Feeds:
Posts
Comments

Archive for February, 2012

ClamAV Repository

No, non mi sono dimenticato di avere un blog.

Per ridicolo, anzi, la ragione della mancanza di nuovi post è dovuta al fatto che -se li scrivessi come li vorrei scrivere- non ne avrei il tempo. Sicché finisco per non scrivere niente…

Questa però è breve, quindi ho deciso di buttarla giù.

Chi tra voi si ritrova a gestire mailserver forse si sarà accorto che negli ultimi giorni è in corso l’invio di una discreta quantità di mail che hanno mittente e corpo relativo a NACHA, e che ovviamente non hanno nulla a che fare con nacha.org.

Si tratta di mail contenenti link a siti compromessi il cui ruolo è quello di far arrivare (attraverso una serie più o meno complicata di iframe e javascript) l’incauto visitatore ad un sito ospitante un exploit kit, che cercherà poi di applicare ogni exploit ad esso noto per la piattaforma del visitatore, al fine di trojanizzarne la macchina.

In pratica, malware drive-by.

Queste mail sono intercettabili attraverso svariati meccanismi più o meno complicati; dalla scrittura di ruleset che ne matchi il template all’uso di SPF (almeno per le non poche mail che riportano nacha.org a mittente di envelope), all’uso di servizi di domain-reputation (SURBL, DBL e URIBL in primis) che stiano listando il virtualhost compromesso.

Tutti questi meccanismi hanno un unico difetto: sono meccanismi pensati per il filtraggio dello spam, e utenti che non desiderino avere la posta filtrata rimangono esposti, ma non molti antivirus (di certo non clamav) riconoscono la mail come una minaccia, dato che -come sovente accade di questi tempi- essa non ha un payload effettivo, ma si limita a linkare un sito sostanzialmente lecito ancorché craccato.

Dato che già mi occupo di tracciare le URL compromesse per questo genere di attacchi, ho deciso quindi di automatizzare la generazione di un piccolo (almeno per ora) database di firme -basato sulle URL a me note- da dare in pasto a ClamAV.

Se interessa, lo trovate qui, attualmente solo-soletto:

http://clamav.bofhland.org/

Se lo volete usare, il mio suggerimento è di affiancarlo ad una oculata selezione dei database di SaneSecurity, utilizzando lo script fornito a corredo per prelevare anche il file della URL qui sopra. Sia chiaro e scritto con il sangue che lo fate a vostro rischio e pericolo, e che io non rispondo di niente. 😉

Attualmente è popolato solamente con un subset di quel che potrei metterci dentro, ovvero son i soli link relativi a malware “diretto” (come nel caso sopra descritto).

Potrei decidere di popolarlo anche con URL relative a pagine note per essere crackate ma che non sono direttamente coinvolte (ma potrebbero esserlo in qualsiasi momento) in tentativi di infezione dei client.

Oppure potrei creare un secondo database per questo secondo genere di “minaccia”…

Si accettano -ovviamente- suggerimenti…

 

UPDATE 03/02/2012: Per quel che vale, i database si sono già moltiplicati e sono diventati 3… 😛

Read Full Post »

%d bloggers like this: