulo PE32 estratto è attribuibile a una versione armata di “QuasarRAT“: uno strumento di amministrazione remota open source liberamente disponibile su github.

La verifica manuale riportata nella Figura 12 conferma che il Payload estratto è compatibile con i moduli QuasarRAT pubblicati sul repository github. Inoltre, la sezione IoC di seguito riporta i percorsi dei server C2 trovati nelle configurazioni del malware.

Al momento nessuna attribuzione a gruppi conosciuti è possibile, molti attori delle minacce scelgono di usare o personalizzare gli strumenti open-source per cercare di rendere più difficile l’attribuzione, come il gruppo cinese “Stone Panda” (APT-10) noto per operazioni di spionaggio contro difesa e governo, con il QuasarRAT nel loro arsenale, o anche il “Gorgon Group”, l’ambiguo gruppo mercenario responsabile sia di attacchi di cyber-crimine che di campagne di spionaggio mirate contro i governi.