Pillola di sicurezza ICT
Inviato: mer feb 01, 2017 11:18 pm
Un'ora e mezzo fa ho ricevuto nell'ennesimo ghiottissimo messaggio di posta elettronica con "sorpresa", chiaramente non propriamente positiva per chi lo riceve.
Veniamo al contenuto: il sito Linkedin chiede di verificare il proprio indirizzo di posta elettronica, non la password questa volta. Una simile richiesta può risultare apparentemente lecita, soprattutto grazie al layout del messaggio, del tutto identico a quello originale. Tuttavia il link "nascosto" dietro il collegamento "Click here" è il seguente: http://bjyfzb.com/running. php (sconsiglio di utilizzarlo, per sicurezza ho aggiunto uno spazio per rendere tale link inattivo).
Analizzando l'indirizzo menzionato tramite un sito appositamente dedicato (netcraft.com) è possibile risalire ad alcune informazioni interessanti. In primis l'ubicazione fisica del server su cui è ospitato il dominio in questione. In questo caso si tratta di un server ubicato ad Hong Kong, e quel sito risulta essere stato attivato, più o meno, nel mese di gennaio 2016 ed è ospitato su un sistema operativo Microsoft Windows 2003 server (sistema operativo per altro anche piuttosto datato) ed ovviamente su piattaforma IIS 6. Non dispongo di una macchina virtuale da sacrificare per scoprire cosa faccia la pagina "running.php" ma è altamente probabile che si attivi un ramsonware (ovvero una sequenza di script che, al termine, esegue una cifratura con algoritmo AES256 del contenuto di alcune directory significative del sistema operativo, con successiva richiesta di riscatto). D'altra parte questa è l'attuale metodologia di lavoro preminente di questi siti con "sorpresa".
Per ulteriore scrupolo ho voluto vedere anche l'header del messaggio email per leggere l'indirizzo IP dell'MX (server di posta elettronica) mittente. Provando a ricontattare l'IP dell'MX mittente questo non risponde sulla porta 25, come ci si aspetterebbe. Ciò indica che, completato l'invio di una sequenza di messaggi con "esca", questo MX cessa di funzionare. Per altro, come mi immaginavo, quell'indirizzo IP è presente in oltre una decina di blacklist antispam poiché ogni invio di questi messaggi provoca, chiaramente, una reazione da parte dei gestori di MX che operano in modo lecito e spesso implementano delle policy che segnalano queste mail anomale, a loro volta, ai gestori di queste blacklist antispam. Quindi inutile continuare a tenere attivo un MX su un IP ormai "bruciato". L'indirizzo IP da cui è stato spedito il messaggio è, per altro, in una sottorete assegnata ad un operatore ICT italiano con sede a Milano... Si potrebbe bussare alla loro porta e domandare come mai da una macchina con sistema operativo Linux, presso la loro infrastruttura, vengono inviati messaggi fittizi di Linkedin con link "a sorpresa". Probabile che sia una "testa di ponte" visto che quel sistema opearativo Linux espone l'accesso alla shell SSH sulla consueta porta TCP 22 (qualunque buon amministratore di sistemi operativi Linux non lascerebbe mai che ciò avvenisse).
Fine della pillola di sicurezza.
Veniamo al contenuto: il sito Linkedin chiede di verificare il proprio indirizzo di posta elettronica, non la password questa volta. Una simile richiesta può risultare apparentemente lecita, soprattutto grazie al layout del messaggio, del tutto identico a quello originale. Tuttavia il link "nascosto" dietro il collegamento "Click here" è il seguente: http://bjyfzb.com/running. php (sconsiglio di utilizzarlo, per sicurezza ho aggiunto uno spazio per rendere tale link inattivo).
Analizzando l'indirizzo menzionato tramite un sito appositamente dedicato (netcraft.com) è possibile risalire ad alcune informazioni interessanti. In primis l'ubicazione fisica del server su cui è ospitato il dominio in questione. In questo caso si tratta di un server ubicato ad Hong Kong, e quel sito risulta essere stato attivato, più o meno, nel mese di gennaio 2016 ed è ospitato su un sistema operativo Microsoft Windows 2003 server (sistema operativo per altro anche piuttosto datato) ed ovviamente su piattaforma IIS 6. Non dispongo di una macchina virtuale da sacrificare per scoprire cosa faccia la pagina "running.php" ma è altamente probabile che si attivi un ramsonware (ovvero una sequenza di script che, al termine, esegue una cifratura con algoritmo AES256 del contenuto di alcune directory significative del sistema operativo, con successiva richiesta di riscatto). D'altra parte questa è l'attuale metodologia di lavoro preminente di questi siti con "sorpresa".
Per ulteriore scrupolo ho voluto vedere anche l'header del messaggio email per leggere l'indirizzo IP dell'MX (server di posta elettronica) mittente. Provando a ricontattare l'IP dell'MX mittente questo non risponde sulla porta 25, come ci si aspetterebbe. Ciò indica che, completato l'invio di una sequenza di messaggi con "esca", questo MX cessa di funzionare. Per altro, come mi immaginavo, quell'indirizzo IP è presente in oltre una decina di blacklist antispam poiché ogni invio di questi messaggi provoca, chiaramente, una reazione da parte dei gestori di MX che operano in modo lecito e spesso implementano delle policy che segnalano queste mail anomale, a loro volta, ai gestori di queste blacklist antispam. Quindi inutile continuare a tenere attivo un MX su un IP ormai "bruciato". L'indirizzo IP da cui è stato spedito il messaggio è, per altro, in una sottorete assegnata ad un operatore ICT italiano con sede a Milano... Si potrebbe bussare alla loro porta e domandare come mai da una macchina con sistema operativo Linux, presso la loro infrastruttura, vengono inviati messaggi fittizi di Linkedin con link "a sorpresa". Probabile che sia una "testa di ponte" visto che quel sistema opearativo Linux espone l'accesso alla shell SSH sulla consueta porta TCP 22 (qualunque buon amministratore di sistemi operativi Linux non lascerebbe mai che ciò avvenisse).
Fine della pillola di sicurezza.