giovedì 15 maggio 2008

Capire RBN: dal virus Zlob ai siti di affiliazione per falsi antivirus

Questa volta partiremo dal tentativo di trovare questo blog utilizzando un motore di ricerca per mostrare tutta una serie di
minacce e pratiche illecite dei cybercriminali di RBN (russian business network) e per cercare mettere in evidenza la gigantesca organizzazione che c'è dietro.
Supponiamo quindi di inserire su alcuni search engine (yahoo, live , clusty) la parola "maipiugromozon".
Come potete vedere nell'immagine qui sotto sono mostrate alcune pagine civetta costruite ad arte per infettare molto probabilmente su hosting gratuito. Ho scelto clusty per praticita', ma sono presenti anche su yahoo e live(msn)




Proviamo a visitare una di queste e veniamo subito reindirizzati, dopo un passaggio su lineacount.info che si trova sull'arcinoto range spazzatura ucraino 85.255.112.0 - 85.255.127.255 UkrTeleGroup,

su italianpornovideos.com [da non visitare assolutamente]

ospitato su un altro notissimo range spazzatura ad honk kong 58.65.232.0 - 58.65.239.255 HOSTFRESH sempre di RBN

lineacount.info individua la nazionalita' dell'ip del malcapitato e manda su una pagina che sostanzialmente obbliga a scaricare un falso codec video (virus Zlob)


Una cosa interessante è che nel sito pensato per i navigatori del bel paese , a differenza delle versione "internazionale", sono presenti 2 iframe malevoli.
Si tratta, quindi, di attacchi e malware specifici per il traffico italiano, che è stato sempre molto appetibile per RBN, probabilmente per via dei dialer.




Nel caso di visitatori che non provengono dal nostro paese lineacount.info dirotta, come gia' accennato, o su una pagina con falsi codec video senza iframe oppure verso un sito che mostra una scansione del pc del tutto fasulla al fine di farci scaricare un programma antivirus truffa.



Diamo un'occhiata ai domini (che in genere vengono cambiati spesso):

gli iframe puntano a:
1)adultxx-18.com  72.21.53.218  Layered Technologies inc.
societa' americana che viene spesso utilizzata da RBN per ospitare malware e siti relativi ad altre attivita'
illecite.
[nota] spesso i criminali di RBN usano server di Layered Technologies Inc, Theplanet e Everyones Internet , tutti hoster negli USA

2) my-istat.cc
203.186.128.153 ma anche qui non so dirvi se si tratta di un server RBN o semplicemente utilizzato da
RBN

Ovviamente questi 2 server sono pieni zeppi di exploit.
Il falso codec video invece si trova su
vm-codec2008.com 217.170.77.150 e questo dovrebbe appartenere ad un range malevolo: TimeWeb (217.170.77.0 - 217.170.77.255) in Russia

Tutti i domini sono registrati tramite la famigerata ESTDOMAINS, INC

A questo punto proviamo a fare un'analisi di Zlob. Inutile dire che non viene praticamente mai intercettato dagli antivirus perchè il file viene cambiato con una frequenza continua.
Ma non si tratta solo di una ricodifica dello stesso file.
Vengono modificati anche i server da cui il zlob fa scaricare ulteriori malware.

Qui sotto ho messo una serie di link relativi all'analisi con la sandbox di sunbelt di varie versioni di Zlob.
La cosa interessante è vedere la grande quantita' di server coinvolti.

ANALISI con la sandbox di varie versioni di Zlob:


https://cwsandbox.org/?page=samdet&id=138657&password=znbuu
https://cwsandbox.org/?page=samdet&id=126436&password=igxwa
https://cwsandbox.org/?page=samdet&id=127033&password=sazer
https://cwsandbox.org/?page=samdet&id=124030&password=xocfv
https://cwsandbox.org/?page=samdet&id=116795&password=cxxuh
https://cwsandbox.org/?page=samdet&id=98056&password=rbvjw
https://cwsandbox.org/?page=samdet&id=97319&password=gcjod
https://cwsandbox.org/?page=samdet&id=96783&password=qdxkz

Nell'ultima versione



Una curiosita' riguarda il fatto che in una versione il virus apre una connessione verso il vero server di microsoft - windowsupdate, probabilmente, ma si tratta di una supposizione, per indurre il malcapitato a scaricare attraverso uno stratagemma un falso aggiornamento.


Beyond The Network America 63.216.0.0 - 63.223.255.255 Usa

è molto interessante perche' in questo range sono presenti server spia di emule e per
falsi tracker per bit-torrent.
E' fortemente consigliato bloccare sia i range di
Beyond The Network America
sia i seguenti:

Cernel 64.28.176.0 - 64.28.191.255 USA
InterCage, Inc. 69.50.160.0 - 69.50.191.255 USA
WEBALTA 77.91.228.180 - 77.91.228.189 Russia
Buildhouse Ltd. 195.93.218.0 - 195.93.219.255 Russia

Ma questa è solo una minima parte dei server che possono essere associati al fenomeno criminale RBN.
Molti altri li potete trovare nella blacklist di questo sito.

Prediamo ora un server a cui si collega una versione del malware ed in particolare 216.240.138.207

Qui sono presenti siti di falsi programmi ed anche un sito di affiliazione per diffondere quel tipo di spazzatura (ovviamente le scritte sono in cirillico)

easyspywarecleaner.com
infestop.com
winifixer.com
spy-rid.com
Advancedxpdefender.com
I-kerberos.com

ecc.



sempre su quel server possiamo trovare un falso sito porno stile youtube

youpornztube.com



E investigando un po' si puo' arrivare a delle pagine ormai offline che facevano promozione di alcuni siti riconducibili sempre alla cybercriminalita' organizzata russa
come klikrevenue , coolwebsearch , umaxlogin legati a spyware, vendita di falsi medicinali , truffe finanziarie ecc.




Per concludere RBN sostanzialmente usa 2 differenti strategie di attacco per infettare il vostro pc:

1)
La prima si basa su astute tecniche di ingegneria sociale per ingannavi e farvi installare software:

principalmente Falsi codec video
o programmi truffa, in particolar modo Falsi (rogue) antivirus.

2)
la seconda riguarda hack di siti legittimi, magari ad alto traffico con l'inserimento di iframe e/o javascript offuscati che attraverso exploit installano malware automaticamente

Oppure la attraverso la creazione di siti civetta, sempre con iframe e/o javascript offuscati, ben posizionati sui motori attraverso tecniche di SEO- (esempio: siti con migliaia di keyword tra le piu' utilizzate sul web)


Aggiornamento: ho corretto alcuni refusi ed errori grossolani :-)
Purtroppo non ho molto tempo da dedicare al blog e la qualita' ne risente