Introduzione al DNS tunneling e come gli atttaccanti ne possono aproffittare

traduzione del contributo di Rahul Pawar, Security Researcher di Quick Heal

Che cosa è il DNS?

Il DNS, Domain Name System, è un servizo che converte gli hostname in indirizzi IP. E' un protocollo a livello applicativo che consente ad utenti e server di scambiare messaggi. Ogni host è identificato dal proprio indirizzo IP, ma è molto complesso per gli umani memorizzare una serie di numeri. Inoltre gli indirizzi IP non sono statici. Di conseguenza, il DNS converte il nome di dominio di un sito nel suo indirizzo IP numerico, così da rendere possibile per umano contattare un server usando il nome dominio e non l'indirizzo IP. Non a caso il sistema DNS viene definito anche "l'elenco telefonico di Internet", associando "un nome" ad un numero.  

Che cosa è il DNS Tunneling?

Il protocollo DNS ha un difetto: è stato sviluppato senza tenere di conto il paradigma della security by design. La sua centralità in Internet lo rende quindi uno dei target preferiti degli attaccanti. Il DNS tunneling, se utilizzato a fini dannosi, usa il protocollo DNS per distribuire malware ed esfiltrare dati. Questa tipologia di attacco esiste da oltre 20 anni, ma è tutt'ora un pericolo.

Un attaccante imposta un server dove è in esecuzione un malware e vi punta un dominio. Usando poi un server precedentemente infettato, l'attaccante ricerca il dominio sotto il proprio controllo. Il resolver DNS crea un tunnel tra l'attaccante e il suo target quando instrada la query. E' in queste query che gli attaccanti nascondono i dati necessari a perpetrare l'attacco. L'utente non ha cognizione di star "dialogando" con un server infetto.

Una tipologia di attacco siffatta ha un grande vantaggio per gli attaccanti: le query DNS sono quasi sempre autorizzate a transitare attraverso i firewall e le varie misure di sicurezza. Ne consegue che le query DNS sono corsie preferenziali che gli attaccanti possono sfruttare per eseguire attività dannose aggirando le difese.

Come funziona un attacco DNS tunneling?

L'immagine sotto rappresenta, passo passo, il funzionamento di un attacco DNS tunneling.

Database e Databreach: cresce il numero di database esposti in Internet. Un rischio facilmente prevenibile, con pochi accorgimenti

Il gruppo di ricercatori di sicurezza Group-IB ha pubblicato un importante report sui database pubblicamente disponibili in Internet, registrando un importante crescita, continuata per tutti i trimestri del 2021.

Allarme database esposti!

I ricercatori di Group IB hanno pubblicato un report sul tema dei database pubblicamente esposti in Internet. In totale, nel 2021 il Group-IB ha individuato oltre 308.000 database esposti nel 2021: la crescita di questo numero è stata costante per tutto il corso del 2021, ma ha registrato il suo picco i primi mesi di quest'anno. Segnale che rende verosimile la prospettiva per cui nel 2022 il problema non farà altro che acuirsi.

Nel primo trimestre del 2022, infatti, il numero dei database esposti è aumentato di 91.200, una crescita del 12%. In totale, considerando anche questi primi mesi del 2022, il report di Group-IB fissa a 399.200 i database a rischio. 

 

Fonte: Group-IB

La quasi totalità dei database risulta disponibile in Internet a causa di errate configurazioni: gioco facile per gli attaccanti, che dispongono di strumenti liberamente accessibili come motori di ricerca che indicizzaziono i sistemi raggiungibili tramite web aperto. Una semplice ricerca quindi permette loro di accedere ai database senza ulteriori sforzi, consentendo il furto dei dati. 

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 3° settimana Aprile

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 3° settimana di Aprile

La scorsa settimana il CERT-AGID ha individuato e analizzato 35 campagne dannose, quasi 20 in meno rispetto alla settimana precedente. Il dato che colpisce è che la quasi totalità di queste, ben 34 su 35, sono state campagne mirate contro utenti italiani mentre soltanto una è stata generica ma veicolata anche nel cyber spazio italiano. 

Le famiglie malware in distribuzione sono state 8 e, caso più unico che raro, la medaglia d'oro spetta a Qakbot, che è stato il malware più diffuso. Ecco la lista:

• Qakbot è stato in diffusione con quattro campagne a tema Resend e Pagamenti. Le email contengono un link che conduce al download di un archivio ZIP. Al suo interno è presente un documento in formato XLSB;

Ransomware Lockbit 2.0 colpisce ancora in Italia: il manuale di difesa

Non servono presentazioni per Lockbit 2.0. E' utile invece dire che, in poco meno di una settimana,   ASP Messina, Ingew, Jannone sono divenute le tre vittime più recenti. Nell'ultimo mese però Lockbit 2.0 ha colpito altre aziende italiane: nel conto sono da aggiungere anche Farmacia Statuto, Basso srl, Progetto edile srl ed altri. 

 

Fonte: leak site Lockbit 2.0

Il sito di leak di LockBit 2.0 elenca poi infiniti altri attacchi in giro nel mondo a riconferma della vivace attività di questo ransomware. Nel sito, per ogni vittima, è visibile l'indirizzo del sito web di riferimento, una breve descrizione e il logo, quindi il conto alla rovescia (ovvero le ore che mancano alla pubblicazione di una parte dei file rubati). In verde sono evidenziate le vittime i cui dati sono già stati pubblicati, in rosso quelle con countdown ancora in corso.

Fonte: leak site Lockbit 2.0

Un caso particolare è quello di Atento, un provider di servizi CMR brasiliano che ha subito, nell'ottobre dello scorso anno, un attacco di Lockbit 2.0. I danni ammontano, stando a cifre pubblicate dall'azienda stessa, a una perdita di profitti per 34.8 milioni di dollari e ulteriori 7.3 milioni di dollari di costi tecnici per mitigare i danni dell'attacco.

D'altronde che Lockbit sia una minaccia reale è confermato anche dall'attenzione che le agenzie di sicurezza dei governi di mezzo mondo gli stanno riservando. Uno dei più recenti avvisi di sicurezza su questa minaccia viene dall'FBI, che ha pubblicato non solo una grande quantità di dettagli tecnici sul ransomware (indicatori di compromissione compresi), ma anche molte indicazioni su come prevenire attacchi. Visto il momento, è forse utile scorrere un pò i punti principali: per il report completo rimandiamo a questo link.

Lockbit 2.0: uno sguardo generale

La botnet Emotet aumenta la propria attività e riduce drasticamente il tasso di rilevamento

UPDATE del 29/04/2022 -> Il CERT Giapponese ha aggiornato la propria utility EmoCheck alla versione 2.2. Questa individua e blocca la nuova versione a 64-bit di Emotet. L'utility è disponibile qui al download.


E' una vecchia conoscenza e una presenza quasi fissa nei report settimanali del CERT: Emotet non è affatto nuovo in Italia e anzi, si piazza tra i malware più distribuiti nel nostro paese. Ha avuto vicende alterne: qualche tempo fa abbiamo raccontato di come una task force internazionale ne ha preso il controllo e abbattuta l'infrastruttura. Ma Emotet è tornato, malware e botnet, più forte di prima.

Emotet in breve:

Emotet è un trojan modulare con capacità di auto propagazione. Può ottenere la persistenza sulla macchina infetta. E' usato principalmente per il furto dati, ma anche per il riconoscimento delle reti, per eseguire movimenti laterali o per fungere da dropper di ulteriori payload dannosi. In particolare molto spesso è usato come ariete per la distribuzione di Cobal Strike o di ransomware. Al malware si lega una botnet che sta crescendo costantemente.


Per saperne di più > Bad news, Emotet is back: il malware è tornato in attività e sta ricostruendo la sua botnet

I ricercatori segnalano un forte incremento della botnet Emotet

Le pessime notizie riguardo a Emotet non accennano però a diminuire, anzi. I ricercatori di sicurezza hanno denunciato una vera e propria impennata nella distribuzione del malware. C'è anche il forte sospetto che, a breve, gli attaccanti eseguiranno lo switch ad un nuovo payload che, attualmente, è rilevato da un numero veramente ridotto di soluzioni di sicurezza e motori antivirus.

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 2° settimana Aprile

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 2° settimana di Aprile

La scorsa settimana il CERT-AGID ha individuato e analizzato 52 campagne dannose attive nel cyber spazio italiano. Di queste, ben 49 sono state mirate contro obiettivi italiani: soltanto 3 invece quelle generiche ma veicolate anche nello spazio italiano.

11 sono state le famiglie malware individuate in diffusione:

• Ursnif è stato individuato in diffusione in 3 campagne miorate a tema Resend e Delivery. Le email veicolavano allegati DOC e XLS. Il CERT segnala di aver scoperto una nuova tecnica di evasione di Ursnif;
  
• AgenTesla è stato in diffusione con 3 campagne mirate contro utenti italiani: le email veicolavano allegati R11 e ZIP;
• Formbook è stato diffuso con 3 campagne mirate a tema Pagamenti. Le email avevano allegati R00, ACE e XZ;
• Qakbot è stato in diffusione con due campagne a tema Resend e Documenti. Le email contenevano un link che portava al download di un archivio ZIP. Al suo interno un documento XLSB;
• SmsGrab è stato diffuso con due campagne mirate a tema Banking e Aggiornamenti. Il malware, pensato per i dispositivi Android, sottrae gli SMS e le invia al server C2;
• Guloader torna in diffusione dopo una lunga assenza, con una sola campagna a tema pagamenti. Le email contenevano un link a Onedrive dal quale scaricare direttamente l'EXE del malware.
• SMSControllo è stato veicolato con una campagna mirata contro utenti italiani via SMS. Il Malware ruba gli SMS e ha funzionalità di screen sharing;
• Snake torna in diffusione con una campagna a tema Ordine: le email veicolavano allegati UUE;
• sLoad è sato diffuso con una campagna mirata a tema Pagamenti. Le email contenevano archivi ZIP con VBS;
• Lokibot è stato diffuso con una campagna generica, ma attiva anche nello spazio italiano, a tema Documenti. Gli allegati vettore erano file DOC.
  

QakBot in breve:

Una vulnerabilità critica del Firewall Sophos è sfruttata attivamente per attacchi reali

 Sophos ha informato che una vulnerabilità critica del proprio Firewall, già corretta, è sotto una ondata di tentaivi di sfruttamento. Cosa fare?

La vulnerabilità CVE-2022-1040

Sophos, come vendor di soluzioni di sicurezza, non ha bisogno di presentazioni. Data la sua diffusione è importante segnalare non solo la scoperta di una vulnerabilità, classificata come critica, nel Firewall ma anche che questa è attualmente sfruttata attivamente dagli attaccanti.

La CVE-2022-1040 è una vulnerabilità di Remote Code Execution (RCE): consente cioè, se sfruttata con successo, l'esecuzione di codice non autenticato da remoto. Scoperta due settimane fa circa, ha ricevuto un punteggio di criticità di 9.8 su 10. Consente di bypassare l'autenticazione ed è presente nel Portale Utente e nel Webadmin di Sophos Firewall.Le versioni di Sophos Firewall impattate sono la 18.5 MR3 (18.5.3) e precedenti, per le quali il vendor ha però già provveduto alla pubblicazione della patch.

Il fix è stato rilasciato dopo che un ricercatore di sicurezza anonimo ha avvisato il vendor tramite il programma di ricerca di bug (bug bounty) e verrà installato automaticamente per quegli utenti che hanno abilitato l'impostazione “Consenti installazione automatica di hotfix”. Quindi gli utenti conq questa impostazione attiva non dovranno fare nulla per risolvere il problema, come spiega l'advisory del vendor.  Lo stesso avviso spiega però che, per alcune versioni precedenti e per quelle end-of-life si dovrà procedere all'aggiornamento manuale.

I consigli per proteggersi dagli exploit

Ministero transizione ecologica: il sito di nuovo online. Si parla di attacco con il malware Ursnif

Come raccontato qualche giorno fa, il 6 Aprile scompare il sito web del Ministero della Transizione Ecologica. In diretta radio, il Ministro Roberto Cingolani, annunciava che “Mentre vi parlo, oltre alla sicurezza energetica, vi dico che abbiamo minacce esterne rilevate sulla rete informatica del Ministero”. Tutti i sistemi venivano messi offline e così sono rimasti per alcuni giorni.

Il sito web torna online mentre si fa strada il sospetto Ursnif

Il sito web è tornato online dopo 4 giorni di disservizio e le tempistiche hanno fatto sospettare gli esperti di cyber sicurezza che si fosse in presenza di un attacco malware definito. Verosimilmente l'infrastruttura è stata messa offline per evitare la diffusione di qualche attore di minacce.

I sospetti si stanno concetrando mentre, ricordiamo, sono in corso indagini da parte delle autorità competenti, su Ursnif. Infatti il CERT-AGID aveva messo in guardia di una campagna di email di spam con riferimenti espliciti al Mite.  Sul canale Telegram del CERT viene pubblicato, in data 23 Marzo, l'alert relativo a due diverse campagne di email di spam veicolanti, appunto Ursnif. 

Fonte: canale Telegram CERT-AgID

Attacco man-in-the-mail: azienda milanese truffata via email deve pagare due volte

La notizia sta girando sui principali quotidiani italiani: un caso da manuale di attacco "man in the mail". Un'azienda vede i bonfici dirottati, il debitore le fa causa. Il tribunale di Milano condanna la vittima a saldare i debiti.

La frode milanese: i fatti

In questa vicenda ci sono due parti in causa: una azienda creditrice e una debitrice legate tra loro da contratto. L'azienda debitrice bonifica la somma dovuta alla creditrice, la quale lamenta però di non aver ricevuto il pagamento. Le parti finiscono in causa. Qui si materializza lo spettro del cyber attacco, concretizzato poi dai fatti.

L'azienda debitrice ha subito un caso da manuale di attacco man in the mail: si intende, con questo, una parte terza che si è intromessa negli scambi email tra l'azienda debitrice e quella creditrice. In dettaglio ha violato l'account email di un responsabile dei pagamenti dell'azienda creditrice ed ha avuto accesso agli scambi email aziendali. Ha quindi indicato all'azienda debitrice un IBAN diverso da quello dell'azienda creditrice per saldare il corrispettivo dovuto, ovviamente rubando l'identità dell'azienda creditrice. In pratica l'attaccante ha dirottato i pagamenti ed ha provveduto a ritirarli prontamente non appena accreditati dalla banca.

Man in the mail: qualche dettaglio

Ministero della transizione ecologica, SIAE, Trenitalia, Bankitalia ma anche aziende sotto attacco. Cosa sta succedendo in Italia?

Abbiamo già parlato, qualche giorno fa, dell'attacco informatico subito da Trenitalia, che ha comportato giorni di disservizi e una figuraccia planetaria, quando le credenziali di accesso alla chat riservata al contatto con gli attaccanti sono finite pubblicate su Twitch (fatto per il quale l'attaccante ha raddoppiato la richiesta di riscatto e fornito nuove credenziali di accesso). E' emerso che l'attacco è stato portato da un gruppo ransomware ben noto in Italia, Hive. Fonti giornalistiche confermano che Trenitalia è ancora alle prese con la risoluzione dell'attacco: se il servizio di biglietteria è stato ripristinato nelle stazioni principali, in molte stazioni medio piccole non è ancora disponibile. Quasi in contemporanea questo attacco, ne sono avvenuti altri due: uno contro Confindustria Catania e uno contro l'azienda Crich: ne parliamo qui.  

Ma le scorse settimane non sono state da meno e hanno confermato che l'Italia è sotto torchio da parte del cyber crime, in una situazione in cui regna un ossessivo timore di atti di cyber war.

Il 30 Marzo c'è stato, va detto, un falso allarme: i sistemi informatici di Sogei sono andati offline e con essi i siti del Dipartimento delle Finanze del Ministero dell'Economia e delle Finanze, dell’Agenzia delle Entrate, dell'Agenzia di Riscossione, dell'Agenzia delle Dogane e Monopoli di Stato, dell' Agenzia del Demanio, della Ragioneria dello Stato e della stessa Sogei. Anche il sito del Computer security incident response team italiano (Csirt) è stato offline alcune ore. Sono andate in blocco alcune funzionalità del Green Pass, azzerate fatture, ricette elettroniche e scommesse online. Nessun attacco in questo caso, solo la conferma della fragilità delle nostre infrastrutture: Sogei ha spiegato che il disservizio è originato da problemi elettrici occorsi nella rete di alimentazione dei data center. Molti dispositivi hanno avuto problemi a cascata. 

Fonte: https://twitter.com/Sogei_SpA

Qui però finiscono i falsi allarmi e si fanno veri...

Spring4Shell - la vulnerabilità che affligge Spring mette a rischio le app aziendali: come affrontare il problema

Non è passato molto tempo dalla scoperta di Log4Shell, una vulnerabilità che consente l'esecuzione di codice da remoto senza necessità di autenticazione e può essere sfruttata per eseguire codice arbitrario su applicazioni e server basati su Java che eseguono la libreria Log4j.

Ora siamo di fronte all'individuazione di ben due nuove vulnerabilità che possono mettere a rischio la sicurezza di migliaia di aziende nel mondo. Entrambe 0-day, affliggono Spring uno dei più diffusi e utilizzati framework open source per scrivere applicazioni in Java. Spring è molto utilizzato perchè consente agli sviluppatori di sviluppare velocemente e facilmente applicazioni Java con funzionalità destinate al mondo enterprise.

La vulnerabilità CVE-2022-22963 nella funzione Spring Cloud

La prima vulnerabilità individuata è stata la vulnerabilità CVE-2022-22963  nella funzione Spring Cloud. In caso sfruttata correttamente, questa vulnerabilità può consentire l'esecuzione di codice remoto non autenticato nelle applicazioni ed è stata classificata di gravità media.

I ricercatori di NSFOCUS spiegano che la vulnerabilità viene attivata dal parametro "spring.cloud.function.routing-expression" e che consente agli attaccanti di accedere ai materiali lato server, di spostare account utente, di interferire con le funzionalità.

CVE-2022-22963: quali versioni riguarda?
Le versioni Spring Cloud afflitte da questa vulnerabilità sono la 3.1.6, la 3.2.2 e tutte le precedenti. Secondo i suoi sviluppatori, la migliore opzione è quella di procedere urgentemente all'aggiornamento della versione in uso adottando le versioni 3.1.7 o 3.2.3 a seconda del ramo applicativo in uso.

La vulnerabilità CVE-2022-22965 sul Core e l'exploit Spring4Shell. 

Cosa "gira" in Italia? Malware e campagne di attacco individuate dal CERT - 4° settimana Marzo

Quali malware girano nel panorama italiano? Quali campagne di attacco? Quali sono i malware che un team di sicurezza IT dovrebbe tenere d'occhio per aggiornare gli indici di compromissione dei sistemi di sicurezza così che possano bloccare un'infezione alla fonte?

A queste domande risponde settimanalmente il CERT-AgID con un apposito report che rende una fotografia delle cyber minacce individuate e analizzate dal team di esperti del Computer Emergency Response Team italiano.

I malware della 4° settimana Marzo

La scorsa settimana il CERT-AGID ha individuato e analizzato 38 campagne dannose attive nel cyber spazio italiano. Di queste, ben 36 sono state mirate contro obiettivi italiani; soltanto due invece quelle generiche ma veicolate anche nello spazio italiano. 1018 gli indicatori di compromissione individuati.

10 sono state le famiglie malware individuate in diffusione:

• Emotet è stato il malware più individuato in diffusione, per la terza settimana consecutiva. E' stato diffuso con ben 11 campagne, a tema Resend, Documenti o Pagamenti. Tutte le email contenevano un file archivio .ZIP con, al suo interno, documenti in formato XLSM o XLS. A loro volta questi erano usati per scaricare la DLL di Emotet. Analisi sui server C&C del malware hanno portato alla luce il fatto che alcuni di questi sono ospitati su hosting italiani;
• Brata è stato in diffusione con 3 diverse campagne a meta Banking e una a tema Avvisi di Sicurezza. E' stato diffuso via SMS contenenti un link che rimandava al download in un file in formato APK;
• Formbook è stato diffuso con 2 campagne, una mirata su utenti italiani e una generica ma veicolata anche in Italia. Entrambe le campagne sono state via email, a tema Pagamenti o Documenti con allegati di tipo ZIP o CAB. I ricercatori del CERT hanno notato come al campagna che ha fatto uso del file vettore CAB distribuisse anche un secondo CAB contenente, a sua volta, il malware Nanocore;
• Qakbot è stato diffuso con due campagne mirate contro utenti italiani, a tema Resend. Le email contenevano il link per il download di un archivio ZIP contenente un documento XLSB con macro dannosa;
• AgenTesla è stato diffuso con due campagne mirate, a tema Pagamenti. Le email veicolavano allegati in formato GZ e IMG;
• Snake è stato diffuso con una campagna a tema Ordine veicolata via email. Le email contenevano allegati ZIP con, al loro interno, un file esegubile EXE con funzionalità di dropper. Questo scarica un file PE da un repository remoto.
• Nanocore, come detto prima, è stato diffuso in un'unica campagna assieme al malware Formbook;
• Avemaria è stato diffuso con una campagna italiana a tema preventivo. E' stato diffuso via email contenenti allegai ZIP;
• Ursnif è stato diffuso con una sola campagna a tema pagamenti. E' stato diffuso via email contenenti allegati XLS;
• WarzoneRat è stato diffuso con una campagna email a tema Delivery. Le email contenevano allegati XLS.
  

QakBot in breve:

Giornata mondiale del backup: in Italia un terzo delle PMI a rischio down perchè non ha backup

Ieri, 31 Marzo, si è celebrata nel mondo la giornata mondiale del backup, una giornata pensata e voluta per sensibilizzare aziende ed enti, pubbliche amministrazioni ma anche singoli utenti rispetto all'importanza del backup. In Italia, forse, sarebbe utile fissare questa giornata come festa nazionale, perchè la situazione nel nostro paese è piuttosto grave e non siamo evidentemente pronti ad affrontare questa nuova ondata di cyber rischi, tra delinquenza comune e cyberwar tra Stati nel crescendo di tensioni internazionali.

Aruba-Bva Doxa hanno condotto una indagine sulla situazione delle piccole e medie imprese italiane rispetto alle soluzioni di backup. I dati parlano chiaro: il 27% delle PMI italiane non possiede alcuna forma di backup, nè in locale nè in cloud. Se invece si guardano solo per piccole imprese, qui il dato di coloro che non hanno alcun backup implementato sale al 43%. L'indagine è stata svolta intervistando i responsabili IT e della sicurezza di 300 piccole e medie imprese italiane attive nei settori commercio, esercizi pubblici, sanità, istruzione, trasporti, costruzioni, produzione e vendita, servizi e terziario.

Prima delle note dolenti qualche dato positivo...