Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Open Source Intelligence come strumento di monitoraggio

411 views

Published on

Ordine degli Ingegneri di Roma

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Open Source Intelligence come strumento di monitoraggio

  1. 1. Open Source Intelligence come strumento di monitoraggio Ordine degli Ingegneri di Roma Roma, 12 luglio 2019 Gianni Amato | Cybersecurity Analyst @ CERT-PA / AgID
  2. 2. 2Gianni Amato Cyber Threat Intelligence Chi sono gli autori dell’attacco? Qual è lo scopo? Quali metodi o tecnologie sono state usate? Quando ha avuto inizio? Chi sono i target? Non esiste un prodotto che con un solo click possa rispondere ai seguenti quesiti …nemmeno con una serie di click
  3. 3. 3Gianni Amato Persone, Competenze, Prodotti Individuare una minaccia Acquisirla Valutarla Contestualizzarla Analizzarla Esistono persone che grazie ai loro skill e all’ausilio di uno o più prodotti, adeguatamente configurati, possono essere in grado di… Al fine di provare a fornire una risposta ai quesiti precedenti
  4. 4. 4Gianni Amato Fonti e classificazioni OSINT Social Twitter stream Facebook page Blog Website Forum Paste Blacklist CLOSINT Forum Mailing list Servizi Telegram (next step) IRC
  5. 5. 5Gianni Amato Cercare l’ago nel pagliaio Email Password Contatti IP addr #Operation DDoS Deface XSS SQLi Hardware Software Campagne malware Phishing Malware 0-day Data Breach Hacktivism
  6. 6. 6Gianni Amato Rimozione del rumore di fondo
  7. 7. 7Gianni Amato Engine Acquisisce Normalizza Memorizza Rileva Visualizza e Allerta Formati Omogenei Feed RSS Json XML CSV Formati Eterogenei «Testi e Liste non strutturate» (es. le blacklist)
  8. 8. 8Gianni Amato Storicizzazione Le informazioni normalizzate vengono memorizzate su database e indicizzate da elasticsearch { "@timestamp": 1525623339, "source": "Source name" "title": "Your title here". "description": "Your description here.", "permalink": "http://www.domain.com/post/example.html", "tags": [“malware", “malspam", “italy"] } Perché elasticsearch • Supporto architetture distribuite • Ricerche basate su Lucene • Capacità di ricerca Full Text • Documenti strutturati in formato Json
  9. 9. 9Gianni Amato Metodo di Rilevazione  New malware campaign made in Italy  Analyzing a trojan horse with 0day embedded  Here a ransomware campaign with target Italy Description contains malware OR ransomware OR italy OR ………….. OR 0day Rules {Kp AND [k1 OR (K2 AND K3) OR Kn]} italia OR …… OR trojan AND OR zeroday Kp Kn o Ursnif campaign victim list. Italy targeted o WebLogic exploit RCE PoC (CVE-2019-2725) o #OpItaly Anons leaks admins credentials
  10. 10. 10Gianni Amato Rilevazione { "@timestamp": 1397129798, "source": “Twitter" "title": “Anonymous Italy @OperationItaly". "description": "http://dominio.it http://sottodominio.dominio.it http://sottodominio.dominio.it e molti altri ancora fuori servizio! #MMI #AntiMilitarist #Anonymous", "permalink": "https://twitter.com/OperationItaly/status/454327045779365888", "tags": ["hacktivism", "anonymous", "anonplus“, “anonghost”] } description contiene dominio.it AND deface OR tangodown OR ………….. OR compromise OR anonymous Documento acquisito Regola
  11. 11. 11Gianni Amato Acquisizione keywords { "@timestamp": 1397129798, "source": “Twitter" "title": “Anonymous Italy @OperationItaly". "description": "http://dominio.it http://sottodominio.dominio.it http://sottodominio.dominio.it e molti altri ancora fuori servizio! #MMI #AntiMilitarist #Anonymous", "permalink": "https://twitter.com/OperationItaly/status/454327045779365888", "tags": ["hacktivism", "anonymous", "anonplus“, “anonghost”] } description contiene AntiMilitarist Tutte le keyword vengono indicizzate da elasticsearch e dunque ricercabili «full text» all’interno del database
  12. 12. 12Gianni Amato Dovinci - Cyber Threat Intelligence
  13. 13. 13Gianni Amato #Operazioni
  14. 14. 14Gianni Amato Exploit & Vulns
  15. 15. 15Gianni Amato Databreach • 100 DB «dump» rilasciato in data 4 maggio 2018 ore 11:03 • Individuato da Dovinci il 4 maggio 2018 ore 11:25 • 22 minuti dopo il rilascio
  16. 16. 16Gianni Amato Redirect
  17. 17. 17Gianni Amato SQLi
  18. 18. 18Gianni Amato Ricerca & Correlazione http://185.244.25.231:80/bins/GenAI.arm7 1. http://185.244.25.231/bins/GenAI.m68k 2. http://185.244.25.231:80/bins/GenAI.mips 3. http://185.244.25.231:80/bins/GenAI.m68k 4. http://185.244.25.231:80/bins/GenAI.sh4 5. http://185.244.25.231/bins/GenAI.mips 6. http://185.244.25.231:80/bins/GenAI.arm5 7. http://185.244.25.231:80/bins/GenAI.arm7 8. http://185.244.25.231/bins/GenAI.arm5 9. http://185.244.25.231:80/bins/GenAI.arm6 10.http://185.244.25.231:80/bins/GenAI.arm 11.http://185.244.25.231/bins/GenAI.arm 12.http://185.244.25.231/bins/GenAI.arm6 Ricerca su Dovinci Risultato URL ottenuta da analisi malware
  19. 19. 19Gianni Amato Statistiche
  20. 20. 20Gianni Amato Grazie per l’attenzione

×