Andrea Lora CNR Istituto di Cristallografia Area della Ricerca RM1, via Salaria Km. 29,300-00015 Monterotondo scalo (RM) email andrea.lora@ic.cnr.



Documenti analoghi
Sophos Computer Security Scan Guida di avvio

Manuale per la configurazione di AziendaSoft in rete

Come rimuovere un Malware dal vostro sito web o blog Che cos è un Malware

Istruzioni operative instal azione FirmaVerifica3.0 Pag.1 di 27

Il tuo manuale d'uso. LEXMARK X502N

Manuale NetSupport v Liceo G. Cotta Marco Bolzon

Studi di Settore. Nota Operativa 22/4/2013

Manuale di configurazione di Notebook, Netbook e altri dispositivi personali che accedono all Hot e di programmi per la comunicazione

F-Secure Mobile Security per Nokia E51, E71 ed E75. 1 Installazione ed attivazione Client 5.1 F-Secure

Consiglio regionale della Toscana. Regole per il corretto funzionamento della posta elettronica

Guida rapida all uso di Moodle per gli studenti

Risultati dell esame degli oggetti scaricati da BackDoor.Flashback sui Mac infetti

Modulo Antivirus per Petra 3.3. Guida Utente

Durante la prova compare il messaggio Esame fallito

MODULO 02. Iniziamo a usare il computer

Configurazione di Outlook Express

INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB

Symantec AntiVirus : supplemento per Windows Vista

11/02/2015 MANUALE DI INSTALLAZIONE DELL APPLICAZIONE DESKTOP TELEMATICO VERSIONE 1.0

Identità e autenticazione

Istruzioni per la configurazione di Internet Explorer

Guida all'installazione (Italiano) Primi passi

CREAZIONE DEL FILE PER LA TRASMISSIONE TELEMATICA

MANUALE MOODLE STUDENTI. Accesso al Materiale Didattico

Guida di Pro Spam Remove

Il tuo manuale d'uso. F-SECURE MOBILE SECURITY 6 FOR ANDROID

Guida di Pro PC Secure

Procedura per la configurazione in rete di DMS.

GUIDA DELL UTENTE IN RETE

Installazione di Sophos Antivirus 5.1 su piattaforma Windows XP

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall

GateManager. 1 Indice. tecnico@gate-manager.it

MANUALE D'USO DEL PROGRAMMA IMMOBIPHONE

NOTE TECNICHE DI CONFIGURAZIONE. Giugno 2009

Rete Mac -Pc. Mac Os X Dove inserire i valori (IP, Subnetmask, ecc) Risorse di Rete (mousedx-proprietà)>

Installazione di GFI WebMonitor

su Windows XP con schede D-Link DWL 650+

Guida di Opzioni Fiery 1.3 (client)

su Windows XP con schede Cisco Aironet 350

Direzione Centrale per le Politiche dell Immigrazione e dell Asilo

Supporto On Line Allegato FAQ

Sistemi di Antivirus CEFRIEL. Politecnico di Milano. Consorzio per la Formazione e la Ricerca in Ingegneria dell Informazione. Politecnico di Milano

INFORMATION TECNOLOGY. a cura di Alessandro Padovani padoale@libero.it

Installazione del software Fiery per Windows e Macintosh

Domande e risposte su Avira ProActiv Community

Concessione del servizio di comunicazione elettronica certificata tra pubblica amministrazione e cittadino- PostaCertificat@

Nuovo server E-Shop: Guida alla installazione di Microsoft SQL Server

MODULO STAMPA BOLLETTINO PDF

DW-SmartCluster (ver. 2.1) Architettura e funzionamento

Problematiche SimulAtlas e Flash Player

SIEMENS GIGASET S450 IP GUIDA ALLA CONFIGURAZIONE EUTELIAVOIP

F-Secure Mobile Security per Windows Mobile 5.0 Installazione e attivazione dell F-Secure Client 5.1

MODELLO CLIENT/SERVER. Gianluca Daino Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena

Guida all Utilizzo dell Applicazione Centralino

Guida alla registrazione on-line di un DataLogger

Mac Application Manager 1.3 (SOLO PER TIGER)

SolidWorks Education Edition 2012 Istruzioni per l'installazione

Che cosa è un VIRUS?

Internet e posta elettronica. A cura di Massimiliano Buschi

SIEMENS GIGASET S685 IP GUIDA ALLA CONFIGURAZIONE EUTELIAVOIP

Manuale Helpdesk Ecube

Guida alla configurazione

Manuale di Aggiornamento BOLLETTINO. Rel H2. DATALOG Soluzioni Integrate a 32 Bit

Guida all Utilizzo del Posto Operatore su PC

1 Requisiti di sistema per Internet Security

DURC Client 4 - Guida configurazione Firma Digitale. DURC Client 4.1.7

Sistema operativo. Sommario. Sistema operativo...1 Browser...1. Convenzioni adottate

GUIDA PER LA CONNESSIONE ALLA RETE WIRELESS E ALL USO DEL SERVIZIO BERGAMO Wi-Fi

Fatti Raggiungere dal tuo Computer!!

BMSO1001. Virtual Configurator. Istruzioni d uso 02/10-01 PC

Eliminare il messaggio "Rete non identificata" da Windows 7

Che differenza c è tra una richiesta XML ed una domanda XML? (pag. 4)

SipaMi.NET v Risoluzione problemi installazione

Procedura installazione prodotti Kaspersky Lab (Windows XP)

Troppe Informazioni = Poca Sicurezza?

Con accesso remoto s'intende la possibilità di accedere ad uno o più Personal Computer con un modem ed una linea telefonica.

Manuale Servizio NEWSLETTER

PORTALE CLIENTI Manuale utente

VADEMECUM TECNICO. Per PC con sistema operativo Windows XP Windows Vista - Windows 7

PRODUZIONE PAGELLE IN FORMATO PDF

Anno 2009/2010 Syllabus 5.0

Configurazione WAN (accesso internet)

Gestione Laboratorio: Manuale d uso per l utilizzo del servizio Windows di invio automatico di SMS

ARP (Address Resolution Protocol)

Istruzioni di installazione per Internet Security. Indice

azienda, i dipendenti che lavorano fuori sede devono semplicemente collegarsi ad un sito Web specifico e immettere una password.

Registratori di Cassa

Guida informatica per l associazione #IDEA

NOTE OPERATIVE DI RELEASE

Corso di recupero di sistemi Lezione 8

Ente Ospedaliero Specializzato in Gastroenterologia "Saverio de Bellis" Istituto di Ricovero e Cura a Carattere Scientifico

Utilizzo dei Cookie Cosa sono i cookie? A cosa servono i cookie? cookie tecnici cookie, detti analitici cookie di profilazione

CAPITOLO 1 PREREQUISITI DI INSTALLAZIONE SOFTWARE RICAMBI CAPITOLO 2 PROCEDURA

BREVE GUIDA ALL ATTIVAZIONE DEL SERVIZIO DDNS PER DVR SERIE TMX

Gestione eventi di sistema Gestire correttamente la diagnostica di Windows

GUIDA ALLE SOLUZIONI

ROBERTOBIAGIOTTI.COM - COOKIE POLICY

1. I REQUISITI DI ATTIVAZIONE

Transcript:

Andrea Lora CNR Istituto di Cristallografia Area della Ricerca RM1, via Salaria Km. 29,300-00015 Monterotondo scalo (RM) email andrea.lora@ic.cnr.it Giuseppe Nantista CNR Istituto di Cristallografia Area della Ricerca RM1, via Salaria Km. 29,300-00015 Monterotondo scalo (RM) email giuseppe.nantista@ic.cnr.it Augusto Pifferi CNR Istituto di Cristallografia, Area della Ricerca RM1, via Salaria Km. 29,300-00015 Monterotondo scalo (RM) email augusto.pifferi@ic.cnr.it 2

Sommario Sommario... 3 Abstract... 4 Keywords... 4 Premessa... 5 Prime azioni intraprese: arginare gli effetti... 5 Una soluzione completa... 5 Conclusioni... 7 3

Abstract Nella giornata di martedì 22/01/2013 venivano rilevati dagli utenti dell'area della Ricerca RM1 disservizi nell accesso alla rete internet. Il problema era limitato alle macchine con sistema operativo Windows, che andavano ad interrogare server DNS diversi da quelli stabiliti dai parametri DHCP forniti ai client. Era risultata subito evidente la presenza di un malware che andava ad agire sui parametri di configurazione rete dei singoli client. In questo documento verranno descritte le operazioni messe in atto dal servizio reti dell'adr RM1 al fine di arginare i possibili danni che avrebbero potuto essere causati dal malware. Keywords ADWARE BOTNET MALWARE SPOOFING VIRUS INFORMATICI 4

Premessa Nelle prime ore lavorative del 22 Gennaio 2013 è emersa, su molti PC dell AdR RM1, l impossibilità di navigare in internet, con la visualizzazione di messaggi di errore che indicavano un malfunzionamento del servizio di risoluzione dei nomi a dominio. Eseguiti i test di routine su alcuni PC affetti e notando che non erano coinvolti tutti gli utenti dell AdR, ma solo una fetta (seppur grossa), è stato evidente che si trattasse di un virus informatico che interferiva con la corretta risoluzione dei nomi a dominio. L'effetto dell'infezione era di modificare la configurazione DNS del PC, forzando l'uso di due server esterni, localizzati in Francia presso il provider OVH. A posteriori è emerso che la diffusione del malware era partita tempo prima, ma solo il 22/01 è esplosa mostrando i suoi effetti. Prime azioni intraprese: arginare gli effetti Da una rapida osservazione non sembrava che il software fosse maligno, le richieste DNS venivano soddisfatte correttamente, tuttavia il rischio potenziale era che i DNS potessero dirottare le connessioni verso server malevoli al fine di catturare informazioni o diffondere altri virus. Già dalla prima mattinata però i server malevoli sono andati in sovraccarico e hanno iniziato a rispondere a una richiesta su 10, con l'effetto di rallentare e spesso bloccare la navigazione dei PC. I software antivirus (di diversi vendors) non rilevavano alcuna minaccia. La prima azione messa in atto dal servizio reti è stata quella di dirottare le richieste DNS inviate ai suddetti IP verso i server DNS dell'adr RM1, così da garantire la legittimità delle risposte fornite e al tempo stesso permettere agli utenti di continuare la normale attività. Contemporaneamente sono stati attivati meccanismi di logging al fine di compilare una lista di macchine (identificate come coppie ip - mac address) che avessero subito l'infezione; i referenti informatici dei singoli istituti avrebbero poi svolto le necessarie operazioni di pulizia del malware. E' stato poi inviato un postmaster interno a tutti gli utenti dell'adr con lo scopo di rassicurare l'utenza che il problema fosse stato circoscritto e in risoluzione. Una soluzione completa 5

Una volta escluso il fatto che il problema fosse centralizzato, e cioè che non fossero stati compromessi i server DHCP e DNS dell'adr, l'attenzione è stata spostata sui singoli client. È stato preso un PC infetto sul quale effettuare le verifiche del caso, trattandolo a tutti gli effetti come "paziente zero" dell'infezione in corso. È stato constatato che successive modifiche alla configurazione DNS delle schede di rete dei client infetti (per esempio cambiando le impostazioni da manuali ad automatiche) potevano essere annullate dal malware stesso, che in alcuni casi, accorgendosi del timeout delle risposte DNS dei server malevoli, impostava come server DNS quelli di Google ( 8.8.8.8 e 8.8.4.4 ), evitando che il disservizio da server DNS sovraccarichi potesse insospettire l'utente e proteggendo il malware stesso da possibili individuazioni. Conoscendo i sintomi del problema, ma non le cause, e constatato che i log del firewall mostravano un gran numero di utenze che facevano ricorso ai server esterni (oltre 50.000 connessioni in meno di 4 ore), è stato ritenuto necessario classificare l'incidente come alta priorità. id Timestamp Source Destination Protocol src-port dst-port 1 22/01/2013 10:00 192.167.XXX.246 176.31.229.25 DNS (UDP) 11844 53 2 22/01/2013 10:00 192.167.XXX.215 176.31.229.25 DNS (UDP) 64197 53 3 22/01/2013 10:00 192.167.XXX.70 176.31.229.25 DNS (UDP) 62332 53 4 22/01/2013 10:00 192.167.XXX.25 176.31.229.24 DNS (UDP) 65301 53 52042 22/01/2013 12:19 192.167.XXX.61 176.31.229.24 DNS (UDP) 64226 53 52043 22/01/2013 12:19 192.167.XXX.56 176.31.229.24 DNS (UDP) 58176 53 52044 22/01/2013 13:45 192.167.XXX.195 176.31.229.24 DNS (TCP) 50762 53 52045 22/01/2013 13:47 192.167.XXX.123 176.31.229.24 DNS (TCP) 50762 53 Figura 1 - Log del firewall L'utilizzo di uno dei più comuni software per l'individuazione di malware (HijackThis) ha consentito di individuare le possibili cause del problema. C'era la consapevolezza che il cambio dei DNS sui client venisse eseguito da un software presente sui client stessi, quello che non si riusciva a spiegare era perché una simile azione non venisse percepita dai diversi antivirus come altamente invasiva. Temendo di aver a che fare con un problema di tipo 0-Day, nei confronti del quale è sempre molto difficile difendersi, non si è dunque esitato a contattare esperti del settore. Ci si è rivolti al Dott. Marco Ugolini, Channel Account Manager di Kaspersky Lab, che in brevissimo tempo ha fornito un contatto diretto con il Dott. Stefano Ortolani, Security Researcher sempre presso Kaspersky Lab. A seguito di un fitto scambio di email sono stati forniti a Kaspersky Lab i log HijackThis del "paziente zero" e, sempre prelevando i file da quel computer compromesso, diversi file eseguibili. Il pc, isolato dalla rete dell'adr, è stato riavviato per effettuare il dump, attraverso wireshark, del traffico dati da esso generato. Il file pcap risultante è stato anche esso inviato a Kaspersky Lab. Nell'arco di qualche ora il Dott. Ortolani individuava in un programma chiamato "Power Offer" il vettore del malware. 6

Appena connesso alla rete il pc infetto contatta il sito web di Power Offer, prova dapprima un ping, poi accede in http e si autentica, infine scarica una modesta quantità di dati (payload) e chiude la comunicazione. Figura 2 - Dump delle attività di rete del pc infetto Una volta localizzato il programma, che aveva tra l'altro una corretta voce di Installazione/Disinstallazione all'interno del pannello di controllo, si è rinvenuto all'interno della cartella dell'eseguibile anche un file contenente un database Sqlite. Quest'ultimo conteneva varie keyword italiane tipiche dei meccanismi di SEO. La data della creazione directory contenente il programma è risultata essere il 16/12/2011, ma alcune sotto directory riportavano una data di creazione molto più recente. Si è pertanto arrivati alla conclusione che il software era stato installato molto prima dell'effettiva attuazione del cambio DNS. Kaspersky ha suggerito i possibili scenari che potevano essere compatibili con queste condizioni: o il software era già a lavoro da prima, ma eseguiva il suo compito senza causare disservizi al client finale, o un aggiornamento ha cambiato la destinazione d'uso del programma stesso. In ogni caso ci si trovava di fronte ad un adware che si comportava come malware. Una volta disinstallato il Power Offer il "patient zero" è tornato a funzionare normalmente, senza presentare nuovamente il problema del cambio di DNS server. Conclusioni I compiti del servizio reti, in questo caso specifico, sono stati essenzialmente due. Il primo è stato quello di individuare la minaccia e fornire una risposta rapida alla stessa. Una volta compreso che i client venivano forzati ad utilizzare server DNS diversi da quelli legittimi e che una modifica alle impostazioni sul client non era sufficiente a garantire che la stessa resistesse nel tempo, è risultato naturale forzare l'utilizzo dei server DNS dell AdR RM1 tramite un'apposita regola sul firewall che ridirigesse le query dai server malevoli. In questo frangente l attenzione non era diretta alle problematiche dei client quanto alla capacità degli utenti di continuare a lavorare senza disservizi e senza rischi legati ad attacchi di tipo DNS spoofing. La questione non sarebbe potuta essere affrontata in questa maniera se non ci fosse stata la certezza che i computer infetti in quel momento non partecipassero ad una botnet. L'assenza di connessioni persistenti sui pc infetti verso host ambigui e il volume di traffico regolare verso l'esterno ha permesso di escludere questa possibilità. 7

Accertato che i servizi di rete fossero erogati normalmente, gli sforzi sono stati direzionati verso l individuazione della causa del problema. La possibilità di interloquire con dei professionisti del settore, e cioè i tecnici specializzati di Kaspersky Lab, ha permesso di circoscrivere il problema ad uno specifico software. Una volta rimosso questo i computer che erano infetti hanno ripreso il loro corretto funzionamento. I file analizzati da Kaspersky Lab riconducibili a questa problematica sono stati inseriti nel loro database dopo meno di 24 ore dalla scoperta dell'incidente. Ringraziamenti Si ringrazia Kaspersky Lab per il supporto fornito all'istituto di Cristallografia, in particolare il Dott. Marco Ugolini e il Dott. Stefano Ortolani per l'estrema competenza, professionalità e gentilezza mostrata nell'affrontare questa problematica. 8

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back