Tutto e di + - Virus Javascript Assembly?

Forum - Tutto e di + - Virus Javascript Assembly?

Thejuster (Admin)
Guru^2

Messaggi: 2305
Iscritto: 04/05/2008

Postato alle 11:46
Martedì, 26/04/2016

Ragazzi qualche settimana scorsa mi è capitato di vedere da un amico uno strano virus.
Molto ingegnoso direi, ma anche al quanto potente.

Non ho bene capito la tecnica di quel virus ma mi ha incuriosito molto.

Il virus era qualcosa come Cryptlocker. Era un virus che ti criptava tutti i documenti del tuo computer
png, doc, excel, jpg, txt ecc. ecc.
Insomma tutti i formati ordinari che un utente comune usa mediamente.

La particolarità di questo virus e che agiva indisturbato, bypassando qualsiasi antivirus.
In primis:

Attaccava un computer.

Questo virus prendeva l'indirizzo email attuale della persona.

esempio: pierotofy@hotmail.it

successivamente, tutti i contatti salvati in pierotofy@hotmail.it
il virus spediva la medesima email come mittente la tua email, e la spediva ai suoi contatti.
ora può sembrare difficile che un amico ti invii un virus, o un rappresentante di una ditta come è capitato a noi.

questo rappresentate, ci spedisce tramite email varie fatture ecc. ecc.
Le segretarie ingenue ovviamente, senza leggere l'estensione del file che era un javascript.
lo hanno aperto.

Aprendo questo file, ti viene creata una cartella temporanea dove all'interno vengono creati dei file in assembly.
ora non ricordo bene il sorgente che c'era in quei file, ma erano leggibili.
e non sò esattamente come faceva, ma è riuscito a distruggere in meno di una settimana.
tutti i computer di tutti i nostri clienti e via vai.

Ovviamente la frode era che dovevi comprare il loro programma per decriptare i file e recuperarli.
che poi credo che quel programma non sarebbe mai arrivo a destinazione.

morale della favola tutti i clienti hanno perso tantissimi dati sensibili ecc. ecc.

Come diavolo fà un file in javascript a combinare tutto questo macello?

https://mire.forumfree.it/ - Mire Engine
C# UI Designer

TheDarkJuster (Member)
Guru^2

Messaggi: 1620
Iscritto: 27/09/2013

Postato alle 12:55
Martedì, 26/04/2016

Il problema qui è triplice:
- l'esecutore javascript che ignora ogni regola di sicurezza (è quello di default incluso con windows, vero?)
- l'errore (grave errore) umano: "Le segretarie ingenue ovviamente, senza leggere l'estensione del file che era un javascript lo hanno aperto."
- mancanza di un antivirus pronto a intervenire.

Considera un JS che possa in qualche modo eseguire comandi per la shell e/o lanciare altri eseguibili.

Quello è un JS che ha completo accesso a TUTTI I FILE a cui l'utente che esegue il programma ha accesso: su windows una applicazione è eseguita dall'utente loggato o da system,quindi comunque l'accesso ai file personali è TOTALE per ogni applicazione lanciata.

Questo non vale per i sistemi linux/bsd/macos, o meglio: è possibile evitarlo.

Ultima modifica effettuata da TheDarkJuster il 26/04/2016 alle 12:55

Thejuster (Admin)
Guru^2

Messaggi: 2305
Iscritto: 04/05/2008

Postato alle 14:27
Martedì, 26/04/2016

caspita.
Non pensavo che il javascript ha il potere di provocare tutti questi danni.

cmq si, poi alla fine ho preferito formattare tutti e 3 terminali.

Ho dimenticato di inserire un altro dettaglio.

Se i computer, come nel mio caso sono collegati in rete,
il virus agisce anche su quelli.

nonostante entrambi erano protetti da antivirus.
ho dovuto alla fine formattare 3 computer.
il 4° ho staccato in tempo il cavo.

c'è da dire che mi ha lasciato di stucco questo virus.
e veramente ben fatto, molto aggressivo e potente.

Ultima modifica effettuata da Thejuster il 26/04/2016 alle 14:27

https://mire.forumfree.it/ - Mire Engine
C# UI Designer

TheDarkJuster (Member)
Guru^2

Messaggi: 1620
Iscritto: 27/09/2013

Postato alle 15:22
Martedì, 26/04/2016

L'antivirus è l'ultima spiaggia a cui ricorrere, non uno strumento su cui contare.

Si conta sempre sulla capacità e competenza umana in primis.

Di fatto non è lo script che causa problemi, è l'esecutore dello script il vero responsabile, e a quello concorre tutto il resto.

Se dipendesse da me OGNI SISTEMA OPERATIVO eseguirebbe i programmi in una sandbox e ogni programma dovrebbe chiedere all'utente l'accesso ai file personali, secondo una specie di protocollo OAuth interno alla macchina.

Ma siccome ciò non dipende da me ci teniamo quello che c'è e scegliamo il migliore. Quindi escludiamo windows :rotfl:

O meglio, lo usiamo solo per giocare :love:

Ultimo (Member)
Guru

Messaggi: 877
Iscritto: 22/05/2010

Postato alle 16:22
Martedì, 26/04/2016

Ma Windows 10 non dovrebbe essere più sicuro?

un buon antivirus aggiornato forse avrebbe impedito al file malevolo di agire indisturbato

If ok Then GOTO Avanza else GOTO Inizia

pierotofy (Admin)
Guru^2

Messaggi: 6230
Iscritto: 04/12/2003

Postato alle 17:23
Martedì, 26/04/2016

Che sistema operativo usavano gli utenti?

L'antivirus era aggiornato?

Il mio blog: https://piero.dev

Thejuster (Admin)
Guru^2

Messaggi: 2305
Iscritto: 04/05/2008

Postato alle 23:41
Martedì, 26/04/2016

si.

L'os era Win 7.

Ora gli ho installato 8 sopra.
che è anche più veloce del 7. fino ad ora nessun problema.

https://mire.forumfree.it/ - Mire Engine
C# UI Designer

pierotofy (Admin)
Guru^2

Messaggi: 6230
Iscritto: 04/12/2003

Postato alle 0:20
Mercoledì, 27/04/2016

Quando un utente fa doppio click su uno script con estensione .js, lo script viene avviato tramite wscript.exe, che non è limitato dalla tipica sandbox che trovi nei browser. L'applicazione ha gli stessi permessi dell'utente che l'ha avviata.

Tramite wscript puoi richiamare cose tipo:

Codice sorgente - presumibilmente Tutto e di +

var shell = WScript.CreateObject("WScript.Shell");
shell.run("notepad.exe")

Al che è game over.

Come mai l'antivirus non l'ha riconosciuto? Perchè non c'era una firma per quel particolare virus nel database (pensa alla firma come ad un hash che identifica una parte considerata maligna di un programma). A rendere le cose complicate, esistono encoders che trasformano del codice esistente in un altro codice equivalente, generando un nuovo programma che ha lo stesso funzionamento di quello originale, ma che porta una firma diversa per l'antivirus.

https://www.offensive-security.com/metasploit-unleashed/msf ...

Non c'è sostituto per l'istruzione del personale in materia di sicurezza. Gli antivirus fermano solo una parte dei malwares più comuni.

Per rispondere alla tua domanda, Javascript non è il linguaggio che permette al malware di fare tutte queste elaborate cose (come criptare tutti i files e inviarsi a tutta la rubrica); Javascript è semplicemente il linguaggio che viene usato per scaricare il payload (il carico), solitamente scritto in C/C++, oppure Assembly.

Ultima modifica effettuata da pierotofy il 27/04/2016 alle 0:25

Il mio blog: https://piero.dev