Conficker, il worm della tempesta perfetta

23 Gennaio 2009 · Archiviato in Approfondimenti, Sicurezza 

Approfondimenti - Una lente impietosa puntata sui temi caldi, retrospettive appassionate e dettagliate, riflessioni oltre le apparenze Il worm Conficker, anche noto come Downup, Downadup o Kido, è in circolazione da ottobre 2008. Le società di sicurezza lo conoscono piuttosto bene, e nei giorni scorsi il malware si è fatto conoscere altrettanto bene anche dagli utenti avendo infettato un numero considerevole di macchine in tutto il mondo. Siamo tornati ai “bei” tempi delle epidemie telematiche di Sasser, Blaster e Mydoom, e la già preoccupante proliferazione del worm minaccia di peggiorare ulteriormente a causa di certune condizioni che ne favoriscono vieppiù la diffusione.

Come già ho avuto modo di evidenziare in precedenza, Conficker sfrutta prima di tutto un bug nel servizio Windows Server, sondando le reti LAN e obiettivi casuali su Internet alla ricerca di macchine vulnerabili. Una volta individuata la prossima vittima il worm si serve del bug per eseguire codice da remoto, copiandosi in locale e prendendo inesorabilmente il controllo del sistema. Il bollettino di sicurezza Microsoft con relativa fix per il baco è disponibile sin dal 23 ottobre 2008, ma nonostante questo la diffusione del malware non ha fatto altro che crescere arrivando a livelli di autentica epidemia meno di tre mesi dopo la divulgazione della vulnerabilità.

Secondo le ultime stime di F-Secure, definite “conservative” dalla società di sicurezza finlandese, nel giro di quattro giorni Conficker/Downup è riuscito, attraverso le sue varianti, a passare da 2,4 milioni a 8,9 milioni di macchine infette. La situazione “sta peggiorando” si legge sul blog di F-Secure, allorché il worm ha imparato nuovi trucchi come quello di sfruttare le funzionalità Autorun e Autoplay di Windows per diffondersi attraverso i drive removibili e di rete, un sotterfugio che unito a un pizzico di ingegneria sociale non lascia intatto nemmeno il prossimo Windows 7, attualmente disponibile in versione beta.

L’epidemia di Conficker è quella che in gergo viene definita una tempesta perfetta, perché oltre a essere in grado di sfruttare un numero molteplice di vettori l’infezione trae vantaggio da una serie di situazioni, coincidenze e pratiche consolidate che ne aumentano enormemente la capacità di proliferazione e, di conseguenza, di far danno. Il terzo meccanismo infettivo sfruttato da Conficker è quello di recuperare la lista di account utente di tutte le macchine collegate in un network, usando un semplice ma sorprendentemente efficace attacco di tipo brute-force basato su un dizionario di un centinaio di parole per “indovinare” la password di accesso.

Qualora l’attacco abbia successo, il worm deposita una copia di se stesso nella cartella System32 dell’account interessato, creando contemporaneamente un’operazione pianificata per assicurarsi l’esecuzione sulla macchina bersaglio. In questo caso Conficker approfitta della cattiva, atavica abitudine di utenti e amministratori di utilizzare password mediocri, semplicissime da ricordare (”root”, “123456″, “admin” e via di questo passo) ma altrettanto facili da bypassare per un codice malevolo.

Conficker - infezioni

Le scarse policy di sucurezza sono dunque uno degli elementi scatenanti della tempesta perfetta che sorregge l’epidemia di Conficker, un elemento contro cui si è scagliata la security enterprise Trend Micro che assieme a molte altre ha dedicato e sta dedicando ampio spazio al problema. E qui non si parla solo di password inutili ma anche del colpevole ritardo nell’applicare la fix MS08-067 rilasciata da Microsoft, nonostante le notizie di exploit funzionanti avessero cominciato a circolare sin da subito. Una volta preso possesso di un sistema, a tal proposito, è lo stesso worm che si incarica di chiudere il buco per tagliare fuori l’eventuale concorrenza di altri codici malevoli.

E se l’incapacità a proteggere gli account di rete non è un caso, certamente meno prevedibile era l’update che Microsoft ha rilasciato il 20 ottobre 2008 per la sua tecnologia anti-copia Windows Geniune Advantage (WGA), una nuova versione pensata per complicare la vita ai “pirati” ma che ha incidentalmente portato molti utenti dei paesi maggiormente proni al fenomeno a disabilitare gli aggiornamenti automatici del sistema operativo. Questa almeno è l’ipotesi di Symantec, che in uno dei suoi articoli dedicati ad approfondire aspetti specifici di Conficker/Downadup confronta le nazioni con la maggior percentuale di pirateria e quelle più colpite dall’infezione scoprendovi corrispondenze altamente sospette.

In questo caso la politica commerciale di Microsoft le si è ritorta contro, contribuendo ulteriormente alla proliferazione del worm senza tra l’altro ottenere risultati pratici (cosa sin banale da dire) nei confronti di cui usa e continuerà sempre a usare software copiato. Nella vicenda Conficker Microsoft sembra avere più di una colpa, e bene fa l’US-CERT a sottolineare la pubblicazione di informazioni insufficienti riguardo la disabilitazione della funzionalità AutoRun sfruttata dal malware. “Ora abbiamo imparato che le informazioni dalla fonte non sono complete“, ha dichiarato Andrew Storms di nCircle Network Security.

La tempesta perfetta non è a ogni modo basata esclusivamente su coincidenze, noncuranze e incompetenze dello staff IT delle aziende. Al cuore dell’epidemia di Conficker c’è molto di più, c’è un worm progettato da professionisti consapevoli di quel che stavano facendo, che è riuscito col tempo a migliorarsi correggendo i difetti iniziali e anticipando le mosse degli analisti delle società di sicurezza così come quelle dei concorrenti nel vasto business del cyber-crimine.

Conficker - caratteristiche

Conficker genera ogni giorno un set apparentemente casuale di 250 diversi nomi di dominio, attendendo che gli autori ne registrino uno per connettere il malware locale a codice binario fresco disponibile in remoto con cui aggiornare l’infezione, e inibendo la possibilità per chiunque altro di sfruttare il meccanismo per inserire elementi di una diversa famiglia di malware.

Una delle più grandi botnet di sempre è persino in grado di sfoggiare una capacità di distribuzione basata su un principio di Peer-to-Peer senza dover necessariamente passare per i domini web di cui sopra per aggiornarsi. Gli analisti conoscono come opera Conficker, l’unica variabile che ancora manca all’equazione è lo scopo, il vero obiettivo per cui il worm è stato creato. La tempesta perfetta è in attesa di abbattersi sulle sue vittime.

Condividi questo articolo!
  • OKNOtizie
  • Facebook
  • Diggita
  • ZicZac
  • Wikio Italia
  • StumbleUpon
  • Technorati

Articoli correlati

Commenti

2 Risposte a “Conficker, il worm della tempesta perfetta”

  1. Engelium il 24 Gennaio 2009 11:17

    Non mi sono mai interessato granchè al settore sicurezza ma questo nuovo codice ammetto che mi ha alquanto affascinato (almeno da quanto ho letto) … francamente io più che altro mi inchinerei di fronte ai geni che l’hanno creato :)

    PS
    ma non ho capito una cosa: ma installando la patch si è al sicuro o no?


    Browser Opera 9.63 Opera 9.63 sull'O.S. Windows Vista Windows Vista
    Opera/9.63 (Windows NT 6.0; U; en) Presto/2.1.1
  2. Sir Arthur, King of Ghouls'n Ghosts il 24 Gennaio 2009 12:18

    installando la patch si è al sicuro o no

    Non completamente, visto che il worm utilizza anche altri vettori per infettare un sistema.

    Tra l’altro ho scoperto che è pure in grado di accorgersi se viene eseguito all’interno di una virtual machine / sandbox, nel qual caso evita di attivarsi per non destare sospetti. Clever


    Browser Firefox 2.0.0.16 Firefox 2.0.0.16 sull'O.S. Windows XP Windows XP
    Mozilla/5.0 (Windows; U; Windows NT 5.1; it; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16

Lascia una risposta