ASPack 2.12  |
E' in grado pertanto di rendere invisibili agli antivirus gli EXE considerati pericolosi e quindi adatto a nascondere i lati server dei trojan (testato per l'AlexMessoMalex Trojan : perfetto!).
E' anche utile per proteggere i vostri programmi da operazioni di reverse engineering come la decompilazione.
WWPack32| |
Particolarmente utile per distribuire il lato server dei trojan in modo che gli antivirus della vittima non lo rilevino.
Stealth Tools 2.0| |
Può rendendere qualsiasi lato server di un trojan invisibile agli antivirus.
| Ecco una guida passo-passo di tutte le funzioni supportate : | |
| Select File | Prima di partire è d'obbligo scegliere il file eseguibile da camuffare (solitamente il server di un trojan). |
| Add Bytes |
Permette di aggiungere bytes inutili ad un eseguibile (istruzioni NOP = No Operation). Aggiungendo questi bytes cambieranno anche alcune stringhe di controllo (CRC e MD5) che vengono utilizzate dagli antivirus per riconoscere trojan e virus. Nella maggior parte dei casi quindi si otterrà un eseguibile invisibile agli antivirus ma operativamente identico all'originale. |
| Bind |
E' un metodo molto usato per nascondere i trojan. Si tratta di unire due eseguibili, uno a scelta (Bind with - ad esempio uno screen-saver o un giochino) e il server di un trojan (scelto all'inizio) in uno solo. Il risultato (Result file) è un file unico in grado di eseguire entrambi i programmi simultaneamente. |
| Change String |
Sostituisce nel file una stringa a scelta (Search for) con un'altra (Replace with). Ciò serve per mascherare il file a molti antivirus che riconoscono un file tramite alcune stringhe contenute in esso. Può anche essere usato per cambiare i titoli o i testi dei programmi. |
| Create VBS |
Trasforma l'eseguibile selezionato in un file VBScript (Visual Basic Script) che può essere eseguito da Windows. In questo modo le firme usate dagli antivirus diventano inutili e il file ottenuto diventa invisibile ad essi. |
| Hex Edit | Consente di editare il file in modalità esadecimale (per esperti) |
| Pack |
Comprime l'eseguibile selezionato (utilizzando una versione modificata del famoso compressore UPX) mantenendone la piena eseguibilità e facendolo diventare estremamente piccolo (e quindi facile da spedire). La compressione spesso comporta anche l'invisibilità agli antivirus che non supportano la scansione dei files compressi con l'UPX. |
| Scramble |
Nel caso gli antivirus fossero così evoluti da scansionare anche i files compressi questa opzione rende indecifrabile le intestazioni UPX pertanto il file risulterà impossibile da decomprimere e di conseguenza ancora più camuffato. Per poter utilizzare questa opzione il file dev'essere stato già compresso in UPX (ad esempio con la funzione Pack). |
| Patch | Confronta due files binari ed estrae i dati dall'uno (Patch from) nell'altro (scelto all'inizio). Si può utilizzare ad esempio per copiare velocemente le impostazioni del lato server di un trojan in un altro (ovviamente dello stesso trojan) senza doverle reimpostare manualmente dall'eventuale Edit Server del trojan stesso. |
| Split/Join |
Prende un grosso file (scelto all'inizio) e lo divide in parti uguali. Ciò è molto utile quando avete necessità di editare in modalità esadecimale un server molto grosso poichè risulterebbe molto lungo e noioso. Quindi potete dividere (split) il server in due parti, editare la parte che vi interessa cambiando eventualmente le stringhe virali (viral signatures - utilizzate dagli antivirus per riconoscere il file), quindi riassemblare (re-join) le due metà ed ottenere un file operativamente identico all'originale ma invisibile agli anvivirus. |
| IL FILE TYPE SPOOFING | |
| Lo spoofing dei tipi di file è una tecnica usata, spesso anche dai virus, per simulare che un certo file corrisponda ad un tipo diverso da ciò che è realmente: in questo modo si può ingannare un utente facendogli credere che un certo attachment sembri un'immagine JPG, un archivio ZIP o qualsiasi altra cosa, quando in realtà non lo è. Un primo tipo di inganno, quello delle estensioni, è molto semplice da realizzare e si basa sul fatto che Windows (95/98/ME) gestisce male le estensioni associate ai diversi tipi di files. Infatti il sistema di Microsoft è stato progettato (di default) per non visualizzare le estensioni dei tipi di files che hanno un'associazione nel registro. Ciò vuol dire che un file ARCHIVIO.ZIP viene mostrato all'interno di Esplora Risorse e degli altri programmi solo col nome ARCHIVIO, senza visualizzare la sua estensione e può essere riconosciuto dalla classica icona associata ai file di Winzip. Questa constatazione ci pone un primo interrogativo: cosa succede ad un file rinominato (volutamente) col nome ARCHIVIO.ZIP.EXE? Questo viene considerato un file di Winzip o un eseguibile? Ecco quindi in cosa consiste il primo inganno sui tipi di file: usando questo trucco della "doppia estensione" Windows riconosce il file come un .EXE (quindi lo tratta come un eseguibile) tuttavia visualizza solo il nome senza l'estensione, quindi per un utente ignaro di questo fatto, il file porterà il nome ARCHIVIO.ZIP, quando in realtà è un'applicazione .EXE. Questo trucco è stato usato da molti worm come il famigerato ZIP Explorer. Per accorgersi della frode l'unica cosa che si può fare (oltre ad usare un buon antivirus) è quella di far visualizzare a Windows le estensioni dei files, anche per quelli associati ad applicazioni. Questa opzione si può attivare da Esplora Risorse nel menu Strumenti/Opzioni Cartella o Visualizza/Opzioni Cartella come in (Fig.1). In questo modo un'e-mail che porta dietro una attachment, visualizza il file allegato col suo nome reale, mostrando magari che questo in realtà è un eseguibile (Fig.2). | |
| IL MIME NELLE E-MAIL | |
| Un secondo modo di realizzare lo spoofing dei tipi di files è invece molto più subdolo e meno facile da intercettare: si tratta dell'uso di intestazioni malformate nel protocollo MIME che gestisce gli allegati alle e-mail. Gli attachment in un messaggio di posta elettronica vengono codificati usando lo standard MIME con una codifica di solo testo nel caso dei file ASCII puri (TXT, BAT, HTA) oppure con la codifica "base64" nel caso si tratti di file binari (eseguibili, immagini, file ZIP). Ecco un esempio di come vengono codificati (in forma di attachment) un file di immagine (PAMELA.GIF) e un file eseguibile (COMMAND.COM). La sezione evidenziata (box 1) nelle due definizioni di attachment è quella che definisce il tipo di files allegato e quindi anche l'applicazione da eseguire e l'associazione che deve realizzare Windows per quel file. L'inganno consiste proprio nel cambiare il campo "Content-Type" indicando magari che un file eseguibile è un'immagine. Windows (quindi Outlook Express) andrà ad associare a quel file l'icona corrispondente a ciò che indichiamo dentro la definizione MIME, quindi un attachment che magari è un programma porterà l'icona associate ai file GIF. Proviamo allora a creare una e-mail con un allegato "camuffato": scriviamo un file di testo come quello riportato e salviamolo poi con l'estensione .EML (per renderlo una e-mail leggibile da Outlook); | |
|
|
| Il file allegato è un'applicazione di tipo HTA, quindi eseguibile, tuttavia se andiamo ad aprire l'e-mail essa riporta un allegato con l'icona di un'immagine GIF proprio perche nel "Content - Type" abbiamo specificato un tipo di file diverso. l'exploit ancora non è ancora completo, perché se ora proviamo ad aprire il file allegato, questo viene associato al visualizzatore di immagini GIF di Windows e non viene più considerato un eseguibile, quindi pur volendo non potrebbe causare alcun danno. Cosa è successo? Cambiando il "Content - Type" abbiamo modificato radicalmente il tipo di file, che ora viene associato ad un'altra applicazione e quindi non è più eseguibile. Come oltrepassare questa limitazione? E' qui che viene sfruttato un bug del MIME che consiste nel creare un "Subject" dell'e-maillungo 255 caratteri (ne uno di più, ne uno di meno!) seguito dall'estensione che vogliamo dare al file (nel caso di prima quindi ".HTA"). Se mettessimo un solo carattere in meno dei 255 previsti, l'allegato verrebbe riconosciuto come un'immagine GIF; se invece mettessimo un carattere in più l'allegato perderebbe ogni tipo di estensione e non sarebbe riconosciuto da Windows ne associato a qualche applicazione. Ecco quindi come modificare l'e-mail per realizzare il filetype spoofing; | |
|
|
| L'essenziale è inserire nel " Subject" 255 caratteri ASCll: volendo si può scrivere anche un nome fasullo per il file (PAMELA.GIF) e completare poi i caratteri che mancano con degli spazi vuoti fino ad arrivare a 255 (nel nostro caso quindi servono 245 spazi perché "PAMELA.GIF" è lungo 10 caratteri) e infine scrivere la vera estensione da assegnare al file allegato (.HTA). Il tutto ovviamente va scritto su un'unica riga(Fig.3); | |
| Ecco un altro esempio che utilizza lo spoofing di un file BAT, che virtualmente può eseguire qualsiasi comando sul sistema: | |
|
|
| CONCLUSIONI | |
| Come ci difende Windows da questi attachment pericolosi? E' veto che la falla di sicurezza può rendere ingannev6li i files e confondere gli utenti, tuttavia Windows si accorge dell'inghippo e quando l'utente clicca per aprire l'allegato, Outlook mostra un minimo di avviso (Fig.4), anche se però non viene menzionato il fatto che l'allegato non è un'immagine e all'interno dello stesso avviso il file viene nominato col nome fasullo, non con quello reale, proprio per il fatto che sono stati usati 255 caratteri. |
 |
|
| Fig.1 Abilitare l'opzione è sconsigliabile | |
|
|
| Box 1 Esempio di codifica degli allegati | |
 |
|
| Fig.2 L'allegato appare col nome completo | |
 |
|
| Fig.3 Esempio di header MIME malformato | |
 |
|
| Fig.4 Outlook mostra l'avviso d'apertura |