In rete sono stati pubblicati nuovi interessanti dettagli sui recenti attacchi alla vulnerabilità nel Servizio Server, corretta dal colosso nel suo Patch Day di Agosto. Joe Stewart, senior security researcher del Threat Intelligence Group di LURHQ, ha analizzato una variante del Trojan Mocbot che si occupa di eseguire l'hijacking delle machine Windows prive di patch per popolare botnet controllate via IRC. Stewart ha trovato un modo per "spiare" di nascosto l'infrastruttura di command-and-control di una botnet, e le sue scoperte suggeriscono che gli spammer "for-profit" stanno chiaramente vincendo la gara "gatto col topo" con le aziende antivirus.

Stewart spiega: "Il fatto è che, una volta infettati, siete completamente sotto il controllo del botmaster. Ha la capacità di installare qualsiasi cosa vuole sulle vostre macchine, e non c'è un modo sicuro al cento per cento per sapere se la macchina è pulita". Stewart, un ricercatore specializzato nel reverse-engineering dei file malware, ribadisce: "l'unico modo per sapere se il sistema è completamente malware-free è quello di cancellare il disco rigido e reinstallare il sistema operativo". Stewart è giunto a questa conclusione dopo alcune ore di analisi su Mocbot. "Ho due macchine che si eseguono in un network isolato. Ho infettato una macchina con il malware, con la seconda che agisce come se fosse Internet intera". La seconda macchina, detta "sandnet", è un tool sperimentale per analizzare malware in un ambiente isolato, fornendo nel contempo una Internet virtuale con cui il malware può interagire.

Steward aggiunge: "Posso sedermi e vedere tutta l'interazione fino al punto in cui [la macchina infetta] entra nel canale di comando della botnet. Quindi posso prendere le informazioni, andare 'fuori' e replicarle. Posso vedere cosa fa un server reale per farmi una idea completa dell'operazione". Con Mocbot, che attacca la vulnerabilità MS06-040, Stewart è stato in grado di capire che i parassiti infetti si connettono a due server di comando e controllo hard-coded sugli indirizzi "bniu.househot.com" e "ypgw.wallloan.com". Il ricercatore è stato in grado di catturare la sequenza di login IRC generata dal bot. Questa include nome utente, nickname, nome canale e primi bit delle istruzioni inviate alla macchina infetta. Gli schemi di comando erano tutti criptati, e questo ha costretto Stewart ha creare uno script Perl in grado di decodificare gli algoritmi.

Il ricercatore ha quindi usato telnet per connettersi al server di comando sulla porta 18067 (quella del server IRC), ed ha iniziato a spiare il canale di controllo, senza trovare comunque nulla di interessante. Il codice del server IRC era stato infatti privato di quasi tutte le informazioni, eccetto la linea del channel topic, che era crittata. Una volta decodificato il codice, Stewart ha scoperto che il botmaster istruiva le macchine infette per unirsi ad un altro canale di controllo e ricevere un altro messaggio criptato. Questo messaggio decodificato include un semplice comando per scaricare un file da una URL su PixPond.com, un servizio di hosting gratuito di immagini. Il file è un spam proxy Trojan chiamato Win32.Ranky.fv. L'intero schema di infezione di massa è quindi finalizzato all'invio di spam. Sfruttando la sandnet Steward ha anche "spiato" il codice dello spam Trojan e ha scoperto che il malware invia un pacchetto 4-byte UDP all'indirizzo "yu.haxx.biz". Riproducendo questo in una rete connessa ad Internet il ricercatore si è infiltrato nella rete proxy. Steward ha iniziato a vedere immediatamente un gran numero di spam passare tramite il socks server, proveniente da dozzine di indirizzi IP. Steward commenta: "Sembra che questo è stato un attacco limitato e ridotto per questa semplice ragione. I cybercriminali non hanno voluto andare allo scoperto. Si tratta di settare delle piccole botnet e fare soldi con lo spam".

Il ricercatore di LURHQ evidenzia anche un problema: questo recente attacco conferma che le aziende e gli utenti finali dovrebbero stare attenti ad usare un solo software antivirus. All'inizio dell'attacco infatti solo un terzo degli scanner antivirus testati dal team di Steward era in grado di rilevare il malware, pur trattandosi di una variante di un codice conosciuto mesi fa. Inoltre bisogna considerare l'uso delle botnet che istruiscono le macchine al download di un secondo Trojan, di spam. Se si fosse trattato di un rootkit? Steward conclude: "Siamo arrivati al punto che è meglio prendere in considerazione la formattazione e reinstallazione delle machine dopo questi attacchi. Se il software di sicurezza usato non controlla la botnet e non conosce esattamente ciò che viene scaricato sulla macchina, il malware potrebbe rimanere nel sistema senza essere rilevato per molto tempo".

Fonte : Microsoft