Pillole
Visite: 7619

La settimana scorso vi ho parlato del gruppo #BitwiseSpider che sta dietro al #ransomware #BlackCat. Oggi voglio continuare a parlare di questo gruppo mostrandovi le tecniche e procedure di attacco utilizzate.
L’accesso iniziale, è generalmente effettuato sfruttando le vulnerabilità di #MicrosoftExchange CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, e CVE-2021-27065.


Gli attaccanti una volta entrati mantengono l’accesso utilizzando #ConnectWise, un software legittimo utilizzato per la gestione remota di postazioni.


Oltre all'utilizzo di queste vulnerabilità, #BleepingComputers ci riferisce che #BlackCat utilizza per diffondersi anche la famigerata botnet #Emotet. Questa #botnet viene utilizzata per installare Cobalt Strike che consente il movimento laterale necessario per la sua diffusione.


Dopo aver ottenuto l'accesso alla rete, gli attori malintenzionati compromettono le difese dell'organizzazione bersaglio disinstallando le applicazioni #antivirus, utilizzando AdFind e ADRecon per impossessarsi degli account di dominio delle vittime e SoftPerfect per trovare informazioni sulla rete. Gli attaccanti BlackCat sfruttano anche #ProcessHacker e #Mimikatz per accedere e scaricare le credenziali delle vittime.
Per eseguire movimenti laterali viene utilizzato MobaXterm oppure se il vettore di infezione è Emotet, viene utilizzato, come detto in precedenza CobalStrike.
Il Bitwise Spider utilizza anche #ExMatter per rubare informazioni per doppia estorsione, ma anche 7-Zip, Rclone, MEGASync o WinSCP per archiviare le informazioni rubate, che inviano al loro #C2.

,

Pillole
Visite: 8137

Black Cat, conosciuto anche come #AlpaV, è un #ransomware proposto in modalità as a service (#Raas) con un payload scritto in #RUST.

Apparso per la prima volta a novembre 2021, è presto diventato uno dei ransomware più temuti avendo mietuto vittime in Australia, India, Stati uniti e, ahimè, Italia con richieste di riscatto che sono arrivate sino a 14 milioni di dollari da pagarsi in #Bitcoin o #Monero.

Come ogni Raas che si rispetti, gli utilizzatori prima di sferrare un attacco possono configurarlo con oltre 20 parametri differenti che rivelano però delle similitudini con altri ransomware come #BlackMatter e #DarkSide, quest’ultimo noto per l’attacco a Colonial Pipeline.

Una caratteristica di questo servizio Raas è che fornisce agli affilianti un payout che arriva sino al 90% del riscatto, generalmente si arriva al 70%. In pratica l’utilizzatore di questo servizio, una volta ricevuto il riscatto ne intasca il 90%,il restante 10% va ai creatori del servizio.

I metodi per accedere alle infrastrutture delle vittime varia, a seconda del gruppo criminale che lo utilizza e può andare dallo sfruttamento di vulnerabilità di Microsoft Exchange, all’utilizzo di credenziali rubate.

#BlackCat inoltre utilizza anche la famigerata botnet #Emotet, usata anche dal gruppo #Conti, per penetrare le infrastrutture delle vittime. In quei casi ha utilizzato anche #CobaltStrike, come payload di secondo livello, per il lateral movement.

In questi giorni è assurto agli onori della cronica per aver pubblicato dati esfiltrati dalle proprie vittime, oltre che nel dark web, anche su siti accessibili nel clear web, naturalmente al fine di mettere maggiore pressione sulla vittima, inducendola al pagamento del riscatto.

E’ interessante notare che #TrendMicro riporta che nel periodo 1 dicembre 2021, 30 Settembre 2022 il podio dei paesi più colpiti vede in testa gli Stati Uniti, secondo classificato il Canada, e terzi a pari merito Italia e Gran Bretagna. Sicuramente un podio del quale non bisogna vantarsi.

Una vittima illustre italiana è stata GSE, il nostro gestore dei servizi energetici.

Pillole
Visite: 9917

Pass the Hash è un tipico attacco a sistemi windows che avviene quando si utilizza il single sign on (SSO) per muoversi all'interno di un dominio.
Dovete sapere che le credenziali utente, necessarie per l'SSO, vengono memorizzate nel Local Security Authority Subsystem e per consentire un rapido SSO vengono memorizzate in cache.
Ora Windows per consentire l'autenticazione necessaria al single sign on controlla solo gli hash delle password, quindi rubando questi hash un malintenzionato è in grado di autenticarsi e muoversi in rete indisturbato.
Questo tipo di attacco è mitigabile utilizzando sistemi come Windows Defender Credential Guard, disabilitando Lan Management Hash o limitando il numero di account con diritti amministrativi.
E' singolare l'intervento di Mark Russinovic, CTO di Microsoft Azure, che alla RSA Conference del 2014 sottolineò che se si vuole essere immuni dagli attacchi Pass The Hash bisogna disabilitare il Single Sign On!

Pillole
Visite: 9708

Il ping of Death è un tipo di attacco dos che sfruttava un bug del gestore del protocollo IP su computer Window, Unix e Mac.
Tale bug è stato risolto completamente nel 1998 ma è una tipologia di #attacco che vale la pena ricordare.
In pratica prevede di inviare un pacchetto icmp di dimensioni superiori a quelle gestibili dal protocollo ip al fine di generare sulla macchina target un buffer overflow.
In pratica il protocollo ip è in grado di gestire pacchetti con dimensione massima 65.535 byte. Durante un ping of death viene inviato un pacchetto di dimensioni maggiori, che in fase di invio viene suddiviso in datagrammi in base alla dimensione massima del frame ethernet, ma alla ricezione sulla macchina target, una volta "riassemblati" generano un pacchetto che supera la dimensione consentita dal protocollo e provoca il blocco del sistema.
Nonostante questo problema sia stato risolto nel 1998 esistono ancora sistemi, generalemente legacy, sensibili a questo tipo di attacco.
A conferma di questa mia affermazione nel 2020 fu scoperta una nuova vulnerabilità nel modulo tcpip.sys di windows sensibile a questo tipo di attacco.
Fortunatamente fu prontamente patchata.

Pillole
Visite: 8829
Nella pillola precedente ho parlato dei malware metamorfici e della loro capacità di modificare il proprio codice sorgente. Le principali techiche utilizzate sono la Dead Code Insertion, il Soubroutine Reordering o la Code Transposition.
La tecnica del Dead Code Injection prevede di inserire codice, nel proprio codice sorgente, che non fa nulla.
Questo si può fare inserendo delle istruzioni NOP  che anche non modificando il comportamento del malware,ne modificano il sorgente
Un'altro esempio di dead code insertion è la seguente sequenza di istruzioni:
1 INC EDX
2 PUSH EDX
3 DEC BYTE PTR SS:[ESP]
4 DEC EDX
In pratica questa sequenza prevede di (1) incrementare il valore del registro EDX, (2) inserirlo nello stack (questo comporta l'incremento di un BYTE del registro ESP), (3) decrementare il registro ESP (in pratica si annulla il push precedente) ed infine (4) si decrementa EDX che con la prima istruzione era stato incrementato.
Ecco fatto, una sequenza di 4 instruzioni che alla fine non fa nulla!

Inserendo questa sequenza all'interno del proprio codice sorgente il malware di fatto si automodifica polimorficamente senza alterare il proprio comportamento

 

Pillole
Visite: 9223

Una caratteristica fondamentale per la sopravvivenza del #malware è la sua capacità di nascondersi ai sistemi di detection.
Per fare questo è fondamentale che la propria firma #hash vari in continuazione, altrimenti sarebbe facilmente identificabile.
Nascono così i malware polimorfici, ovvero una tipologia in grado di cambiare continuamente la propria firma hash andando semplicemente a modificare la propria chiave di crittazione. Ad ogni copia la chiave varia, quindi varierà il proprio hash.
Questo è ok per evadere sistemi di identificazione basati semplicemente su hash, ma i sistemi attuali sono più sofisticati e spesso la semplice variazione della chiave non è sufficiente.
E' necessario che il malware modifichi il proprio codice! Nascono così i malware metamorfici, ovvero quelli in grado di modificare il proprio codice sorgente. Come viene fatto?
Innanzitutto il malware contiene un proprio modulo di decompilazione e ricompilazione. Ci sono differenti tecniche una delle quali prevede che una volta decompilatosi (che brutta parola) è in grado di aggiungere dentro il proprio codice istruzioni nuove, che possono variare da semplici NOP a sequenze di istruzioni assembler, che vengono definite Dead Code Injection, ovvero iniezione di codice morto che alla fine non fa nulla, se non modificare il codice sorgente.
Se vi appassiona questo argomento vi consiglio di leggere "Malware Obfuscation Techniques: A Brief Survey" di Ilsun You e Kangbin Yim

Pillole
Visite: 9301

Nella pillola precedente abbiamo visto una socket di tipo server, oggi vedremo un client.

Il client ha come obiettivo la connessine ed il dialogo con un server

Un esempio molto semplice di client potrebbe essere:

import socket

client = socket.socket(socket.AF_INET,socket.SOCK_STREAM)

client.connect(('192.168.13.23', 8080))

client.send("Ciao! Sono il client")

data = client.recv(4096)

client.close()

print data

 

Il client, come vedete è molto più semplice del server in quanto deve solo connettersi al server con la chiamate connect, inviare dati con send e riceverli con recv.

I dati ricevuti vengono messi nella variabile data che viene stampata.

Semplificando la massimo, questo è un client che si può connettere al server visto nella pillola della settimana scorsa.

 

,

Pillole
Visite: 10083

Oggi provo a parlarvi delle socket semplificando molto le cose 😉

Le socket sono gli endpoint di un canale di comunicazione bidirezionale. Consentono la comunicazione in rete ma anche tra differenti processi della stessa macchina.

Le socket di rete possono essere di tipo Server o Client. Le socket di tipo server si mettono in ascolto su una specifica porta aspettando che un’altra socket di tipo Client ci si connetta.

In questa pillola vediamo una server socket ed utilizzerò come linguaggio Python

import socket

serv = socket.socket(socket.AF_INET, socket.SOCK_STREAM)

serv.bind(('127.0.0.1', 8080))

serv.listen(5)

while True:

    conn, addr = serv.accept()

    while True:

        data = conn.recv(4096)

        print data

        conn.send("Sono il server")

    conn.close()

    print 'client disconnesso

 

In questo programma dopo aver definito la porta di ascolto (la 8080) creeremo una socket con la chiamata socket.socket(), e subito dopo utilizzando bind() collegheremo la socket all’host locale ed alla porta definita.

Una volta eseguite queste azioni diciamo alla socket di mettersi in ascolto per ricevere connessioni utilizzando la chiamata listen()

Il numero 5 come argomento della listen indica il numero delle connessioni che potranno mettersi in coda.

Fatto questo si attende dentro il ciclo while che arrivi una connessione.

La chiamata accept consente di accettare una connessione entrante. Dopo questa chiamata il server rimane in ascolto sulla porta. Alla ricezione della connessione viene inizializzata la variabile conn che conterra i valori identificativi della connessione entrante.

Ricevuta una connessione, con la chiamata conn.recv,  la variabile data conterrà il valore ricevuto. Qui avrei dovuto fare un controllo su data per capire se è vuota o meno, ma ve lo risparmio.

Ricevuto il valore con la conn.send il server invia la stringa “Sono il server” al client.

Infine si chiude la connessione.

Le socket sono importanti nelle attività di penetration testing, in quanto consentono al pentester di creare connessioni e testare in modo efficiente i server da analizzare. Naturalmente questo si fa con socket di tipo client che vedremo nella prossima pillola.

Pillole
Visite: 9839

Continuando il nostro viaggio nel reame di sua maestà Shodan oggi vi voglio parlare dell'Internet Exposure Observatory
Tramite questo progetto è possibile raccogliere statistiche sulle vulnerabilità presenti nel proprio paese ottenendo così una vista di alto livello sul relativo stato di sicurezza
Filtrando per Italia si scoprono informazioni estremamente interessanti:
50 sono i sistemi individuati ancora vulnerabili a EhternalBlue (ricordate Wannacry?)
5.369 sono vulnerabili a Heartbleed (bug dell'OpenSSL)
1.193 non hanno patchato Bluekeep (vulnerabilità del protocollo RDP di windows che consente RCE)
66.4% sono i sistemi identificati che hanno attiva l'autenticazione SMB
5654 i sistemi industriali esposti su internet
CVE-2015-0204 è la vulnerabilità più presente (vulnerabilità di OpenSSL all'attacco chiamato Freak Attack)

Questo progetto è visibile su https://exposure.shodan.io/#/IT

Pillole
Visite: 10232

Visto l'interesse della mia pillola su Shodan oggi vi voglio parlare dei filtri messi a disposizione di questo potente motore di ricerca.
Tramite i filtri si può restringere il dominio di una ricerca, e vengono utilizzati nella sintassi nomefiltro:valore (è importante notare che non ci deve essere uno spazio tra il : e il valore)
Tra i filtri più utilizzati troviamo:
city (filtra per città)
port (filtra per porta)
country (filtra per paese e necessita di due lettere)
net (filtra per rang di ip forniti secondo il formato CIDR)
Ecco che possiamo fare una ricerca nella città di Genova, per i servizi esposti sulla porta 3657 utilizzando nella barra di ricerca la sintassi
city:"Genova" port:3657
I filtri sono talmente potenti che potete ricercare anche vulnerabilità specifiche utilizzando il filtro vuln
Ad esempio potete cercare tutte i siti con la vulnerabilità CVE-2022-13454 utilizzando il filtro vuln:"CVE-2022-13454"
Nienta male vero?
Ma non correte a provare questo filtro perchè Shodan consente il suo utilizzo solamente ad enti accademici e PMI sottoscrittrici del servizio.

  1. Pillole di Ethical hacking: Shodan, il motore di ricerca più pericoloso al mondo
  2. Pillole di Ethical Hacking: Il ping sweep
  3. Pillole di Ethical Hacking: Nslookup
  4. Exchangeable Image File Format

Pagina 3 di 16

Per rimanere aggiornato iscriviti alla nostra newsletter

Cyber pillole più lette

Articoli più letti

Cyber Security UP

CybersecurityUP is a BU of Fata Informatica.
Since 1994, we have been providing IT security services to large civil and military organizations.
  • Ethical Hacking
  • Red Teaming
  • Penetration Testing
  • Security Code Review
  • SOC 24x7
  • Specialized Training
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Monday-Friday
09:00 - 13:00
14:00 - 18:00

+39 06 4080 0490
amministrazione@fatainformatica.com

Contact us

Do you need our cybersecurity services?

Privacy policy

We invite you to read our
privacy policy for the protection of your personal data.
Disclaimer
Some of the photos on Cybersecurityup.it may have been taken from the Internet and therefore considered to be in the public domain. If the subjects or authors have any objections to their publication, they can report this by email to the editorial staff, who will promptly remove the images used.
© 2026 Fata Informatica. Tutti i diritti riservati.
We use cookies

Utilizziamo i cookie sul nostro sito Web. Alcuni di essi sono essenziali per il funzionamento del sito, mentre altri ci aiutano a migliorare questo sito e l'esperienza dell'utente (cookie di tracciamento). Puoi decidere tu stesso se consentire o meno i cookie. Ti preghiamo di notare che se li rifiuti, potresti non essere in grado di utilizzare tutte le funzionalità del sito.

Ok Rifiuta