Storia di un attacco

Questo articolo è una Prof of concept di come funziona un attacco verso il vostro wordpress. Nelle prime ore di questa mattina ho trovato negli alert del sistema di monitoraggio che mi consente di avere sempre la situazione sotto controllo, questa stringa:

Questa linea vuol dire che qualcuno stava cercando di entrare sulla porta ssh del mio server dove è ospitato questo blog. Poco dopo ricevo la mail dal plugin che uso come WAF ovvero come WebApplication Firewall che è un pezzo di software che controlla che tutto proceda secondo le regole che io gli ho dato che ci sono stati 144 attacchi negli ultimi 5 minuti e sono stati tutti ovviamente bloccati e l’indirizzo di provenienza era lo stesso dell’alert del sistema di monitoraggio ovvero 118.24.168.131 finito ovviamente in blacklist subito dopo 🙂

Questo è quello che succede normalmente dietro le quinte dei vostri siti web tutti i momenti quindi possiamo cercare di ricavare due consigli da applicare nella gestione dei vostri siti per cercare di stare lontano dai guai.

Il primo è quello di affidarvi ad una società di hosting che sia in grado di supportarvi in tutti gli ambiti, anche in quello della sicurezza lato server in maniera proattiva ovvero monitorando quello che succede H24. Questo è molto importante perchè non sempre siete al computer, ma sempre qualcuno cerca di rompervi le uova nel paniere su internet.

Il secondo è di non fare mancare mai un WAF sui vostri blog, perchè potrebbe davvero mettervi al sicuro da tanti problemi 🙂

By |2018-10-03T10:58:19+00:00ottobre 3rd, 2018|Tecnologia|0 Comments

Mail con oggetto Invio documento n.6712182360 emesso il 15/02/2017

Questa mattina è arrivata una mail da rete @register.it con oggetto Invio documento n.6712182360 emesso il 15/02/2017

A leggerla sembra una mail normalissima mandata da un crm o qualche sistema di fatturazione:

Analizzando con più attenzione questa mail troviamo che è partita da un ip su subnet interbusiness.it:

Facendo una scansione con il fido virustotal scopriamo che il payload è riconosciuto ma da pochissimi antivirus commericali quindi molto pericoloso:

By |2017-02-15T13:26:57+00:00febbraio 15th, 2017|Tecnologia|0 Comments

Mail con oggetto Sue Spedizioni

Sembra che l’infezione che ha preso di mira DHL continui. Oggi è arrivata un’altra mail che sembrava provenire da loro ma che invece era portatrice di malware. La domanda è ma quest’azienda sa di questa campagna in corso? Perchè comunque è un bel danno per la reputazione online.

La mail arrivata si presentava come quella di ieri scritta in maniera formale e con link ai siti istituzionali:

mail

Analizzando gli headers della mail si vede che il server di partenza è situato in un blocco di ip allocato negli Stati uniti e in una subnet di proprietà di Microsoft:

NetRange: 13.64.0.0 – 13.107.255.255
CIDR: 13.64.0.0/11, 13.96.0.0/13, 13.104.0.0/14
NetName: MSFT
NetHandle: NET-13-64-0-0-1
Parent: NET13 (NET-13-0-0-0-0)
NetType: Direct Assignment
OriginAS:
Organization: Microsoft Corporation (MSFT)
RegDate: 2015-03-26
Updated: 2015-03-26
Ref: https://whois.arin.net/rest/net/NET-13-64-0-0-1

headers

Per quanto riguarda invece il file allegato di seguito la scansione su virustotal:

virustotal.png

By |2016-10-20T15:11:29+00:00ottobre 20th, 2016|Tecnologia|0 Comments

Mail con oggetto Le ultime fatture Dhl: 1035717

Questa mattina abbiamo ricevuto una mail che sembra veramente autentica da parte di DHL che diceva che ci stavano mandando le fatture del mese in corso e le potevamo scaricare dall’allegato o loggandosi sul sito vero di DHL:

mail

Come potete vedere dallo screenshot qui sopra sembra veramente autentica, quindi mi sono messo ad indagare sugli headers del messaggio, che indicano il percorso fatto per arrivare alla nostra casella di posta:

headers

Qui è sorto il primo sospetto, vedendo che partiva da un server in Grecia, mentre il mittente sembrava una sucursale tedesca di DHL. Ho scaricato l’allegato e analizzato su virustotal che ha dato questo riscontro:

virustotal.png

Come potete vedere un riscontro molto basso, sinonimo di alta pericolosità per gli utenti.

By |2016-10-20T07:30:24+00:00ottobre 19th, 2016|Tecnologia|0 Comments

Mail con oggetto Contratto manutenzione 2016-15

Oggi abbiamo ricevuto una mail con oggetto Contratto manutenzione 2016-15. Si presenta in maniera molto semplice e formale come potete vedere dall’immagine qui sotto:

mail

Facendo un’analisi degli headers della mail scopriamo che il server di partenza sta in Cina:

headers

Facendo una scansione su virustotal scopriamo che il carico malevolo che porta l’allegato è riconosciuto dalla maggior parte degli antivirus sulla scena:

virustotal

By |2016-10-04T09:52:29+00:00ottobre 4th, 2016|Tecnologia|0 Comments