P2P assaltato con il Social Engineering

P2P assaltato con il Social Engineering

di Rosario Marcianò - Come accade che nelle reti dello sharing vengano fatti circolare file e applicativi frutto sì di pirateria ma anche di felloneria informatica. Una provocatoria radiografia del malware P2P
di Rosario Marcianò - Come accade che nelle reti dello sharing vengano fatti circolare file e applicativi frutto sì di pirateria ma anche di felloneria informatica. Una provocatoria radiografia del malware P2P


Roma – Il fenomeno del file sharing (P2P), così tanto dibattuto in questo periodo, non ha bisogno di ulteriori discernimenti da parte mia. In questo articolo, mi preme invece affrontare il problema dal lato della sicurezza , senza addentrarmi più di tanto nell’ambito più a cuore ai produttori di opere coperte da copyright. È mia intenzione invece mettere in rilievo quelli che sono gli aspetti potenzialmente negativi nell’uso di programmi peer to peer, dal lato utente. Quest’ultimo è spesso convinto di avere la situazione sotto controllo, ma al contrario, essendo egli alla ricerca di software “a scrocco” e facendo uso disinvolto di tali strumenti, cade vittima del suo stesso male.

Gli italiani, inutile dirlo, sono tra i maggiori utilizzatori al mondo di software illegale, a cominciare dal sistema operativo . Questo loro ormai consolidato modus vivendi ha però, in migliaia di casi, un risvolto ironicamente distruttivo, visto che, sulle loro macchine girano worm e cavalli di troia di vario genere, attivati proprio tramite l’uso intensivo e sconsiderato di programmi quali Kazaa, Emule, ShareAza, LimeWire… soltanto per citarne alcuni. Quanti di questi utilizzatori ha la consapevolezza di avere il sistema infetto? Pochi, a giudicare dalla diffusione dei worm p2p.

Sfruttando il debole dell’utente che non vuole tirar fuori un solo euro per godersi il suo software preferito, un pugno di bontemponi (non potrei chiamarli altrimenti, visto che non è responsabilità loro se molti utenti cascano così facilmente nelle loro trappole) hanno realizzato un gran numero di eseguibili camuffati da distribuire nelle catene del file sharing. Questi files hanno al loro interno una sorta di attivatore che, una volta lanciato l’eseguibile, installa sulla macchina vittima, una serie componenti malevoli di vario tipo. Solitamente si tratta di programmi minuscoli, ma eccezionalmente ben congegnati, che fanno del sistema colpito una stazione di “comunicazione e attacco” , testa di ponte per aggressioni informatiche verso l’esterno, senza che l’ignaro utente (permettetemi di chiamarlo “utonto”) si accorga di nulla.

Il sistema, come si evince dal titolo di questo articolo, sfrutta il social enginering (ingegneria sociale) ovvero far leva sulle debolezze dell’utente. Cosa desidera ottenere, solitamente, colui che usa il programma di file sharing? Software, che di norma è a pagamento, GRATIS! Bene… allora diamoglielo! Ecco quindi che il trucco è di una semplicità disarmante ma gli effetti sono disastrosi, visto che sulle reti peer to peer girano oramai milioni di file esca, pronti per essere scaricati!

Ma c’è di più: molte copie degli stessi programmi adottati per il P2P, sono state ricompilate e redistribuite attraverso i canali P2P e contengono modifiche sostanziali, atte ad aumentare l’effetto propagazione dell’epidemia.

In che modo si estrinseca l’attacco?
Come accennavo, i metodi sono essenzialmente due:
– a) disseminare i canali P2P di programmi esca , dai nomi statisticamente molto ricercati (es. Steganos Internet Anonym Pro 7.1.1.zip, Mass Downloader 3.1 Build 599.zip, Norton WinDoctor 2005.zip, Acronis Disk Director Suite v9.0.537.zip, UltraISO 7.5.1.965.zip, My DVD Maker 1.0.zip, Nero Burning ROM 6.6.0.14 Reloaded.zip, Jasc Paint Shop Pro 9.01.zip ecc.);
– b) distribuire pacchetti ricompilati degli stessi programmi utilizzati per il file sharing.

Il primo passo consiste nell’installazione e nell’utilizzo del software di peer to peer. Allorquando l’utente farà una ricerca ed incapperà in uno dei falsi software regolari distribuiti sulla rete di sharing e, una volta scaricato uno di essi, lo eseguirà senza verificarne il peso in kb, che dovrebbe essere congruo al tipo di file “regolare” sottoposto a ricerca, scatterà la trappola. Una volta eseguito, infatti, il malware tenterà subito di instaurare una connessione con un indirizzo IP specifico (si faccia riferimento all’esempio riportato in fondo alla pagina). Nel caso si utilizzi il firewall di Windows XP, questo non avvertirà del tentativo di accesso dal PC alla rete Internet, in quanto il traffico in tale direzione non viene controllato. Inutile dire che, l’utilizzo di tale deficitario strumento non dà alcuna sicurezza, per cui… la prima difesa sarà subito superata dal worm o dal trojan, senza problemi.

Da questo momento, il computer dello sprovveduto utente è sotto il pieno controllo del writer che ha realizzato il worm. Il file di installazione genera un ermetico codice di errore e si autotermina, mentre l’utente, deluso, si avvede solo che il suo software preferito, che avrebbe voluto utilizzare senza tirar furi un centesimo, non è stato installato. “Che seccatura”, penserà… “Magari sarò più fortunato provando a fare un’altra ricerca”.

Il successivo passo, ad opera del piccolo installer, concerne nella registrazione delle chiavi di registro che attiveranno tutte le componenti del worm (o trojan horse che sia) ad ogni avvio del PC.

Attualmente gira una versione evoluta del worm ” W32.Alcra.A “, appositamente progettato per girare sulle reti di peer to peer. Il worm, ancora non identificato dalla maggior parte degli antivirus (al momento in cui scrivo), si chiama “WIN32.P2P-WORM.ALCAN.A”. Esso esegue una serie di operazioni.

– 1) Si collega all’indirizzo IP 66.250.110.206;
– 2) Scarica una serie di componenti aggiuntive, dopodiché scrive su disco un innumerevole quantitativo (più di 270 Mb) di files con estensione zip, in una cartella nascosta (nei casi esaminati la directory è: “C:Documents and SettingsWindows UserComplete”), ma la stessa cartella può essere anche nel percorso di sharing del programma di P2P (es: C:ProgrammiKazaaMySharedComplete”);
– 3) Crea una directory nascosta e relativi eseguibili in “C:Programmiwinupdateswinupdates.exe”, nonchè correlate chiavi di registro in “HKLMSoftwareMicrosoftWindowsRUN”.
– 4) Copia un certo numero di files con estensione.com, noché alcune librerie dll, nella cartella “System32”.

Il primo segnale che ci indica che qualche cosa non va, visto che per il resto il sistema continua apparentemente a funzionare regolarmente, è il mancato avvio del task manager, sia attraverso i comandi CTRL+ALT+CANC, sia se proviamo a lanciare direttamente l’eseguibile taskmgr.exe da Start / Esegui (in questo modo il programmatore tenta di impedire l’identificazione e la terminazione dei processi estranei al sistema). Infatti, se facciamo caso, tra gli altri, notiamo che nella directory “C:WindowsSystem32” fa la sua bella comparsa un eseguibile DOS dal nome chiarificatorio: taskkill.com. Inoltre, il software termina i processi relativi a Microsoft Antispyware beta, mentre l’ultima release di Lavasoft Ad-Aware, resta, almeno per ora, immune all’attacco.

Il worm “WIN32.P2P-WORM.ALCAN.A” ha due finalità:

a) Infestare la rete peer to peer (infatti i 270 mb di files.zip con i nomi dei programmi più diffusi appariranno, alla bisogna, nella lista di ricerca, sia nostra che di altri collegati in file sharing);

b) Comunicare a ignoti dati sensibili (passwords e login di accesso, numeri di carte di credito, indirizzi e.mail, preferenze di navigazione, screenshots del desktop ecc.), estrapolati dal computer zombie.

La cosa che salta subito all’occhio, e che quindi deve insospettire (ma quanti ci fanno caso, visti i risultati?), consiste nel fatto che i programmi esca hanno tutti lo stesso peso: 851 kb .

Nel caso del worm “WIN32.P2P-WORM.ALCAN.A”, l’attacco pare provenire dal Belgio, infatti all’indirizzo IP 62.179.105.8, fa capo un provider di quel paese. Si deduce che il virus writer possa essere un loro abbonato.

Rosario Marcianò
Fast Service Informatica

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 21 giu 2005
Link copiato negli appunti