faretesto > comp.sicurezza.* > comp.sicurezza.virus

P/ero (01.01.1970, 01:00)
ObiWan <obiwan> ha scritto:
[..]
P/ero (01.01.1970, 01:00)
"ObiWan" [by "newsreader: Not Found"] on 18/05/17 15:53:16 (Italian Time) wrote:

> :: On Thu, 18 May 2017 15:43:52 +0200 (GMT+02:00)
> :: (it.comp.sicurezza.virus)
> :: <eo5momFfj5U1>
> :: P/ero <ppiero> wrote:


> e quindi ?


Niente, stavo leggendo il gruppo col telefonino (per ridurre le lunghezza
delle righe non ho trovato di meglio che editarlo in reply) ed è partito.

Non so come, ma è successo. :-?
Bowlingbpsl (14.05.2017, 11:49)
Mica ho capito poi molto bene il perche' di questa colossale diffusione.
Leggendo qua e la', ho capito (o creduto di capire) che:
Ha fatto il trojan e poi si e' scatenato. Ma lo fanno tutti... e questo,
che ha di cosi' innovativo?
Ha usato una qualche vulnerabilita' qualcosa-blue, sfuggita alla NSA (si,
e magari pianificata dal NWO?).
Da qualche parte, dicono che XP e' molto vulnerabile... boh?

Me la spiegate con un po' piu' di proprieta' di linguaggio? Perche',
tecnicamente parlando, non ci ho capito una sega.

Fabrizio :-P
Leonardo Serni (14.05.2017, 16:35)
On Sun, 14 May 2017 11:49:37 +0200, "Bowlingbpsl" <bowling> wrote:

>Me la spiegate con un po' piu' di proprieta' di linguaggio? Perche',
>tecnicamente parlando, non ci ho capito una sega.


Normalmente i ransomware ti arrivano da un computer zombie via mail, esplodono
sul tuo computer e si estinguono.

L'infezione è mantenuta dalla rete zombie.

Se ho capito bene *QUESTO* ransomware, almeno per un certo tempo, fa scansione
della rete su cui si trova, cercando share SaMBa vulnerabili e se le trova, fa
di loro le sue donne.

Quindi l'infezione è iniziata dalla rete zombie ma amplificata dalle vittime -
diciamo ALCUNE vittime.

XP, se ha anche solo IPC$ (diciamo tcp 139/445 aperta, to'), è vulnerabile. Lo
stesso per tutti i Windows con aggiornamenti NON posteriori ad aprile. Mentre,
se hai aggiornato dopo aprile, stai a posto CONTRO LE INFEZIONI ALTRUI, come è
logico se invece APRI TU STESSO UNA MAIL allora ti serve qualcosa di più (come
minimo JS/WSH disattivato, ma non so minga se basta...).

Non ho capito se OLTRE a propagarsi via SMB, il ransomware ramazzi anche email
dal PC infetto e si propaghi ai suoi contatti: ma, se non lo fa questo, si può
stare sicuri che lo farà il prossimo. Gli stronzoletti nelle loro reti anonime
sono pieni di idee :-(

....per esempio, se ti arriva una email con allegato, IDENTICA ad una email che
t'ha inviato ieri il tuo commercialista, dal suo IP, con lo stesso testo, ogni
header autentico, tutte cose...[1]

....controlla che le dimensioni dell'allegato tornino. Sai mai, che il computer
del commercialista non sia più "del commercialista" se non di nome.

Leonardo

[1] tranne magari il subject "ERRATA CORRIGE" - o la prima riga "Mi scusi, qui
lei trovare l'allegato vero. Clicca su allegato, migliori riguardi."
Bowlingbpsl (15.05.2017, 10:25)
Leonardo Serni wrote:
> On Sun, 14 May 2017 11:49:37 +0200, "Bowlingbpsl" <bowling>
> wrote:


>> tecnicamente parlando, non ci ho capito una sega.

> Normalmente i ransomware ti arrivano da un computer zombie via mail,
> esplodono sul tuo computer e si estinguono.


....ecco, arrivavo fin qui, con svariati allegati zippati da presunti
corrieri, contenenti un .JS che NON attiva l'antivirus (e nemmeno nei
giorni successivi che l'ho messo sul disco), il che mi pare un bel buco di
sicurezza, non so se rimediabile.

> Se ho capito bene *QUESTO* ransomware, almeno per un certo tempo, fa
> scansione della rete su cui si trova, cercando share SaMBa
> vulnerabili e se le trova, fa di loro le sue donne.


Oh, cacchio.

> Quindi l'infezione è iniziata dalla rete zombie ma amplificata dalle
> vittime - diciamo ALCUNE vittime.
> XP, se ha anche solo IPC$ (diciamo tcp 139/445 aperta, to'), è


Oddio, ho un polveroso ricordo (oltretutto infarcito di frizzi e lazzi: mi
sono sentito dire che grc.com diceva fregnacce e cose cosi'), epoca di
W98, che usava il netbeui per "legare" correttamente la rete... e
funzionava piuttosto bene. Sono rimasto indietro e, maledizione, e' bene
che corra ai ripari, perche' se "qui" c'e' andata bene, e' GRAZIE al
cervello, presente o... infuso a furia di ripetere le basi della
sicurezza. Humpf. Sto invecchiando.

> vulnerabile. Lo stesso per tutti i Windows con aggiornamenti NON
> posteriori ad aprile. Mentre, se hai aggiornato dopo aprile, stai a


Errrggghhh... a volte, si rimane con vecchi sistemi operativi per una
serie di ottimi motivi, non ultimo quello economico: l'acquisto di un'orda
di licenze per far funzionare un PC che emette biglietti fiscali (il cui
software e' oltretutto fatto "col culo", perche' non hanno
concorrenza...), non e' da due spicci.

> posto CONTRO LE INFEZIONI ALTRUI, come è logico se invece APRI TU
> STESSO UNA MAIL allora ti serve qualcosa di più (come minimo JS/WSH
> disattivato, ma non so minga se basta...).


Il java l'ho tolto ma, ad esempio, ho un ricordo di aver tentato di usare
la Carta Servizi nazionale... e di aver rinunciato, perche' avrei dovuto
installare una versione di Java obsoleta (di almeno tre release, senno'
non funzionava...), passandola al commercialista, modello "mo' so' cazzi
suoi", in fondo Egli poteva destinare un'unica macchina a "quello", io no.

> Non ho capito se OLTRE a propagarsi via SMB, il ransomware ramazzi
> anche email dal PC infetto e si propaghi ai suoi contatti: ma, se non
> lo fa questo, si può stare sicuri che lo farà il prossimo. Gli
> stronzoletti nelle loro reti anonime sono pieni di idee :-(


Ooooccheeeiiii, altra idea che devo tenere a mente. ;-)

> ...per esempio, se ti arriva una email con allegato, IDENTICA ad una
> email che t'ha inviato ieri il tuo commercialista, dal suo IP, con lo
> stesso testo, ogni header autentico, tutte cose...[1]


Fortunatamente, io butto un occhio all'estensione degli allegati. Ah,
gia'. E' ancora attiva di default "nascondi estensione per i file
conosciuti" pure per W10, giusto? Fino all'8, mi pare di averla notata, ma
ho avuto un attacco di dissenteria, l'ultima volta che ho dovuto usare W8
e non ricordo bene.

> [1] tranne magari il subject "ERRATA CORRIGE" - o la prima riga "Mi
> scusi, qui lei trovare l'allegato vero. Clicca su allegato,
> migliori riguardi."


Ne ho ricevute di scritte meglio, in cui un piccolo errore, poteva essere
anche colpa dell'operatore... ah no, con quel .JS andiamo male, molto ma
molto male. (cit)

Fabrizio

P.S.

Da it.comp.os.win.xp:

Protect Against WannaCry: Microsoft Issues Patch for Unsupported Windows
(XP,
Vista, 8,...)
<http://thehackernews.com/2017/05/wannacry-ransomware-windows.html>
<http://www.theregister.co.uk/2017/05/13/wannacrypt_ransomware_worm/>

<http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598>

Ora vedo che dice quello relativo ad XP. Speriamo che non sia un trojan
pure "esso" (preso dal catalog della mammasoft? Well...)
Gabriele - onenet (15.05.2017, 10:48)
Bowlingbpsl wrote on 14/05/17 11:49:
> Mica ho capito poi molto bene il perche' di questa colossale diffusione.
> Leggendo qua e la', ho capito (o creduto di capire) che:
> Ha fatto il trojan e poi si e' scatenato. Ma lo fanno tutti... e questo,
> che ha di cosi' innovativo?
> Ha usato una qualche vulnerabilita' qualcosa-blue, sfuggita alla NSA (si,
> e magari pianificata dal NWO?).
> Da qualche parte, dicono che XP e' molto vulnerabile... boh?


Exploit di SMB che NSA aveva nel suo arsenale (ovviamente senza avvertire chi di
dovere) e divulgato un paio di mesi fa insieme a tanta altra roba; Microsoft
aveva patchato a marzo, ma se non hai aggiornato sei infettabile da remoto.
Come i cari bei vecchi exploit di una volta :-D

> Me la spiegate con un po' piu' di proprieta' di linguaggio? Perche',
> tecnicamente parlando, non ci ho capito una sega.


Buona lettura:


ciao

Gabriele
Gabriele - onenet (15.05.2017, 10:52)
Bowlingbpsl wrote on 15/05/17 10:25:

[CUT]

> P.S.
> Da it.comp.os.win.xp:
> Protect Against WannaCry: Microsoft Issues Patch for Unsupported Windows
> (XP,
> Vista, 8,...)
> <http://thehackernews.com/2017/05/wannacry-ransomware-windows.html>
> <http://www.theregister.co.uk/2017/05/13/wannacrypt_ransomware_worm/>
> <http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598>
> Ora vedo che dice quello relativo ad XP. Speriamo che non sia un trojan
> pure "esso" (preso dal catalog della mammasoft? Well...)


Questo:


Occhio che in molti hanno lamentato una lentezza esasperante (più del solito)
dei server di aggiornamento Microsoft, ma credo che ormai le cose vadano meglio.

PS: dovresti seguirmi su Twitter :-)
GbC (15.05.2017, 11:06)
Il 15/05/2017 10:25, Bowlingbpsl ha scritto:
[..]
> <http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598>
> Ora vedo che dice quello relativo ad XP. Speriamo che non sia un trojan
> pure "esso" (preso dal catalog della mammasoft? Well...)


Uff...

JS non ha nulla a che vedere con la JVM.

La diffusione dei ransomware avviene in due momenti distinti (tralascio
i particolare e semplifico):

A) Apri un allegato, che in realtà contiene un file eseguibile. Il virus
vero e proprio in questa fase non è ancora nel piccì ed il sistema è
ancora integro.

B) L'eseguibile si attiva e scarica, da qualche parte delal rete, il
virus vero e proprio, che cerca di perseguire i payload impostati da chi
lo ha scritto. In questa fase il sistema è compromesso.

Per salvare le chiappe basta quindi evitare che il file scaricato con
l'allegato possa essere eseguito.

Come?

Il modo in cui il JS dei ransomware entra nel sistema sfrutta un bug di
Active Directory presente in W dal 2004 e corretto solo a Marzo di
quest'anno, riguardante l'esecuzione di codice remoto da parte degli
script.

È sempre stato possibile disattivare l'esecuzione di codice remoto da
parte di JS: bastava disattivare Windows Script Host (WSH), come ben
sanno tutti quelli che hanno gestito server NT in quegli anni.

Avevo scritto un tool che fa proprio questo
() che ho dato ai miei
clienti e reso scaricabile dalla rete, che consente di
attivare/disattivare (anche termporaneamente) WSH. Tieni presente che
faccio il programmatore e non mi sono neanche accorto di aver
disattivato WSH.

Con gli aggiornamenti di Marzo non è più necessario, comunque la pagina
è lì.

Ciao cia'
BIG Umberto (15.05.2017, 11:34)
Gabriele - onenet in data 10:48, lunedì 15 maggio 2017, nel gruppo
it.comp.sicurezza.virus ha scritto:

> Exploit di SMB che NSA aveva nel suo arsenale (ovviamente senza avvertire chi
> di dovere) e divulgato un paio di mesi fa insieme a tanta altra roba;


Mi sovvengono seri dubbi...
Ma questi exploit, che stranamente cia, nsa hanno in dotazione, non é micca che
se li sono fatti fare apposta da mamma microsoft?
Quindi perché avvisare chi lo sa giá perfettamente bene?

Come si diceva, "a pensar male, é bene, perché spesso ci si azzecca"!
Leonardo Serni (15.05.2017, 14:57)
On Mon, 15 May 2017 10:25:20 +0200, "Bowlingbpsl" <bowling> wrote:

>...ecco, arrivavo fin qui, con svariati allegati zippati da presunti
>corrieri, contenenti un .JS che NON attiva l'antivirus (e nemmeno nei
>giorni successivi che l'ho messo sul disco), il che mi pare un bel buco di
>sicurezza, non so se rimediabile.


Forse. Dovresti riuscire a disattivare il WSH e il supporto JS, so che ci sono
dei tùlz che lo consentono. Se no ho la chiave di registro da qualche parte.

Leonardo
Max max (15.05.2017, 15:12)
Il 15/05/2017 10.25, Bowlingbpsl ha scritto:

> la Carta Servizi nazionale... e di aver rinunciato, perche' avrei dovuto
> installare una versione di Java obsoleta (di almeno tre release, senno'
> non funzionava...),


Funzionano tranquillamente con l'ultima versione di java ... Tieni
presente che ormai molti programmi ad uso professionale presuppongono
java, per cui disabilitarlo non è possibile in molte realtà.
Greg (15.05.2017, 16:33)
Il 15/05/17 11:06:34 GbC ha scritto:

> Avevo scritto un tool che fa proprio questo () che ho dato ai miei
> clienti e reso scaricabile dalla rete, che consente di attivare/disattivare (anche termporaneamente) WSH. Tieni
> presente che faccio il programmatore e non mi sono neanche accorto di aver disattivato WSH.
> Con gli aggiornamenti di Marzo non è più necessario, comunque la pagina è lì.
> Ciao cia'


Grazie :)
Max max (15.05.2017, 16:43)
Il 15/05/2017 11.06, GbC ha scritto:

> Con gli aggiornamenti di Marzo non è più necessario, comunque la pagina
> è lì.


Ottimo ! :)
Gabriele - onenet (15.05.2017, 19:55)
BIG Umberto wrote on 15/05/17 11:34:
> Gabriele - onenet in data 10:48, lunedì 15 maggio 2017, nel gruppo
> it.comp.sicurezza.virus ha scritto:
> Mi sovvengono seri dubbi...
> Ma questi exploit, che stranamente cia, nsa hanno in dotazione, non é micca che
> se li sono fatti fare apposta da mamma microsoft?
> Quindi perché avvisare chi lo sa giá perfettamente bene?
> Come si diceva, "a pensar male, é bene, perché spesso ci si azzecca"!


Eh capisco il tuo dubbio :-)
Però non credo, almeno in questo caso; anzi Microsoft non ha gradito molto e ha
fatto notare quanto sia pericoloso:


Gabriele
AleX (16.05.2017, 21:40)
Leonardo Serni <lserni> wrote in
news:b6qghcp8dj6k2r9i8poc7vmgmldfs3coiu:

> On Sun, 14 May 2017 11:49:37 +0200, "Bowlingbpsl" <bowling>
> wrote:
> Normalmente i ransomware ti arrivano da un computer zombie via mail,
> esplodono sul tuo computer e si estinguono.
> L'infezione è mantenuta dalla rete zombie.
> Se ho capito bene *QUESTO* ransomware, almeno per un certo tempo, fa
> scansione della rete su cui si trova, cercando share SaMBa vulnerabili
> e se le trova, fa di loro le sue donne.


E fin qui ci siamo.

Per?, almeno nel vademecum diffuso dalla Polizia di Stato, si legge:

/QUOTE ON
1) le vittime ricevono il malware via rete (**non si hanno al momento
evidenze di mail vettore dell?infezione**).
/QUOTE OFF

()

Quindi, mi chiedo, da dove sarebbero entrati nella rete locale? Quale ?
il "paziente zero" di ogni rete locale?

O, viceversa, ? possibile che ci siano tante macchine che, dietro un
router, espongono lato WAN le porte 139 e/o 445 ?

Ciao,
AleX

Discussioni simili