Scusate per la terza persona, l'articolo era stato scritto da me per essere postato su un forum indipendente.
SPONSOR
Si ringrazia lo sponsor del video, https://pufferfish.host/a/pino per aver prestato la VPS utilizzata per il video.
MALWARE
Il malware che è stato creato per il video da Pino, è un semplice plugin in grado di effettuare reverse shell sulla macchina infettata.
Cosa si intende per reverse shell?
Si intende una shell remota, ossia un terminale remoto, che permette all’hacker di eseguire comandi direttamente sulla macchina infetta.
Grazie alla reverse shell, l’hacker nel video può eseguire proprio come il proprietario della macchina dei comandi da remoto.
Il malware nel video viene fatto analizzare da VirusTotal che si dimostra totalmente inaffidabile nel rilevarlo.
Questo sito web viene utilizzato spesso, ma in maniera non corretta, da tantissimi proprietari di server minecraft per analizzare plugin scaricati da internet.
Nel video Pino mostra come comunque utilizzando propriamente VirusTotal e analizzando il “Behaviour”, ossia il comportamento, del plugin nella SandBox si possono detrarre informazioni utili per avere un quadro chiaro.
Il 99% dei plugin in commercio non ha assolutamente un comportamento come quello mostrato dal malware del video.
PUNTO DI VISTA DELL’HACKER
Dopo che la vittima ha inserito il plugin infetto ed ha avviato il suo server, si può notare come all’apparenza non succeda nulla di strano nella console e come il plugin si sia avviato normalmente come un qualsiasi plugin in commercio.
Ciò non è lo stesso però dal punto di vista dell’hacker che grazie al plugin è riuscito ad ottenere una connessione verso la macchina della vittima e iniziare ad eseguire comandi.
Navigando tra i plugins del server, riesce a trovare informazioni sul database del server in modo da accedervi e rubare i dati contenuti.
Con pochissimi comandi è riuscito a scaricarlo e visualizzarlo rubando come esempio nel video il database contenente Passwords ed IP degli utenti.
Essendo il server installato sull’utente root, l’hacker ha accesso a tutti i privilegi ed è in grado volendo di fare ulteriori danni alla macchina.
TECNICHE DI DIFESA
Come è possibile quindi difendersi?
Possiamo osservare queste tecniche che ci verranno sicuramente in aiuto.
1 - ROOT
Non installare mai sull’utente root qualsiasi tipo di servizio, specialmente se esposto all’esterno come un server minecraft.
2 – FIREWALL
Configurare correttamente il firewall della vostra macchina, andando a limitare soprattutto le connessioni in uscita, poiché il malware se le connessioni in uscita fossero state correttamente limitate, non sarebbe riuscito nel suo intento.
3 – DOCKER
Tool molto utile, permette di creare dei containers isolati dal resto del sistema sul quale eseguire varie applicazioni tra cui i server minecraft.
In questo caso il malware sarebbe stato limitato nel muoversi solamente all’interno del container.
4 – CODE INSPECT
Ispezionare il codice del plugin con strumenti come JDGUI può essere sicuramente effettivo se conoscete Java.
In questo modo, specie se il plugin non è molto “grande” è possibile andare a comprendere se il suo intento è regolare e non malevolo.
5 – MC ANTIMALWARE
Tool gratuito sviluppato da uno degli staffer di SpigotMC permette di scannerizzare costantemente i plugins all’interno del vostro server ed individuare eventuali minacce.
Se usato con costanza e impostato correttamente può essere di grande aiuto.
https://github.com/OpticFusion1/MCAntiMalware
6 – HIDS
Racchiude una gamma di software utilizzati per individuare intrusioni indesiderate nei propri sistemi.
Un HIDS controlla lo stato del sistema verificando le informazioni memorizzate, sia in RAM che sul file system, i file di log e così via. L’obiettivo è quello di rilevare tempestivamente anomalie.
Possono risultare complessi e a volte costosi ma se configurati bene possono svolgere un ottimo lavoro specie se avete un network esteso e difficile da tenere sotto controllo.
Un esempio in questo settore è OSSEC.
QUADRO GENERALE
Un blando ma utile punto di partenza può consistere nel prendere dimestichezza con un software come netstat.
Netstat permette di avere delle statistiche di rete in merito ai protocolli TCP e UDP e alle varie porte in ascolto o in uso.
Nella parte finale del video, usando netstat e andando a cercare le connessioni ESTABLISHED, ossia connessioni che sono stabilite tra due dispositivi, analizziamo se ci possano essere dei processi malevoli e cerchiamo di fermarli.
SPONSOR
Si ringrazia lo sponsor del video, https://pufferfish.host/a/pino per aver prestato la VPS utilizzata per il video.
MALWARE
Il malware che è stato creato per il video da Pino, è un semplice plugin in grado di effettuare reverse shell sulla macchina infettata.
Cosa si intende per reverse shell?
Si intende una shell remota, ossia un terminale remoto, che permette all’hacker di eseguire comandi direttamente sulla macchina infetta.
Grazie alla reverse shell, l’hacker nel video può eseguire proprio come il proprietario della macchina dei comandi da remoto.
Il malware nel video viene fatto analizzare da VirusTotal che si dimostra totalmente inaffidabile nel rilevarlo.
Questo sito web viene utilizzato spesso, ma in maniera non corretta, da tantissimi proprietari di server minecraft per analizzare plugin scaricati da internet.
Nel video Pino mostra come comunque utilizzando propriamente VirusTotal e analizzando il “Behaviour”, ossia il comportamento, del plugin nella SandBox si possono detrarre informazioni utili per avere un quadro chiaro.
Il 99% dei plugin in commercio non ha assolutamente un comportamento come quello mostrato dal malware del video.
PUNTO DI VISTA DELL’HACKER
Dopo che la vittima ha inserito il plugin infetto ed ha avviato il suo server, si può notare come all’apparenza non succeda nulla di strano nella console e come il plugin si sia avviato normalmente come un qualsiasi plugin in commercio.
Ciò non è lo stesso però dal punto di vista dell’hacker che grazie al plugin è riuscito ad ottenere una connessione verso la macchina della vittima e iniziare ad eseguire comandi.
Navigando tra i plugins del server, riesce a trovare informazioni sul database del server in modo da accedervi e rubare i dati contenuti.
Con pochissimi comandi è riuscito a scaricarlo e visualizzarlo rubando come esempio nel video il database contenente Passwords ed IP degli utenti.
Essendo il server installato sull’utente root, l’hacker ha accesso a tutti i privilegi ed è in grado volendo di fare ulteriori danni alla macchina.
TECNICHE DI DIFESA
Come è possibile quindi difendersi?
Possiamo osservare queste tecniche che ci verranno sicuramente in aiuto.
1 - ROOT
Non installare mai sull’utente root qualsiasi tipo di servizio, specialmente se esposto all’esterno come un server minecraft.
2 – FIREWALL
Configurare correttamente il firewall della vostra macchina, andando a limitare soprattutto le connessioni in uscita, poiché il malware se le connessioni in uscita fossero state correttamente limitate, non sarebbe riuscito nel suo intento.
3 – DOCKER
Tool molto utile, permette di creare dei containers isolati dal resto del sistema sul quale eseguire varie applicazioni tra cui i server minecraft.
In questo caso il malware sarebbe stato limitato nel muoversi solamente all’interno del container.
4 – CODE INSPECT
Ispezionare il codice del plugin con strumenti come JDGUI può essere sicuramente effettivo se conoscete Java.
In questo modo, specie se il plugin non è molto “grande” è possibile andare a comprendere se il suo intento è regolare e non malevolo.
5 – MC ANTIMALWARE
Tool gratuito sviluppato da uno degli staffer di SpigotMC permette di scannerizzare costantemente i plugins all’interno del vostro server ed individuare eventuali minacce.
Se usato con costanza e impostato correttamente può essere di grande aiuto.
https://github.com/OpticFusion1/MCAntiMalware
6 – HIDS
Racchiude una gamma di software utilizzati per individuare intrusioni indesiderate nei propri sistemi.
Un HIDS controlla lo stato del sistema verificando le informazioni memorizzate, sia in RAM che sul file system, i file di log e così via. L’obiettivo è quello di rilevare tempestivamente anomalie.
Possono risultare complessi e a volte costosi ma se configurati bene possono svolgere un ottimo lavoro specie se avete un network esteso e difficile da tenere sotto controllo.
Un esempio in questo settore è OSSEC.
OSSEC - World's Most Widely Used Host Intrusion Detection System - HIDS
OSSEC is a multiplatform, open source and free Host Intrusion Detection System (HIDS). You can tailor OSSEC for your security needs through its extensive configuration options, adding custom alert rules and writing scripts.
www.ossec.net
QUADRO GENERALE
Un blando ma utile punto di partenza può consistere nel prendere dimestichezza con un software come netstat.
Netstat permette di avere delle statistiche di rete in merito ai protocolli TCP e UDP e alle varie porte in ascolto o in uso.
Nella parte finale del video, usando netstat e andando a cercare le connessioni ESTABLISHED, ossia connessioni che sono stabilite tra due dispositivi, analizziamo se ci possano essere dei processi malevoli e cerchiamo di fermarli.
