Conficker riconosce le VM ed altro ancora..

Vi segnalo due interessanti post sul sito SANS Internet Storm Center dove è messo in evidenza un particolare aspetto del comportamento e dell'intelligenza di Conficker. Infatti, stando a quanto affermato nel post, il noto worm è in grado di rilevare se l'OS attaccato è in esecuzione come VM (Microsoft, VMWare ecc. ) oppure no.
La tecnica adottata dall'analista per rilevare questo comportamento è, ovviamente, quella del reverse enginerring. Ulteriori approfondimenti hanno messo in evidenza altri comportamenti che rivelano quanto conficker sia evoluto. Uno per tutti, Conficker effettua il pacthing della macchina...

Ecco i post:
More tricks from Conficker and VM detection
Some tricks from Conficker's bag

Per domande e commenti sul forum di ISAserver.it, non perdete i prossimi Technical Days su Bologna ed i webcast.
Luca

Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
ISA Server Jumpstart 2009 - http://www.isaserverjumpstart.com
ISA Server Technical Days - http://days.isaserverjumpstart.com
ISA Server Workbook 2a Ed - http://workbook.isaserverjumpstart.com

Riferimenti

Download VBS per bloccare conficker con ISA Server

KB962007 - Avviso relativo al virus worm Win32/Conficker.B
KB890830 - Lo Strumento di rimozione malware per Microsoft Windows...
Conficker Worm: Protect Windows from Conficker.A and Conficker.B
MS08-067: possibile esecuzione di codice in modalità remota a causa di una vulnerabilità relativa al servizio Server
Considerazioni per un efficace contenimento dell'infezione Conficker.B - Feliciano Intini (MS)
SANS Internet Storm Center

Progetto per automatizzare la creazione di Exploit

Per chi si occupa di sicurezza è noto che al rilascio delle Security Patch corrisponde il rilascio di exploit generati con un processo di reverse engineering.  La Security Patch viene così sfruttata per ottenere informazioni sulla vulnerabilità; queste stesse informazioni sono utilizzate per generare del codice maligno - alias exploit -, che la sfrutta. Dal momento in cui viene rilasciata pubblicamente la security patch - es. Windows Update, Microsoft Update - inzia la corsa contro il tempo, fra chi deve applicarla e chi la sfrutta per generare l'exploit per attaccare le macchine non protette. Il processo di reverse engineering genera codice sorgente sulla base del contenuto binario dell'eseguibile. Infatti tutte le software house vietano espressamente questa pratica.

La domanda che si sono posti alcuni ricercatori - David Brumley, Pongsin Poosankam, Dawn Song, and Jiang Zheng - della Carnagie Mellon University è se fosse possibile automatizzare il processo di generazione degli Exploit sulla base delle security Patch rilasciate.

La risposta è affermativa!

Con alcune eccezioni, il progetto ha dimostrato che, dal rilascio della security patch, dopo una manciata di minuti, è già disponibile l'exploit che sfrutta la vulnerbilità.

Di seguito l'abstract dell'articolo:

Abstract
The automatic patch-based exploit generation problem is: given a program P and a patched version of the program P', automatically generate an exploit for the potentially unknown vulnerability present in P but fixed in P'. In this paper, we propose techniques for automatic patch-based exploit generation, and show that our techniques can automatically generate exploits for vulnerable programs based upon patches provided via Windows Update.

In many cases we are able to automatically generate exploits within minutes or less. Although our techniques may not work in all cases, a fundamental tenet of security is to conservatively estimate the capabilities of attackers. Thus, our results indicate that automatic patch-based exploit generation should be considered practical. One important security implication of our results is that current patch distribution schemes which stagger patch distribution over long time periods, such as Windows Update, may allow attackers who receive the patch first to compromise the significant fraction of vulnerable hosts who have not yet received the patch. Thus, we conclude update schemes, such as Windows Update as currently implemented, can detract from overall security, and should be redesigned.

What does this mean?
Attackers can simply wait for a patch to be released, use these techniques, and with reasonable chance, produce a working exploit within seconds. Coupled with a worm, all vulnerable hosts could be compromised before most are even aware a patch is available, let alone download it. Thus, Microsoft should redesign Windows Update. We propose solutions which prevent several possible schemes, some of which could be done with existing technology.

Download del documento in PDF

Questo deve essere da stimolo ad adottare soluzioni di patch management efficaci ed efficienti, specialmente per ciò che riguarda i servizi resi su Internet. Da questo punto di vista ISA Server operando su più livelli - Multilayer Inspection Firewall - ha modo di limitare l'effetto degli exploit sui server pubblicati.

Nella settimana della sicurezza in rete Microsoft rende disponibile gratuitamente un Security Checkup del proprio sistema informativo (sotto i 25 PC).

Se volete fare da soli potete utilizzare anche l'utilissimo strumento (gratuito) Microsoft Security Assessment Tool.

Microsoft BE.IT

Vi segnalo l'apertura ufficiale del portale Microsoft BE.IT dedicato ai professionisti IT - ITPRO - e sviluppatori - MSDN -.
Nella sezione ITPRO sono presenti video tutorial, interessanti e piacevoli da seguire, su tematiche di sicurezza realizzate da Giorgio Malusardi - Microsoft ITPro Evangelist -. L'inziativa BE.IT di Microsoft va nella direzione di sensibilizzare i propri utenti alle problematiche e tematiche sulla sicurezza; argomento che sia a Giorgio Malusardi che a Microsoft stessa sta molto a cuore.
Il Cambio di direzione nei confronti di questa area è evidente non solo nei prodotti ma anche nelle continue iniziative di sensibilizzazione. BE.IT si inserisce proprio in questa linea.

E' possibile partecipare anche ad una competizione, tre domande...se si risponde correttamente a tutte si vince subito una t-shirt BE.IT ed in piu' si ha la possibilita' di partecipare all'estrazione di una XBOX.

Una aspetto simpatico è dato anche dalla presenza della "velina" BE.IT - si nota nel banner - che introduce ai video di Giorgio. Gli ingredienti per imparare, divertendosi ci sono tutti.

-1 settimana!!!! a Windows Security Essentials

Manca 1 settimana a Windows Security Essentials, se non ti sei ancora iscritto ISCRIVITI OGGI!!!

Le iscrizioni per Windows Security Essentials del 26/27/28 Novembre pv a Reggio Emilia, si CHIUDONO ufficialmente Mercoledì 21 Novembre.

Per poter ricevere il modulo di iscrizione ufficiale è necessario essere iscritti al forum di ISAServer.it e compilare il modulo di adesione che trovate qui

IMPORTANTE: Per la giornata di Laboratory è richiesto l'utilizzo del proprio notebook.

In questa tre giorni si acquisiranno le competenze di base, e non solo, per proteggere efficacemente i sistemi Microsoft Windows Server 2003.
Si vedranno e si utilizzeranno strumenti Microsoft e non solo per la fase di auditing e testing...

Una visione a 360° per comprendere veramente cosa significa proteggere un sistema Microsoft.

Se avete bisogno di ulteriori informazioni basta scrivermi via posta elettronica.

ISA Server JumpStart: UN GRANDE SUCCESSO

Devo ringraziare di cuore tutti i partecipanti a "ISA Server JumpStart" di Reggio Emilia, che si è appena concluso.

E' stato un vero successo sia dal punto di vista tecnico che umano.

Con piacere ho visto il nascere di nuove amicizie e collaborazioni professionali fra i partecipanti e alla luce di ciò, proprio per favorire la creazione di un network di professionisti, verrà creata la newsletter privata ISAPRO@ISASERVER.IT.

Tutti i partecipanti a ISA Server JumpStart riceveranno a breve la richiesta di iscrizione.

Gli argomenti da affrontare sono stati tanti sia nella giornata di Training che in quella di Laboratory, ma ci siamo riusciti!! Tutti gli argomenti in programma sono stati affrontati.
La giornata di Training si e' conclusa alle 19.00, ben oltre l'orario previsto - 17.30 - nel programma ufficiale....è stata colpa di Giulio Martino (aka ISACab) che con il suo intervento sul VOIP e l'integrazione ha suscitato molto interesse. Grande Giulio!

Lo spirito e' stato quello di un confronto aperto su ISA Server che ha permesso di mettere sul campo dubbi, problematiche e affrontarli con serieta' e professionalità.

Adesso è in arrivo il Windows Security Essentials di fine novembre 26/27/28 a Reggio Emilia, e poi la tappa su ROMA di ISA Server JumpStart, in attesa sempre dell'uscita della Beta pubblica di ISA Server 2008.

Un grazie sincero a tutti i partecipanti e a presto!!