Operation Bloodninja. Phishing Campaign Analysis Report

Documenti analoghi
SICUREZZA INFORMATICA MINACCE

Upload del CMS sul server scelto

LA GESTIONE DELLE VISITE CLIENTI VIA WEB

NUOVA PROCEDURA DI RESET PASSWORD AUTOMATICA

Infrastruttura wireless d Ateneo (UNITUS-WiFi)

Manuale utente Gestione Utenti Portale Albo

ORDINE DI SERVIZIO N. 4/ Area Personale

Manuale LiveBox WEB ADMIN.

Hub-PA Versione Manuale utente

Procedura di iscrizione alla Piattaforma On Line e-learning. Q&S Qualità & Sicurezza S.r.l. PUNTO 1: Accesso alla Piattaforma... 2

Managed Security Service

Informatica per la comunicazione" - lezione 13 -


penetration test (ipotesi di sviluppo)

Servizio on-line di Analisi e Refertazione Elettrocardiografica

PSNET UC RUPAR PIEMONTE MANUALE OPERATIVO

INFORMATIVA SUI COOKIE

L amministratore di dominio

Procedura di iscrizione alla Piattaforma On Line

Manuale LiveBox APPLICAZIONE ANDROID.

GMail & SMIME. GMail e Certificati SMIME. User Guide

Banca dati Professioniste in rete per le P.A. Guida all uso per le Professioniste

Guida utente alla compilazione delle richieste di contributo on-line per le Associazioni dei Consumatori

MANUALE PARCELLA FACILE PLUS INDICE

Manuale LiveBox WEB ADMIN.

ZEROTRUTH & ASTERISK. ZEROTRUTH AUTOREGISTRAZIONE CON ASTERISK

Sistema Accordo Pagamenti

TeamPortal. Servizi integrati con ambienti Gestionali

TeamPortal. Servizi integrati con ambienti Gestionali

Cosa succede quando si naviga

Una minaccia dovuta all uso dell SNMP su WLAN

Politica del WHOIS relativa al nome a dominio.eu

DEFENCE in DEPTH. Strategie di riduzione della superficie d attacco e dei rischi informatici

uadro Soluzioni software per L archiviazione elettronica dei documenti Gestione Aziendale Fa quadrato attorno alla tua azienda

ImporterOne Manuale Export Plugin Prestashop

Guida alla registrazione on-line di un DataLogger

Come... Registrarsi su OB10

Architettura del. Sintesi dei livelli di rete. Livelli di trasporto e inferiori (Livelli 1-4)

Domande e risposte su Avira ProActiv Community

GUIDA TECNICA ALLA RENDICONTAZIONE SU SIRIO

La sicurezza informatica. Luca Filippi

Manuale di utilizzo del servizio in cloud

GateManager. 1 Indice. tecnico@gate-manager.it

Procedura SMS. Manuale Utente

Tipologie e metodi di attacco

Manuale Utente Amministrazione Trasparente GA

Manuale LiveBox APPLICAZIONE ANDROID.

Manuale Amministratore Legalmail Enterprise. Manuale ad uso degli Amministratori del Servizio Legalmail Enterprise

01/05/2013 Istruzioni per l installazione

Fon.Coop Sistema di Gestione dei Piani di Formazione. Manuale per la Registrazione utente nel Nuovo

Titolo: Documento: Data di redazione: Contenuto del documento: 1: Cos è il servizio Dynamic DNS

2.1 Installazione e configurazione LMS [4]

SOMMARIO Gruppo 4 - All right reserved 1

Guida all uso del sito web dell Istituto M. Pira di Siniscola

Software Servizi Web UOGA

Regione Piemonte Portale Rilevazioni Crediti EELL Manuale Utente

Joomla: Come installarlo e come usarlo. A cura di

MANUALE UTENTE Profilo Azienda Partecipata. APPLICATIVO CAFWeb

Lifephone. Introduzione. Database. Sito

BcsWeb 3.0. Manuale utente. Rev. 3 (luglio 2012)

Sistema Informativo Ufficio Centrale Stupefacenti: manuale di gestione delle utenze di accesso (Provisioning)

1/15. Manuale d uso. Rev.1 del 18 Settembre 2013 Rev.2 del 24 Settembre 2013 Rev.3 del 9 Dicembre 2013

Wordpress. Acquistare un sito web. Colleghiamoci con il sito

DOCFINDERWEB SERVICE E CLIENT

Integrazione InfiniteCRM - MailUp

Manuale LiveBox APPLICAZIONE WINDOWS PHONE V (465)

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

Piattaforma per la gestione degli Elenchi degli Operatori economici del Commissario Straordinario Delegato Calabria

SPORTELLO UNICO DELLE ATTIVITÀ PRODUTTIVE MANUALE OPERATIVO FUNZIONI DI PAGAMENTO ONLINE. Versione 05

Manuale LiveBox APPLICAZIONE IOS.

SVILUPPO DEL BLOG Autori: Ilari Michele, Cimini Oscar, Zaleski Dawid

Gruppi, Condivisioni e Permessi. Orazio Battaglia

Sistema Accordo Pagamenti

Istruzioni operative (v. 1.01) Servizio MB - Mobile Banking Banca Passadore

MANUALE DI UTILIZZO: INTRANET PROVINCIA DI POTENZA

GUIDA ALLA GESTIONE DEI TICKET REV. 1. guida_gestione_tck_rev1.doc - 1 di 9

ImporterONE Export Plugin Magento

Installazione di Moodle. Preparato per: Gruppo A, Piattaforma di E - Learning Preparato da: Cinzia Compagnone, Vittorio Saettone

Manuale di utilizzo del sito ASUWEB

E-LEARNING ACADEMY GUIDA OPERATIVA

UNICO WEB DbLan Group SRL

Console di Amministrazione Centralizzata Guida Rapida

GUIDA ALLA REGISTRAZIONE DI UN DVR SU

Accreditamento al SID

Sistema Informativo Gestione Fidelizzazione Clienti MANUALE D USO

MyFRITZ!, Dynamic DNS e Accesso Remoto

L apposizione di firme e informazioni su documenti firmati

AZIENDA_BUYER Vendor Management - Seller

E-Post Office Manuale utente

Manuale Utente SIRECO


Guida all utilizzo di Moodle per gli studenti

Manuale Operativo per l utilizzo della piattaforma E-Learning@AQ. Versione 1.1

ISTRUZIONI OPERATIVE AGGIORNAMENTO DEL 18/04/2013

SMS API. Documentazione Tecnica YouSMS HTTP API. YouSMS Evet Limited

CORSO DI FORMAZIONE PER L'ACCESSO AI LABORATORI DELL'ATENEO COMPILAZIONE SCHEDA DI ACCESSO

Sistema di gestione Certificato MANUALE PER L'UTENTE

REGIONE SICILIANA. Implementazione del modello di governo clinico integrato U.F.A. ONCO EMA. al Decreto 10 Ottobre 2012 Regione e Siciliana

Transcript:

Operation Bloodninja Phishing Campaign Analysis Report

Sommario Executive Summary... 1 Technical Analysis... 2 Attack Flow... 2 Components Analysis... 4 login_a.php... 4 css.php... 5 wp- config.php... 6.htaccess... 6 Tracciamento... 7 Conclusioni... 7 Sample... 8 About Tiger Security... 8 i

Executive Summary Il Cyber Intelligence Operation Center (CIOC) di Tiger Security ha rilevato in rete una campagna cyber- criminale di tipo phishing mirata agli utenti del colosso statunitense CloudFlare, Operation Bloodninja. L operazione, condotta da uno o più individui di origini russofone, punta a reperire le credenziali di accesso per gli account CloudFlare, facendo forza su un buon grado di sofisticazione e diversi accorgimenti atti ad ingannare le potenziali vittime. Una volta compromessi gli account, il criminale è potenzialmente in grado di eseguire molteplici operazioni con diverse finalità, inclusa la creazione di sottodomini fraudolenti da utilizzare in altre attività malevole, la conduzione di attacchi Man in the Middle (MitM), Session Hijacking, Domain Shadowing e Distributed Denial of Service (DDoS). 1

Technical Analysis Attack Flow Lo schema criminale prevede una prima raccolta di informazioni relative agli account email di soggetti i cui nomi a dominio sono amministrati da CloudFlare. A tale scopo l attaccante utilizza lo strumento whois, grazie al quale è possibile recuperare i contatti email. Contestualmente all inizio delle operazioni, il cyber- criminale deve poter disporre di una serie di portali compromessi dove caricare il kit di phishing. Nel caso specifico, sono state presumibilmente sfruttate vulnerabilità note dei CMS più popolari (Wordpress, Drupal, Joomla..), alternate ad attacchi a forza bruta (brute force) per il reperimento di credenziali di amministrazione. A questo punto viene eseguito l upload del kit malevolo, composto da tre file (login_a.php, css.php e wp- config.php) più un quarto che viene generato in fase di esecuzione (.htaccess). 2

Successivamente, attraverso il file wp- config.php, viene creata la nuova campagna di phishing mirata e inizia l invio massivo di email fraudolente. Per incrementarne il grado di legittimità, viene fatto uso della tecnica di spoofing del mittente che, nel caso analizzato, risulta essere support@t.cloudflare.com. Invitata a seguire un link per la verifica di presunti upgrade del servizio, la vittima viene indirizzata in realtà ad un falso pannello visibilmente identico a quello di login di CloudFlare, ma palesemente ospitato su un dominio non riconducibile alla compagnia americana. Nel caso in cui la vittima inserisca le proprie credenziali nel form artefatto, queste andranno a finire direttamente nella DropZone tramite una semplice chiamata GET in HTTP. 3

L ultimo step prevede la raccolta delle credenziali sottratte e il successivo utilizzo delle stesse per accedere agli account CloudFlare delle vittime. Components Analysis login_a.php Il file login_a.php è la pagina di login fraudolenta graficamente identica all originale. Nello screenshot proposto è possibile osservare la versione decriptata del codice PHP incaricato della gestione delle informazioni inviate dalle vittime, della creazione del file.htaccess e del reindirizzamento al reale dominio di CloudFlare. 4

In particolare, questo reindirizzamento avviene al termine del tentativo di login della vittima o nel caso in cui quest ultima torni una seconda volta sulla medesima pagina fraudolenta. Curiosamente, all interno del codice sono presenti dei commenti riconducibili ad una delle chat di Bloodninja 1 una sorta di vecchio tormentone comico della rete che dai primi anni 2000 viene saltuariamente riproposto dai ragazzini su internet. Questa particolarità è stata sfruttata per dare il nome all intera operazione cyber- criminale. css.php css.php è una semplice backdoor che consente al cyber- criminale di caricare all interno della stessa directory qualsiasi tipo di file, comprese ulteriori pagine PHP. 1 http://www.urbandictionary.com/define.php?term=bloodninja 5

wp- config.php Il file wp- config.php è invece uno script creato per l impostazione e l invio delle email fraudolente.htaccess Il file.htaccess viene creato a partire da login_a.php e serve all attaccante per poter utilizzare diversi e meno sospetti url che rimandino comunque al contenuto di login_a.php (url rewrite). 6

Tracciamento Gli attori di Operation Bloodninja sembrerebbero essere dell Est Europa e presumibilmente di origine russa. Le evidenze raccolte in fase di analisi dal CIOC di Tiger Security circoscriverebbero inoltre la presenza fisica di almeno uno dei cyber- criminali in Tailandia, più precisamente nella città di Bangkok. Conclusioni Il fine ultimo della campagna cyber- criminale sarà quello di ottenere accesso alla gestione di quanti più domini possibili con lo scopo di sfruttarli per attività fraudolente. Analizzando anche analoghe iniziative sempre mirate alla compromissione di account CloudFlare 2, uno dei principali obiettivi degli attaccanti, una volta ottenuto l accesso abusivo al pannello di gestione dei domini, è verosimilmente la creazione di nuovi sottodomini fraudolenti da utilizzare, ad esempio, per la conduzione di altri attacchi phishing verso terze realtà. La liberalizzazione dei caratteri all interno dei domini, permette infatti di inserirvi anche simboli come / che consentono al cyber- criminale di modificare a proprio piacimento sottodomini di terzo livello per renderli genuini agli occhi delle vittime. In questo modo il dominio modificato può apparire visivamente come un sottodominio di un portale legittimo: es: www.safesite.com login.html.evilsite.com Altri potenziali abusi della gestione di account CloudFlare potrebbero poi includere la conduzione di attacchi MitM e Session Hijacking, ove al cyber- criminale basterebbe virare il traffico a livello IP su un suo sistema per poi indirizzarlo nuovamente verso il server reale. Utilizzando questa tecnica, l attaccante avrebbe non solo la possibilità di collezionare i dati sensibili passanti, come username e password, ma anche quella di fare injection di exploit mirati a vulnerabilità browser. Non ultima, ma ritenuta meno plausibile, la possibilità che i cyber- criminali possano effettuare attività di Distributed Denial of Service (DDoS) mediante il reindirizzamento di molteplici hostname verso l IP dei target, sfruttando il traffico generato dai singoli utenti. 2 https://blog.cloudflare.com/of- phishing- attacks- and- wordpress- 0days/ 7

Sample MD5 (css.php) = 53e0eb8d87091a0563a5ae0292b632c2 MD5 (login_a.php) = 83b57e0a62602720e45d67d261c2e3e7 MD5 (wp- config.php) = 8ab426b48136cd50d6f68b705a399f01 About Tiger Security Tiger Security è una azienda Italiana leader nelle soluzioni di Cyber Intelligence e Information Security. La nostra base di clienti include sia il settore pubblico - Governi, forze di Polizia e Militare - che privato - specialmente in ambito infrastrutture critiche, sia in Italia che all estero. Inoltre, i nostri prodotti e servizi sono utilizzati da istituti di Ricerca Europei di avanguardia nel campo della cyber defence. L approccio e la value proposition di Tiger Security si pone come estensione delle policy di risk management dei nostri clienti, in un contesto dove la Cyber Intelligence e la sicurezza delle informazioni sono di rilevanza crescente in virtù della complessità, pericolosità e della continua evoluzione delle minacce digitali. La mission di Tiger Security è quella di scoprire, monitorare e tracciare minacce digitali utilizzando un approccio preventivo, non convenzionale ed innovativo che garantisca un significativo miglioramento del profilo di rischio dei nostri clienti. 8

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back