Indirizzi IPv4 mappati come IPv6: come funziona la tecnica di offuscamento

Cos'è e come funziona il mapping IPv6 degli indirizzi IPv4: perché alcuni criminali informatici stanno abusando di questa funzionalità per offuscare gli indirizzi Web.
Indirizzi IPv4 mappati come IPv6: come funziona la tecnica di offuscamento

I criminali informatici pongono in essere attacchi mirati che ambiscono ad essere sempre più efficaci. Dal loro punto di vista, le soluzioni di sicurezza che analizzano in tempo reale i contenuti delle pagine Web visitate dai vari client connessi alla rete locale o che sottopongono ad esame il contenuto dei messaggi di posta, possono rappresentare un problema perché, generalmente, riescono a far emergere la presenza di eventuali minacce. Si pensi, nel caso degli attacchi phishing, ai link che fanno riferimento a siti Web fasulli, cloni – soltanto dal punto di vista grafico – di quelli reali e legittimi.

Indirizzi IPv4 mappati come IPv6: perché possono rappresentare una minaccia

Abbiamo già visto in passato che gli indirizzi IP possono essere espressi ricorrendo a diverse notazioni. Avevamo spiegato, ad esempio, che gli indirizzi IP sono esprimibili come decimali anziché nel formato che tutti conosciamo. Provate ad esempio a digitare quanto segue nella barra degli indirizzi del browser Web: https://134744072. Sarete subito reindirizzati alla home page del servizio DNS Google, anche se nell’indirizzo non sembra esserci alcun riferimento né all’azienda di Mountain View né agli indirizzi dei dei suoi server DNS (8.8.8.8 e 8.8.4.4).

Il noto ricercatore Didier Stevens parla di una nuova tendenza che sembra diffondersi tra gli autori di campagne phishing e tra coloro che desiderano sottrarsi alle scansioni di sicurezza citate brevemente in apertura.

Come documentato nel post dal titolo IPv4-mapped IPv6 Address Used For Obfuscation, si sta registrando un crescente utilizzo di indirizzi del tipo hxxp://[::ffff:a.b.c.d] dove hxxp corrisponde a HTTP.

Cosa sono gli IPv4-mapped IPv6 address

Un IPv4-mapped IPv6 address è un tipo specifico di indirizzo IPv6 utilizzato per rappresentare indirizzi IPv4 all’interno di un contesto IPv6. Per semplificare, questo tipo notazione può eventualmente essere utilizzata quando fosse necessario integrare la compatibilità IPv6 con dispositivi o applicazioni che supportano solo IPv4. La rappresentazione di un “IPv4-mapped IPv6 address” è appunto la seguente:

::ffff:indirizzo_IPv4

Un’applicazione che supporta IPv6 può comunicare con un’altra che supporta solo IPv4 utilizzando l’indirizzo mappato. Tuttavia, come segnala Stevens, sembra che un sempre maggior numero di criminali informatici stia abusando di questa caratteristica per offuscare gli indirizzi Web e sottrarre le loro attività all’analisi degli strumenti per la sicurezza informatica.

La parte ::ffff: indica il mapping tra IPv6 e IPv4 mentre a.b.c.d o indirizzo_IPv4 nei precedenti esempi, esprimono l’indirizzo IPv4 da mappare.

D’altra parte, se provate a usare lo schema seguente, incollando l’indirizzo completo nella barra degli indirizzi vedrete che si aprirà la home di Google DNS (al netto di un errore che informa circa l’utilizzo di un certificato scorretto):

hxxps://[::ffff:8.8.8.8]

Al posto di hxxps è ovviamente necessario specificare HTTPS.

Un altro aspetto, quello relativo al mapping IPv6 di un indirizzo IPv4, che vale la pena tenere in considerazione.

Credit immagine in apertura: iStock.com/Sirisak Piyatharo

Ti consigliamo anche

Link copiato negli appunti