VoIP and Hacking

Secondo il report stilato da McAfee e riguardante il primo quadrimestre 2009, le Botnets criminali hanno assunto il controllo di almeno 12 milioni di nuovi indirizzi IP a partire da Gennaio. Gli Stati Uniti possiedono il più alto numero di macchine coinvolte nelle botnets, col 18% del totale.
Di conseguenza, il numero delle macchine zombie è cresciuto del 50% rispetto all’anno precedente.
La ricerca attribuisce il boom demografico al tentativo, da parte del cybercrimine collegato allo spamming, di recuperare il terreno perduto a causa della chiusura dell’infame provider McColo, l’anno scorso.
Nella circostanza, i livelli dello spam erano crollati del 60% circa. L’anno scorso, nello stesso periodo dell’anno, risultavano spediti quotidianamente 153 miliardi di messaggi spam in media, mentre le cifre relative a Marzo di quest’anno indicano una media di 100 miliardi circa di messaggi giornalieri. Tuttavia i ricercatori ritengono che la quantità di spam emesso tornerà velocemente sui livelli precedenti, eventualmente superandoli.

La domanda da porsi non riguarda se lo spam sia destinato a ritornare sui livelli precedenti, bensì piuttosto quando questo avverrà, afferma sostanzialmente il rapporto, aggiungendo che i dati riguardanti la creazione di nuove botnet suggeriscono che ciò avverrà molto presto.
In termini di numero di macchine infettate per nazione, la Cina si pone al secondo posto della graduatoria, col 13 % circa. Esclusi questi due titani, i numeri precipitano al 6% in Australia, 5.3% in Germania e 4.7% nel Regno Unito. Alla Russia, base talvolta più che sospetta di molte organizzazioni cybercriminali, si riferisce solamente il 2.5% dei computers compromessi.

Le botnets ovviamente non vengono utilizzate solamente per lo spam.
Un secondo recentissimo report, redatto stavolta da ricercatori della University of California di Santa Barbara, e che sono riusciti a prendere il controllo per 10 giorni della botnet conosciuta come Torpig botnet, parla di 70 gigabytes di dati trafugati dai computers arruolati nella botnet, comprendenti dati sensibili.
I dati catturati includono 1.2 milioni di passwords Windows ed 1.2 milioni tra accounts e-mail e credenziali varie di login.
In dieci giorni, Torpig avrebbe ottenuto le credenziali di 8,310 accounts di 410 differenti istituti finanziari. Le maggiormente colpite risultano PayPal (con 1770 accounts), il nostro Poste Italiane (con 765), Capital One (314), E*Trade (304), ChaseBank (217).

Il malware alla base di Torpig  attacca clients di email ed altre applicazioni per registrare le sequenze di tasti digitate dalla vittima, incluse le passwords prima che vengano criptate.
Le sequenze catturate vengono inviate in bundle ai controllori della botnet ogni 20 minuti.

La botnet viene controllata dal rootkit conosciuto come Mebroot, che assume il controllo della macchina target sostituendo il contenuto del Master Boot Record (MBR), cosa che gli permette di venire eseguito all’avvio, prima che il sistema operativo venga caricato, e rimanere irrintracciabile per la maggior parte degli anti-virus.
Questo genere di rootkit utilizza tecniche mai viste in precedenza nel malware moderno. La più notevole di esse è proprio il fatto di rimpiazzare il Master Boot Record del sistema colpito.
Il Master Boot Record è il primo settore fisico dell’ harddisk e contiene il primo codice caricato ed eseguito, tra quelli che vi sono presenti, durante il processo di avvio. Nella competizione fra rootkits e cacciatori di rootkits, il primo ad andare in esecuzione è in netto vantaggio, e non è passibile farlo prima di quanto contenuto nel MBR. Per inciso, i virus infestanti il MBR erano molto diffusi ai tempi del vecchio DOS, 15 anni fa almeno. A volte ritornano…
Questo nuovo rootkit per MBR Windows si avvia senza richiedere alcuna modifica al registro e costituisce perciò una delle forme più avanzate di stealthing presenti nel malware attuale.
Ma non risulta solamente difficile da individuare, infatti, apportando solo una minima parte di modifiche al sistema ospite risulta piuttosto improbabile insospettirsi, senza evidenza di comportamenti anomali.
Il rootkit ospita dati che necessitano di sopravvivere ad eventuali reboots andandoli, memorizzandoli perciò in settori fisici del disco piuttosto che in files referenziati da un filesystem. Questo significa anche che tali dati non risultano visibili o in qualsiasi altro modo, accessibili alle normali applicazioni. Per questo motivo il rootkit non ha bisogno, come abitualmente fa gran parte del malware conosciuto, di intercettare il normale insieme di interfaccie software per mantenerli nascosti.
Lo scopo principale del rootkit è comunque quello di scaricare via via altro malware specializzato. Per fare questo è necessario per esso non venire nemmeno bloccato dal personal firewall.
Gli riesce tranquillamente dato che opera sugli strati più bassi del layer NDIS, appena al di sopra del livello fisico.

Send post as PDF to