Pillole
Visite: 5563

Pillole di #penetrationtest

Molti sono stati gli attacchi sviluppati contro il protocollo SSL e il suo successore TLS; ricordiamo LOGJAM,FREAK,BEAST,SWEET32,POODLE,Heartbleed e altri ancora.

Tutti sono stati a vario titolo orientati contro il sistema crittografico.
In ogni caso, il problema non è come questo sia stato possibile, ma come questo sia evitabile.

Molti di questi attacchi sono possibili, ovvero possono essere evitati, semplicemente attraverso la configurazione del servizio che utilizzi SSL/TLS.

Per difendere un servizio è sufficiente utilizzare solo protocollo e crittografia non (ancora) violate.

Verificare questa configurazione è un nostro compito come pentester.

Possiamo agilmente verificare la configurazione di un servizio utilizzande SSL/TLS mediante uno script di nmap per la verifica della cipher suite (l'insieme degli algoritmi crittografici disponibili e selezionabili durante la contrattazione client/server).

Lo script è "ssl-enum-ciphers" ed è attivabile semplicemente e puntualmente (sul servizio e host specifico) mediante:

nmap -v -p 443 --script ssl-enum-ciphers mio.dominio.net

 

Pillole
Visite: 9655

Pillole di #penetrationtest

theHarvester è il più noto strumento automatico open source per realizzare semplicemente, ma efficacemente, la fase di information gathering, ed in particolare la Open Source Intelligence (OSINT) Gathering.

Questo strumento aiuta nella ricerca da fonti aperte di email, nomi di persone, sottodomini, indirizzi IP e URL, che caratterizzano la esposizione della azienda oggetto di penetration test su Internet (la sua "superficie di attacco non tecnica").

theHarvester arriva installato in Kali abile ad eseguire ricerche su motori di ricerca esclusivamente "aperti" (vedi google, duckduckgo, ecc).

Ma theHarvester supporta oltre 30 motori di ricerca, alcuni dei quali prevedono una chiave di accesso alla loro API, chiave di accesso che si ottiene solo previa registrazione.

Molti di questi motori "con chiave" possono essere in realtà ricchi di informazioni utili; sono: www.bing.com, www.github.com, www.hunter.io, www.intelx.io, https://pentest-tools.com, www.securitytrails.com, www.shodanhq.com, https://spyse.com.

La distro Kali (bontà sua) pre-registra una sola chiave per intelx, ma gli altri rimangono assolutamente non utilizzati fino a che non si provveda a registrare un proprio account su tali motori, acquisendone una chiave da porre nel file /etc/theHarvester/api-keys.yaml, semplicemente compiandola dopo la parola chiave "key:" corrispondente al motore di ricerca.

Pillole
Visite: 5701

"Achilles" è uno studio condotto da Checkpoint sulle vulnerabilità dei chip DSP presenti su tutti gli smartphone di nuova generazione.
In pratica il DSP (Digital Signal Processor) è un chip che permette di migliorare l'esperienza multimediale dell'utente ma può apportare anche altri vantaggi come la carica veloce.
Qualcomm Technologies è il leader mondiale nella produzione di chip DSP presenti in oltre il 40% degli smarphone del pianeta!
Ebbene nella sua ricerca denominata "Achilles", Checkpoint ha individuato oltre 400 differenti linee di codice contenenti vulnerabilità.


Queste vulnerabilità permettono di esfiltrare dati, video, registrare conversazioni, ottenere dati GPS senza la necessità di interazione con l'utente, rendere il telefono unresponsive, e come se non bastasse rendere codici malevoli praticamente non rimuovibili

Naturalmente queste vulnerabilità sono state comunicate a Qualcom e sono stati conseguentemente assegnati i CVE per identificarle.
Le principali sono CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208 and CVE-2020-11209
Andando sul sito Qualcomm si evince che le vulnerabilità sono state patchate.
Come riflessione finale rimane il fatto che è necessario mantenere costantemente aggiornati i nostri device, laptop, server etc... al fine di proteggerli da tutte queste vulnerabilità conosciute ed emergenti.

Pillole
Visite: 5702

Pillole di #penetrationtest

Molti che utilizzano nmap, quando pensano all'host discovery, pensando ad un traffico ICMP.

Attenendosi al manuale, altri sanno inoltre che ICMP viene integrato con TCP SYN alla porta 443 e TCP ACK alla porta 80 per sopperire all'eventuale negazione del traffico ICMP da parte di sistemi di difesa.

Tutto giusto, tranne il fatto che questo comportamento di "default" di nmap (ossia senza opzioni specificate) non è quello che nmap compie realmente in una rete locale: sebbene posto nel mezzo di un più ampio discorso, il manuale indica invero qualcosa di più, ma che spesso sfugge l'attenzione del lettore.

All'interno di una rete locale, per scelta di efficienza, nmap applica di "default" l'ARP/Neighbor Discovery, ossia usa il solo protocollo ARP (richiede chi possiede il dato IP, e la risposta ARP gli è più che sufficiente): questo indipendentemente da quale opzione -P* si espliciti per scegliere una tipologia di traffico ICMP.

Unico modo per generare un "ping sweep" (ICMP) in rete locale con nmap è applicare l'opzione --disable-arp-ping (inversa della -PR che è dunque il vero default in una rete locale).

Pillole
Visite: 6367
Pillole di #analisiforense
Integrità del dato acquisito
La prova dell’integrità e dell’autenticità del dato, può essere fornita da sistemi crittografici e di firma digitale.
Viene calcolato un valore numerico, che ha la funzionalità dell’impronta digitale, sia per un singolo file che per l’intero dispositivo acquisito.
Confrontando il valore prima e dopo l’analisi si può essere sicuri che non sono state introdotte modifiche.
Un tool utile a tale scopo è aimage è uno strumento per creare una copia forense di un dispositivo in formato aff.
L'immagine risultante può essere in formato raw fatta con dd, in formato aff, o anche AccessData’s Forensic Toolkit (FTK).
AFF sta per Advanced Forensic Format che è un formato aperto con molteplici vantaggi:
  • Può memorizzare metadati arbitrari.
  • L'immagine può essere compressa con un livello di compressione elevato.
  • L'immagine risultante può essere crittografata.
  • L'immagine risultante può essere tagliata in pezzi più piccoli per adattarli su media o filesystem che non possono contenere file di grandi dimensioni.

Pillole
Visite: 7570

Pillole di #analisiforense
Le 6 fasi di Analisi Forense.
Identificazione(Identification) e Conservazione(Preservation) : è necessaria per rilevare e scovare cosa è effettivamente qual’è il target utile ai fini dell’indagine e, fermare o impedire qualsiasi attività che possa danneggiare la raccolta di informazioni digitali.
Acquisizione(Collection): le informazioni vengono duplicate in maniera fedele all’originale. Gli obiettivi di questa fase sono: acquisire il maggior numero di dati, rendere l’attività di acquisizione ripetibile e limitare i tempi di inattività di server “importanti”.
Analisi(Analisys): Si evidenziano i dati con contenuto informativo importante per l’indagine. Il processo di analisi viene documentato. I dati vengono visualizzati, si individuano le parole chiave, vengono decompressi gli archivi. I dati vengono poi acquisiti e decifrati per essere inseriti in una timeline.
Valutazione(Validation): In questo passaggio i dati evidenziati in fase di analisi vengono interpretati per sostenere le proprie tesi (sia a favore che a sfavore).
Adattamento(Interpretation): Il registro viene adattato in base all’interlocutore per essere di facile comprensione al ricevente finale, sia quest’ultimo tecnico o giurista.
Presentazione(Documentation and Reporting): L’analisi è conclusa. Viene documentato cosa è stato fatto, come è stato fatto, cosa è emerso e che significato hanno i dati rinvenuti.

Pillole
Visite: 7848

Pillole di Malware Analysis

I protection Ring

I #malware possono essere classificati dividendoli per tipologia (#Trojan, #Ransomware, #AdWare etc...), per comportamento (rubare informazioni, negare un servizio, prosciugare le risorse di un host etc...) e per privilegi.

In questa piccola pillola vi voglio parlare di questo tipo di classificazione.

La CPU intel è stata progettata per lavorare su 4 differenti #Ring, da Ring 0 (privilegi più alti) a Ring 3 (privilegi più bassi). Il codice che lavora al ring più basso necessita di privilegi maggiori.

#Windows lavora solo su due ring: 0 e 3!

A Ring 3 lavora qualsiasi programma in User Mode, mentre un programma in Kernel Mode lavora a Ring 0. Capite al volo che un #RootKit lavora a Ring 0 e generalmente per poter operare su questo ring esegue tecniche di privilege escalation.

Vi sono però altri ring poco conosciuti: Ring -1, Ring -2 e Ring -3.

Il Ring -1 lavora su sistemi virtualizzati a livello dell'#Hypervisor. Naturalmente un malware operante a questo livello si trova sotto il SO host e quindi ha privilegi maggiori del Ring 0.

In Ring -2 lavora il software di sistema al boot del device quando ancora non è stato attivato il protected mode dalla CPU e gli indirizzamenti di memoria sono reali e non virtuali

E il Ring -3?

Per semplicità diciamo che a questo Ring lavora il firmware! (altrimenti dovrei spiegarvi l'Intel Management Engine, ma se vi interessa lo farò in un'altra pillola ;-))

Tipici malware che lavorano a Ring -3 sono quelli che infettano i dispositivi #IoT!

 

 

 

Pillole
Visite: 5278

Pillole di Threat Intelligence

Il ransomware Dopplemeyer

Il recente report di Trend Micro "A constant State of Flux" ci riporta i dati delle infezioni rilevate durante l'anno 2020 dalla famosa casa.

Conferma che i ransomware sono sempre più sofisticati e fanno sempre pù male!

Il Ransomware più attivo nel 2020 è Locky, seguito da Cerber e Ryuk.

Tra gli emergenti troviamo DopplePaymer che utilizza una catena di infezione alquanto articolata.

In pratica si diffonde tramite Emotet, che generalmente inizialmente scarica il bankingTrojan Dridex.

Vengono eseguite azioni di movimento laterale, disabilitazione degli antivirus etc... utilizzando PowerShell Empire, Cobalt Strike, Mimikaz e PSExec ed infine viene scaricato DoppelMeyer che si occupa di criptare il disco.

In pratica, viene confermato che i Ransomware oramai non sono altro che lo stage finale di un'infezione che cerca di prendere tutto ciò che si trova di interessante ed infine, quando si è prosciugato il pozzo si parte con il cripting.

Il target primario di DoppleMeyer sono aziende nel settore Sanitario, servizi emergenziali e scolastici.

 

Pillole
Visite: 6317

PIllole di #MalwareAnalysis

I tipi di #Botnet

Le #botnet sono gruppi di device infetti (#zombie) controllati da un centro di comando e controllo (#C2)

Il numero di device tipicamente può superare il milione di unità e vengono comandati all'unisono dal C2 che è il punto debole.

Spento il C2, la botnet muore. Non vale la stessa cosa se viene eliminato un device dalla botnet.

Quindi il Re in questo scacchiere è proprio il C2 e deve essere superprotetto!

Per fare ciò le botnet si sono evolute da Botnet Centralizzate, dove il C2 risiede in un'unica infrastruttura, a quelle decentralizzate.

Nelle decentralizate, il c2 è composto da differenti zombie, quindi il #botMaster è in grado di controllare la botnet anche quando uno degli elementi del c2 viene spento.

Spesso queste utilizzano reti p2p già esistenti.

Le botnet sono una risorsa preziosa e vengono spessissimo affittate ad altri gruppi criminali per diffondere i propri #malware o per eseguire attacchi #DDoS a bersagli inconsapevoli.

Un esempio è il malware #Ryuk diffuso grazie alla botnet Trickbot.

Tra le botnet più pericolose degli ultimi anni troviamo #Emotet, #Trickbot e #Formbook.

Il protocollo di comunicazione utilizzato può essere sia di tipo pull che push, ma di questo vene parlo in un'altra pillola ;-)

Pillole
Visite: 6307

Pillole di #MalwareAnalysis

Uno degli #IoC facilmente identificabili di un #Malware è la sua firma #Hash.

Questa firma può essere generata con differenti algoritmi, e tra questi i più utilizzati abbiamo # MD5, # SHA1 e # SHA256. La caratteristica di queste firme è che se viene modificato anche un singolo bit del file sorgente gli Hash risultanti sono completamente differenti.

Se abbiamo due malware praticamente identici ma che all’interno contengono modifiche non sostanziali come ad esempio il dominio che viene contattato o che addirittura sono stati semplicemente compilati da due differenti compilatori avranno due hash completamente differenti.

Per superare questo problema ci viene in aiuto il #FuzzyHashing. Grazie al tool #SSdeep vengono creati hash incrementali dei differenti file e confrontati tra di loro per fornire poi la percentuale di similarità.

#Cybersecurity #ZeroDay #Hacker #APT

  1. Fuzzy Hashing
  2. ImpHash
  3. Process Monitor
  4. Pillole di Pentration Testing: Le forme di occupazione di dominio

Pagina 13 di 16

Per rimanere aggiornato iscriviti alla nostra newsletter

Cyber pillole più lette

Articoli più letti

Cyber Security UP

CybersecurityUP is a BU of Fata Informatica.
Since 1994, we have been providing IT security services to large civil and military organizations.
  • Ethical Hacking
  • Red Teaming
  • Penetration Testing
  • Security Code Review
  • SOC 24x7
  • Specialized Training
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Monday-Friday
09:00 - 13:00
14:00 - 18:00

+39 06 4080 0490
amministrazione@fatainformatica.com

Contact us

Do you need our cybersecurity services?

Privacy policy

We invite you to read our
privacy policy for the protection of your personal data.
Disclaimer
Some of the photos on Cybersecurityup.it may have been taken from the Internet and therefore considered to be in the public domain. If the subjects or authors have any objections to their publication, they can report this by email to the editorial staff, who will promptly remove the images used.
© 2026 Fata Informatica. Tutti i diritti riservati.
We use cookies

Utilizziamo i cookie sul nostro sito Web. Alcuni di essi sono essenziali per il funzionamento del sito, mentre altri ci aiutano a migliorare questo sito e l'esperienza dell'utente (cookie di tracciamento). Puoi decidere tu stesso se consentire o meno i cookie. Ti preghiamo di notare che se li rifiuti, potresti non essere in grado di utilizzare tutte le funzionalità del sito.

Ok Rifiuta