SlideShare a Scribd company logo

Cyber Attack: stories from the field - Threat analysis: useful methodologies and indicators

Francesco Faenzi
Francesco Faenzi

Le infrastrutture critiche e le istituzioni devono far fronte a minacce cyber sempre crescenti che potrebbero compromettere la sopravvivenza e la prosperità dell’organizzazione stessa. Essere resilienti oggi significa essere in grado di anticipare gli eventi, di essere preparati ad affrontarli e di adattarsi ad uno scenario dinamico in continua evoluzione. Le capacità di resilienza che aziende e manager sapranno mettere in campo influenzeranno sempre più la competitività dell’organizzazione stessa. In tale contesto, la Fondazione GCSEC, da sempre impegnata a creare le condizioni per migliorare le competenze e la cooperazione in materia di sicurezza, organizza il workshop "Attacco Cyber - Esperienze operative per la resilienza del business", che si terrà il 15 Giugno 2016 a Roma presso l’Hotel Bernini Bristol - piazza Barberini, 23. Il workshop si propone di percorrere le fasi principali della gestione di una crisi derivante da un attacco cyber, con l’obiettivo di migliorare le capacità, le competenze e la cooperazione in materia di sicurezza informatica fra i diversi attori coinvolti. L'evento sarà un momento concreto per la condivisione di informazioni tra le grandi aziende pubblico-private nazionali e le infrastrutture critiche per esplorare il tema della gestione degli incidenti. Saranno discusse, attraverso l’esperienza personale dei relatori, le principali attività da mettere in piedi durante la gestione di attacchi informatici. Saranno inoltre condivise le esperienze di rappresentanti di SOC, team di threat analysis, unità di business continuity e gestione crisi, comprendendo anche gli aspetti legali e assicurativi. Il workshop si inserisce in un percorso di collaborazione con Lutech volto a rafforzare la consapevolezza a livello italiano in materia di gestione incidenti cyber. L'evento, la cui partecipazione è su invito, vedrà un pubblico qualificato e selezionato comprendente le istituzioni nazionali civili e militari, le industrie strategiche e le infrastrutture critiche nazionali.

Technology
1 of 33
©Copyright 2016 Lutech Spawww.lutech.it ANALISI DELLA MINACCIA: METODOLOGIE E INDICATORI UTILI > ROMA, 15 GIUGNO 2016 ICT consulting, solutions and services
2 - Confidential @Lutech_TMS / @Lutechspa Questo documento è classificato Lutech Confidential. Non può essere rilasciato a terze parti senza la preventiva autorizzazione di Lutech S.p.A. - Cybersecurity Business Platform e del Lutech Digital Communication Office. I partecipanti all'evento hanno diritto di mantenerne una copia personale. Ogni altro utilizzo è proibito, senza la preventiva autorizzazione di Lutech S.p.A. - Cybersecurity Business Platform e del Lutech Digital Communication Office. 2016 Lutech S.p.A. Riservatezza
3 - Confidential @Lutech_TMS / @Lutechspa AGENDA LUTECH, PARTNER per la CYBERSECURITY SHIELDS UP! ANALISI e RISPOSTA con NOTE METODOLOGICHE e INDICATORI UTILI INTRODUZIONE e CONTESTO
4 - Confidential @Lutech_TMS / @Lutechspa LUTECH, PARTNER per la CYBERSECURITY Vision d'avanguardia Continua cyber threat research Approccio risk-based Innovazione tecnologica con investimento R&D in piattaforme e servizi di Threat Management Erogazione dei Lutech Threat Management Services dal nostro Cybersecurity Command & Control Center (LC4). Lutech si fregia del CERT trademark del CMU-SEI. L-TMS-CERT is the computer security incident response team (CSIRT) for Lutech 15 anni di expertise in Cybersecurity da temi di innovazione e strategia a quelli di ingegneria ed opeations 2mln € REVENUE > 30 PROFESSIONALS 140 CASE STUDIES
5 - Confidential @Lutech_TMS / @Lutechspa INTRODUZIONE Weaponization Reconnaissance Delivery Exploitation Attack Time > Command & Control Attack Time > Exfiltration & Maintenance KILL CHAIN Attack Time > Core Operations  Persistance  Defense Evasion  Privilege Escalation  Credential Access  Host Enumaration  Lateral Movement  Execution
6 - Confidential @Lutech_TMS / @Lutechspa CONTESTO Oltre 1000 vulnerability scan al giorno Oltre 500 tentativi di attacco al giorno Traffico TOR in ingresso è ok per policy Vulnerability Management difficoltoso Attività di Reconnaissance Assenza di IPS e NGFW, assenza di Web Application Firewall, il cui deployment e tuning sarebbe decisamente arduo rispetto alla compatibilità applicativa Contromisure Decine di servizi enduser esposti necessariamente per esigenze di business Superficie di Attacco Massima esposizione dalla natura intrinseca del tipo di business, quindi dei dati trattati e dei relativi volumi Esposizione Ampia presenza di applicazioni legacy esposte, scritte con controllo input quasi nullo e controllo dei caricamenti di allegati non implementati Stato delle Applicazioni Rilevare attacchi applicativi che violano l'input in modo assolutamente preciso, considerato che può bastare la violazione di un parametro su varie decine, è complesso Difficoltà del Rilevamento
7 - Confidential @Lutech_TMS / @Lutechspa SHIELDS UP! Rilevamento vulnerability scan On going Exploitation via SQLInjection con uploda di ASP webshell Esposizione della login page della Webshell sul server Shields Up! 5.55 AM 6.00 AM 6.03 AM 6.17 AM Rilevamento di SQLInjection via TOR per bypassare l'admin login sul server e ottenere diritti di amministratore  Azioni di Reconnaissance  Più di 1000 allarmi al giorno di vulnerability scan  Indicatori di compromissione  Individuazione del target  Osservazione & Kick-back  Analisi della minaccia & Incident Response  Più di 500 tentativi di attacco per giorno fino alla fase di delivery della kill chain  Traffico TOR in ingresso permesso per policyV  Validazione dell'input e dei caricamenti assente, no WAF, stato di patching non adeguato e non noto  Difficile determinare i tentativi di exploitation di vulnerabilità SQL andati a buon fine
8 - Confidential @Lutech_TMS / @Lutechspa SHIELDS UP! Exploitation via SQLInjection con uploda di ASP webshell Esposizione della login page della Webshell sul server Shields Up! 5.55 AM 6.00 AM 6.03 AM 6.17 AM Rilevamento di SQLInjection via TOR per bypassare l'admin login sul server e ottenere diritti di amministratore  Azioni di Reconnaissance  Più di 1000 allarmi al giorno di vulnerability scan  Indicatori di compromissione  Individuazione del target  Osservazione & Kick-back  Analisi della minaccia & Incident Response  Più di 500 tentativi di attacco per giorno fino alla fase di delivery della kill chain  Traffico TOR in ingresso permesso per policyV  Validazione dell'input e dei caricamenti assente, no WAF, stato di patching non adeguato e non noto  Difficile determinare i tentativi di exploitation di vulnerabilità SQL andati a buon fine Rilevamento vulnerability scan On going
9 - Confidential @Lutech_TMS / @Lutechspa SHIELDS UP! Un server web espone la login page della WebShell ASPyper che permette di tornare e fruire dei servizi di shell Attacker Operations Utilizzo dell'interfaccia di comando di ASPyder con utilizzo del File Browser che permette di navigare nelle directory del server Analysis & Response Analisi della minaccia per garantire la pulizia del server attaccato Individuazione del Target Il server viene immediatamente individuato a partire dalle informazioni nell'evento Osservazione & Kick-back L'Attacker viene monitorato per raccogliere ulteriori tracce e viene bloccata ogni comunicazione originata dalla WebShell Indicator of Compromise
10 - Confidential @Lutech_TMS / @Lutechspa ANALISI e RISPOSTA Simply identifying that an IPS blocked the traffic doesn’t tell you why the bad traffic was generated. Was it an email attachment? Compromised website redirect? - GCIH Advisory Board ˵ ˶
11 - Confidential @Lutech_TMS / @Lutechspa ANALISI e RISPOSTA Mapping the attack through the kill chain […] forces the analyst to understand the threat. Getting the answer of where in the kill chain did the IPS block this attack tells you if there was a failure elsewhere in your security stack. - GCIH Advisory Board ˵ ˶
12 - Confidential @Lutech_TMS / @Lutechspa ANALISI e RISPOSTA Weaponization Reconnaissance Exploitation ANALISI secondo la KILL CHAIN Attack Time > Command & Control Attack Time > Exfiltration & Maintenance  Persistance  Defense Evasion  Privilege Escalation  Credential Access  Host Enumaration  Lateral Movement  Execution Attack Time > Core Operations Delivery
13 - Confidential @Lutech_TMS / @Lutechspa ANALISI e RISPOSTA ANALISI secondo la KILL CHAIN > ATTACK TIME Attack Time > Command & Control Attack Time > Exfiltration & Maintenance  Persistance  Defense Evasion  Privilege Escalation  Credential Access  Host Enumaration  Lateral Movement  Execution Attack Time > Core Operations
14 - Confidential @Lutech_TMS / @Lutechspa Le 9 categorie di tattiche di ATT&CK sono derivate dalle fasi finali dei 7 passaggi del Cyber Attack Lifecycle, descritto per la prima volta da Lockheed Martin come Cyber Kill Chain® ATT&CK si focalizza sui TTP che gli Attacker usano per prendere decisioni, estendere il proprio accesso e raggiungere i propri obiettivi e descrive i passi di un Attacker ad un livello sufficiente alto ma con dettagli tecnicamente utili Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK™) è un modello per descrivere azioni di un Attacker operante all'interno della rete. Permette di caratterizzare e descrivere in dettaglio i comportamenti post-accesso Permette di estendere il know-how dei Defender e di assistere nella prioritizzazione delle attività di difesa dettagliando le TTP post- exploit e installazione degli strumenti attacco ANALISI e RISPOSTA ANALISI secondo la KILL CHAIN > ATTACK TIME CASI D'USO MITRE ATT&CK™ e LOCKHEED MARTIN CYBER KILL CHAIN® FOCUSDESCRIZIONE
15 - Confidential @Lutech_TMS / @Lutechspa ANALISI e RISPOSTA ANALISI secondo la KILL CHAIN > ATTACK TIME
16 - Confidential @Lutech_TMS / @Lutechspa ANALISI e RISPOSTA ANALISI secondo la KILL CHAIN > ATTACK TIME
17 - Confidential @Lutech_TMS / @Lutechspa ANALISI e RISPOSTA Il server web ospitante il sito www.portaletaldeitali.it … 1 ANALISI secondo la KILL CHAIN > ATTACK TIME restituisce la pagina di login della WebShell denominata "ASPyder" 2 Attack Time > Command & Control Attack Time > Exfiltration & Maintenance
18 - Confidential @Lutech_TMS / @Lutechspa
19 - Confidential @Lutech_TMS / @Lutechspa ANALISI e RISPOSTA ANALISI secondo la KILL CHAIN > ATTACK TIME  
20 - Confidential @Lutech_TMS / @Lutechspa ANALISI e RISPOSTA ANALISI secondo la KILL CHAIN > ATTACK TIME Il server web ospitante il sito www.portaletaldeitali.it … 1 restituisce la pagina di login della WebShell denominata "ASPyder" 2 Attack Time > Command & Control Attack Time > Exfiltration & Maintenance Attack Time > Core Operations L’investigazione dell’incidente parte dal path dove era stata caricata la WebShell. Nello stesso path, durante il periodo di osservazione, avevamo notato, oltre al file .asp della WebShell, altri.pdf coerenti col sito 3
21 - Confidential @Lutech_TMS / @Lutechspa
22 - Confidential @Lutech_TMS / @Lutechspa ANALISI e RISPOSTA ANALISI secondo la KILL CHAIN > ATTACK TIME Il server web ospitante il sito www.portaletaldeitali.it … 1 restituisce la pagina di login della WebShell denominata "ASPyder" 2 Attack Time > Command & Control Attack Time > Exfiltration & Maintenance Attack Time > Core Operations Capito che il caricamento dei file era possibile SOLAMENTE dall’amministratore del sito e che il pulsante di upload veniva messo a disposizione solamente se autenticati con le credenziali amministrative, l’analisi si è concentrata sulla pagina di login del sito web, che potrebbe aver subito un bruteforce o un authentication bypass L’investigazione dell’incidente parte dal path dove era stata caricata la WebShell. Nello stesso path, durante il periodo di osservazione, avevamo notato, oltre al file .asp della WebShell, altri.pdf coerenti col sito 3 4
23 - Confidential @Lutech_TMS / @Lutechspa ANALISI e RISPOSTA  ANALISI secondo la KILL CHAIN > ATTACK TIME  
24 - Confidential @Lutech_TMS / @Lutechspa ANALISI e RISPOSTA ANALISI secondo la KILL CHAIN > ATTACK TIME Incrociando i log del webserver nell’intorno dell'evento di rilevamento della WebShell e filtrandoli rispetto al path della pagina di login, è possibile notare che la pagina viene contattata da alcuni indirizzi IP appartenenti alla rete TOR, tuttavia, la quantità di richieste, non è compatibile con un attività di bruteforce. Le indagini si sono concentrate quindi sulla seconda possibilità, l’authentication bypass, e dopo aver eseguito alcuni test sui campi username e password siamo riusciti a trovare una SQLInjection che bypassa il form di login dando così la possibilità di uploadare file sul sito web 5 Il server web ospitante il sito www.portaletaldeitali.it … 1 restituisce la pagina di login della WebShell denominata "ASPyder" 2 Attack Time > Command & Control Attack Time > Exfiltration & Maintenance Attack Time > Core Operations Exploitation Capito che il caricamento dei file era possibile SOLAMENTE dall’amministratore del sito e che il pulsante di upload veniva messo a disposizione solamente se autenticati con le credenziali amministrative, l’analisi si è concentrata sulla pagina di login del sito web, che potrebbe aver subito un bruteforce o un authentication bypass L’investigazione dell’incidente parte dal path dove era stata caricata la WebShell. Nello stesso path, durante il periodo di osservazione, avevamo notato, oltre al file .asp della WebShell, altri.pdf coerenti col sito 3 4 Delivery
25 - Confidential @Lutech_TMS / @Lutechspa
26 - Confidential @Lutech_TMS / @Lutechspa   ANALISI e RISPOSTA ANALISI secondo la KILL CHAIN > ATTACK TIME  
27 - Confidential @Lutech_TMS / @Lutechspa ANALISI e RISPOSTA ANALISI secondo la KILL CHAIN Incrociando i log del webserver nell’intorno dell'evento di rilevamento della WebShell e filtrandoli rispetto al path della pagina di login, è possibile notare che la pagina viene contattata da alcuni indirizzi IP appartenenti alla rete TOR, tuttavia, la quantità di richieste, non è compatibile con un attività di bruteforce. Le indagini si sono concentrate quindi sulla seconda possibilità, l’authentication bypass, e dopo aver eseguito alcuni test sui campi username e password siamo riusciti a trovare una SQLInjection che bypassa il form di login dando così la possibilità di uploadare file sul sito web 5 Il server web ospitante il sito www.portaletaldeitali.it … 1 restituisce la pagina di login della WebShell denominata "ASPyder" 2 Attack Time > Command & Control Attack Time > Exfiltration & Maintenance Attack Time > Core Operations Delivery Exploitation Weaponization Capito che il caricamento dei file era possibile SOLAMENTE dall’amministratore del sito e che il pulsante di upload veniva messo a disposizione solamente se autenticati con le credenziali amministrative, l’analisi si è concentrata sulla pagina di login del sito web, che potrebbe aver subito un bruteforce o un authentication bypass L’investigazione dell’incidente parte dal path dove era stata caricata la WebShell. Nello stesso path, durante il periodo di osservazione, avevamo notato, oltre al file .asp della WebShell, altri.pdf coerenti col sito 3 4 La WebShell "ASPyder" è disponibile su https://github.com/tennc/webshell/blob/master/w eb-malware-collection-13-06- 2012/ASP/aspydrv.asp 6
28 - Confidential @Lutech_TMS / @Lutechspa
29 - Confidential @Lutech_TMS / @Lutechspa ANALISI e RISPOSTA ANALISI secondo la KILL CHAIN Nei log si rileva un alto numero di richieste HTTP GET e POST provenienti da rete TOR. I payload evidenziano che l'Attacker ha utilizzato tool di Vulnerability Scan 7 Incrociando i log del webserver nell’intorno dell'evento di rilevamento della WebShell e filtrandoli rispetto al path della pagina di login, è possibile notare che la pagina viene contattata da alcuni indirizzi IP appartenenti alla rete TOR, tuttavia, la quantità di richieste, non è compatibile con un attività di bruteforce. Le indagini si sono concentrate quindi sulla seconda possibilità, l’authentication bypass, e dopo aver eseguito alcuni test sui campi username e password siamo riusciti a trovare una SQLInjection che bypassa il form di login dando così la possibilità di uploadare file sul sito web 5 Capito che il caricamento dei file era possibile SOLAMENTE dall’amministratore del sito e che il pulsante di upload veniva messo a disposizione solamente se autenticati con le credenziali amministrative, l’analisi si è concentrata sulla pagina di login del sito web, che potrebbe aver subito un bruteforce o un authentication bypass L’investigazione dell’incidente parte dal path dove era stata caricata la WebShell. Nello stesso path, durante il periodo di osservazione, avevamo notato, oltre al file .asp della WebShell, altri.pdf coerenti col sito 3 Il server web ospitante il sito www.portaletaldeitali.it … 1 restituisce la pagina di login della WebShell denominata "ASPyder" 2 Attack Time > Command & Control Attack Time > Exfiltration & Maintenance Attack Time > Core Operations 4 Delivery Exploitation La WebShell "ASPyder" è disponibile su https://github.com/tennc/webshell/blob/master/w eb-malware-collection-13-06- 2012/ASP/aspydrv.asp 6 Weaponization Reconnaissance
30 - Confidential @Lutech_TMS / @Lutechspa
31 - Confidential @Lutech_TMS / @Lutechspa Rilevamento vulnerability scan On going Exploitation via SQLInjection con uploda di ASP webshell Esposizione della login page della Webshell sul server 5.55 AM 6.00 AM 6.03 AM 6.17 AM Rilevamento di SQLInjection via TOR per bypassare l'admin login sul server e ottenere diritti di amministratore  Azioni di Reconnaissance  Più di 1000 allarmi al giorno di vulnerability scan  Più di 500 tentativi di attacco per giorno fino alla fase di delivery della kill chain  Traffico TOR in ingresso permesso per policyV  Validazione dell'input e dei caricamenti assente, no WAF, stato di patching non adeguato e non noto  Difficile determinare i tentativi di exploitation di vulnerabilità SQL andati a buon fine Shields Up!  Indicatori di compromissione  Individuazione del target  Osservazione & Kick-back  Analisi della minaccia & Incident Response ANALISI e RISPOSTA QUADRO di SINTESI
32 - Confidential @Lutech_TMS / @Lutechspa With the understanding of root cause you can then apply policies in your security stack or identify gaps. Its starts a positive feedback loop where you eliminate the mundane events and dive into deeper more complex security threats - GCIH Advisory Board ˵ ˶ ANALISI e RISPOSTA LESSON LEARNED
f.faenzi@lutech.it @francescofaenzi GRAZIE! @Lutechspa @Lutech_TMS www.lutech.it wwww.lutech.co.uk solutioncenter.lutech.it info@lutech.it Via Milano 150, 20093 Cologno Monzese [MI] +39 02 25427011 Phone +39 02 25427090 Fax HEADQUARTER TECHNICAL DEPARTMENT Via W.A. Mozart, 47 20093 Cologno Monzese [MI] ROME OFFICE Other OFFICES in Italy Milano, Modena, Firenze, Roma, Pomezia, Napoli, Bari, Catania Via A. Mantegna, 4 | P arco Leonardo 00054 Fiumicino [RM] +39 06 227501 Phone +39 06 22771542 Fax Nucleus Innovation Centre Brunel Way, Dartford, Kent DA1 5GA United Kingdom +44 208 181 4321 Phone LUTECH UK

Recommended

Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)
Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)
Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)
Data Driven Innovation
 
Automotive Security
Automotive SecurityAutomotive Security
Automotive Security
raffaele_forte
 
CloudWALL ISA | Internet Security Audit
CloudWALL ISA | Internet Security AuditCloudWALL ISA | Internet Security Audit
CloudWALL ISA | Internet Security Audit
CloudWALL Italia
 
Misure minime di sicurezza ICT
Misure minime di sicurezza ICTMisure minime di sicurezza ICT
Misure minime di sicurezza ICT
Mirko Labbri
 
SMobile Network Security: quanto sono sicure le reti cellulari?
SMobile Network Security: quanto sono sicure le reti cellulari?SMobile Network Security: quanto sono sicure le reti cellulari?
SMobile Network Security: quanto sono sicure le reti cellulari?SMAU
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Consulthinkspa
 
Android Security - Key Management at GDG DevFest Rome 2013
Android Security - Key Management at GDG DevFest Rome 2013 Android Security - Key Management at GDG DevFest Rome 2013
Android Security - Key Management at GDG DevFest Rome 2013
Consulthinkspa
 
Come proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informaticiCome proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informatici
Emerasoft, solutions to collaborate
 

Recommended

Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)
Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)
Industrial Security e la “Defense in Depth" (Gabriele Mancuso, Siemens)
Data Driven Innovation
 
Automotive Security
Automotive SecurityAutomotive Security
Automotive Security
raffaele_forte
 
CloudWALL ISA | Internet Security Audit
CloudWALL ISA | Internet Security AuditCloudWALL ISA | Internet Security Audit
CloudWALL ISA | Internet Security Audit
CloudWALL Italia
 
Misure minime di sicurezza ICT
Misure minime di sicurezza ICTMisure minime di sicurezza ICT
Misure minime di sicurezza ICT
Mirko Labbri
 
SMobile Network Security: quanto sono sicure le reti cellulari?
SMobile Network Security: quanto sono sicure le reti cellulari?SMobile Network Security: quanto sono sicure le reti cellulari?
SMobile Network Security: quanto sono sicure le reti cellulari?SMAU
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Consulthinkspa
 
Android Security - Key Management at GDG DevFest Rome 2013
Android Security - Key Management at GDG DevFest Rome 2013 Android Security - Key Management at GDG DevFest Rome 2013
Android Security - Key Management at GDG DevFest Rome 2013
Consulthinkspa
 
Come proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informaticiCome proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informatici
Emerasoft, solutions to collaborate
 
Sicurezza e resilienza di Architetture a Containers
Sicurezza e resilienza di Architetture a ContainersSicurezza e resilienza di Architetture a Containers
Sicurezza e resilienza di Architetture a Containers
Gianluca Magalotti
 
ANALISI E CONFIGURAZIONE DI WEB APPLICATION FIREWALL PER SERVIZI AZIENDALI - ...
ANALISI E CONFIGURAZIONE DI WEB APPLICATION FIREWALL PER SERVIZI AZIENDALI - ...ANALISI E CONFIGURAZIONE DI WEB APPLICATION FIREWALL PER SERVIZI AZIENDALI - ...
ANALISI E CONFIGURAZIONE DI WEB APPLICATION FIREWALL PER SERVIZI AZIENDALI - ...
FedericoPellizzaro
 
Dedagroup Security
Dedagroup SecurityDedagroup Security
Dedagroup Security
Dedagroup
 
Liferay SSL/TLS Security. Come configurare il bundle Liferay per abilitare il...
Liferay SSL/TLS Security. Come configurare il bundle Liferay per abilitare il...Liferay SSL/TLS Security. Come configurare il bundle Liferay per abilitare il...
Liferay SSL/TLS Security. Come configurare il bundle Liferay per abilitare il...
Antonio Musarra
 
Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015
Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015
Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015
Pawel Zorzan Urban
 
Programma il futuro: una scelta open source
Programma il futuro: una scelta open sourceProgramma il futuro: una scelta open source
Programma il futuro: una scelta open source
Marco Ferrigno
 
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceLinux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Mario Rossano
 
Minaccie Vere Vulnerabilita Evitabili
Minaccie Vere Vulnerabilita EvitabiliMinaccie Vere Vulnerabilita Evitabili
Minaccie Vere Vulnerabilita Evitabili
Sandro Fontana
 
CMS - Analisi Vulnerabilità
CMS - Analisi VulnerabilitàCMS - Analisi Vulnerabilità
CMS - Analisi Vulnerabilità
raffaele_forte
 
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Studio Fiorenzi Security & Forensics
 
Web Application Firewall: proteggersi dal cyber risk
Web Application Firewall: proteggersi dal cyber riskWeb Application Firewall: proteggersi dal cyber risk
Web Application Firewall: proteggersi dal cyber risk
seeweb
 
Programma il futuro : una scelta Open Source
Programma il futuro : una scelta Open SourceProgramma il futuro : una scelta Open Source
Programma il futuro : una scelta Open Source
NaLUG
 
La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013
Massimo Chirivì
 
Smau Bari 2013 Massimo Chirivì
Smau Bari 2013 Massimo ChirivìSmau Bari 2013 Massimo Chirivì
Smau Bari 2013 Massimo ChirivìSMAU
 
OpenID Connect 1.0: verifica formale del protocollo in HLPSL
OpenID Connect 1.0: verifica formale del protocollo in HLPSLOpenID Connect 1.0: verifica formale del protocollo in HLPSL
OpenID Connect 1.0: verifica formale del protocollo in HLPSL
Vincenzo Calabrò
 
Moving from Monolithic to Microservice Architecture: an OSS based stack deplo...
Moving from Monolithic to Microservice Architecture: an OSS based stack deplo...Moving from Monolithic to Microservice Architecture: an OSS based stack deplo...
Moving from Monolithic to Microservice Architecture: an OSS based stack deplo...
Codemotion
 
Owasp parte1-rel1.1
Owasp parte1-rel1.1Owasp parte1-rel1.1
Owasp parte1-rel1.1claudiodigiovanni
 
Come mettere in sicurezza le applicazioni legacy, un approccio pragmatico
Come mettere in sicurezza le applicazioni legacy, un approccio pragmaticoCome mettere in sicurezza le applicazioni legacy, un approccio pragmatico
Come mettere in sicurezza le applicazioni legacy, un approccio pragmatico
Antonio Parata
 
Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Simone Onofri
 
Hackers vs. Developers: Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Hackers vs. Developers: Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013Hackers vs. Developers: Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Hackers vs. Developers: Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Codemotion
 
Industry 4.0 CyberSecurity Assessment.pptx
Industry 4.0 CyberSecurity Assessment.pptxIndustry 4.0 CyberSecurity Assessment.pptx
Industry 4.0 CyberSecurity Assessment.pptx
Francesco Faenzi
 
Advanced Metering Infrastructure Security Test.pptx
Advanced Metering Infrastructure Security Test.pptxAdvanced Metering Infrastructure Security Test.pptx
Advanced Metering Infrastructure Security Test.pptx
Francesco Faenzi
 

More Related Content

Similar to Cyber Attack: stories from the field - Threat analysis: useful methodologies and indicators

Sicurezza e resilienza di Architetture a Containers
Sicurezza e resilienza di Architetture a ContainersSicurezza e resilienza di Architetture a Containers
Sicurezza e resilienza di Architetture a Containers
Gianluca Magalotti
 
ANALISI E CONFIGURAZIONE DI WEB APPLICATION FIREWALL PER SERVIZI AZIENDALI - ...
ANALISI E CONFIGURAZIONE DI WEB APPLICATION FIREWALL PER SERVIZI AZIENDALI - ...ANALISI E CONFIGURAZIONE DI WEB APPLICATION FIREWALL PER SERVIZI AZIENDALI - ...
ANALISI E CONFIGURAZIONE DI WEB APPLICATION FIREWALL PER SERVIZI AZIENDALI - ...
FedericoPellizzaro
 
Dedagroup Security
Dedagroup SecurityDedagroup Security
Dedagroup Security
Dedagroup
 
Liferay SSL/TLS Security. Come configurare il bundle Liferay per abilitare il...
Liferay SSL/TLS Security. Come configurare il bundle Liferay per abilitare il...Liferay SSL/TLS Security. Come configurare il bundle Liferay per abilitare il...
Liferay SSL/TLS Security. Come configurare il bundle Liferay per abilitare il...
Antonio Musarra
 
Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015
Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015
Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015
Pawel Zorzan Urban
 
Programma il futuro: una scelta open source
Programma il futuro: una scelta open sourceProgramma il futuro: una scelta open source
Programma il futuro: una scelta open source
Marco Ferrigno
 
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceLinux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Mario Rossano
 
Minaccie Vere Vulnerabilita Evitabili
Minaccie Vere Vulnerabilita EvitabiliMinaccie Vere Vulnerabilita Evitabili
Minaccie Vere Vulnerabilita Evitabili
Sandro Fontana
 
CMS - Analisi Vulnerabilità
CMS - Analisi VulnerabilitàCMS - Analisi Vulnerabilità
CMS - Analisi Vulnerabilità
raffaele_forte
 
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Studio Fiorenzi Security & Forensics
 
Web Application Firewall: proteggersi dal cyber risk
Web Application Firewall: proteggersi dal cyber riskWeb Application Firewall: proteggersi dal cyber risk
Web Application Firewall: proteggersi dal cyber risk
seeweb
 
Programma il futuro : una scelta Open Source
Programma il futuro : una scelta Open SourceProgramma il futuro : una scelta Open Source
Programma il futuro : una scelta Open Source
NaLUG
 
La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013
Massimo Chirivì
 
Smau Bari 2013 Massimo Chirivì
Smau Bari 2013 Massimo ChirivìSmau Bari 2013 Massimo Chirivì
Smau Bari 2013 Massimo ChirivìSMAU
 
OpenID Connect 1.0: verifica formale del protocollo in HLPSL
OpenID Connect 1.0: verifica formale del protocollo in HLPSLOpenID Connect 1.0: verifica formale del protocollo in HLPSL
OpenID Connect 1.0: verifica formale del protocollo in HLPSL
Vincenzo Calabrò
 
Moving from Monolithic to Microservice Architecture: an OSS based stack deplo...
Moving from Monolithic to Microservice Architecture: an OSS based stack deplo...Moving from Monolithic to Microservice Architecture: an OSS based stack deplo...
Moving from Monolithic to Microservice Architecture: an OSS based stack deplo...
Codemotion
 
Come mettere in sicurezza le applicazioni legacy, un approccio pragmatico
Come mettere in sicurezza le applicazioni legacy, un approccio pragmaticoCome mettere in sicurezza le applicazioni legacy, un approccio pragmatico
Come mettere in sicurezza le applicazioni legacy, un approccio pragmatico
Antonio Parata
 
Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Simone Onofri
 
Hackers vs. Developers: Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Hackers vs. Developers: Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013Hackers vs. Developers: Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Hackers vs. Developers: Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Codemotion
 

Similar to Cyber Attack: stories from the field - Threat analysis: useful methodologies and indicators (20)

Sicurezza e resilienza di Architetture a Containers
Sicurezza e resilienza di Architetture a ContainersSicurezza e resilienza di Architetture a Containers
Sicurezza e resilienza di Architetture a Containers
 
ANALISI E CONFIGURAZIONE DI WEB APPLICATION FIREWALL PER SERVIZI AZIENDALI - ...
ANALISI E CONFIGURAZIONE DI WEB APPLICATION FIREWALL PER SERVIZI AZIENDALI - ...ANALISI E CONFIGURAZIONE DI WEB APPLICATION FIREWALL PER SERVIZI AZIENDALI - ...
ANALISI E CONFIGURAZIONE DI WEB APPLICATION FIREWALL PER SERVIZI AZIENDALI - ...
 
Dedagroup Security
Dedagroup SecurityDedagroup Security
Dedagroup Security
 
Liferay SSL/TLS Security. Come configurare il bundle Liferay per abilitare il...
Liferay SSL/TLS Security. Come configurare il bundle Liferay per abilitare il...Liferay SSL/TLS Security. Come configurare il bundle Liferay per abilitare il...
Liferay SSL/TLS Security. Come configurare il bundle Liferay per abilitare il...
 
Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015
Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015
Sicurezza Informatica e Hacking - Università di Teramo 23/10/2015
 
Programma il futuro: una scelta open source
Programma il futuro: una scelta open sourceProgramma il futuro: una scelta open source
Programma il futuro: una scelta open source
 
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceLinux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
 
Minaccie Vere Vulnerabilita Evitabili
Minaccie Vere Vulnerabilita EvitabiliMinaccie Vere Vulnerabilita Evitabili
Minaccie Vere Vulnerabilita Evitabili
 
CMS - Analisi Vulnerabilità
CMS - Analisi VulnerabilitàCMS - Analisi Vulnerabilità
CMS - Analisi Vulnerabilità
 
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
 
Web Application Firewall: proteggersi dal cyber risk
Web Application Firewall: proteggersi dal cyber riskWeb Application Firewall: proteggersi dal cyber risk
Web Application Firewall: proteggersi dal cyber risk
 
Programma il futuro : una scelta Open Source
Programma il futuro : una scelta Open SourceProgramma il futuro : una scelta Open Source
Programma il futuro : una scelta Open Source
 
La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013La sicurezza delle Web Application - SMAU Business Bari 2013
La sicurezza delle Web Application - SMAU Business Bari 2013
 
Smau Bari 2013 Massimo Chirivì
Smau Bari 2013 Massimo ChirivìSmau Bari 2013 Massimo Chirivì
Smau Bari 2013 Massimo Chirivì
 
OpenID Connect 1.0: verifica formale del protocollo in HLPSL
OpenID Connect 1.0: verifica formale del protocollo in HLPSLOpenID Connect 1.0: verifica formale del protocollo in HLPSL
OpenID Connect 1.0: verifica formale del protocollo in HLPSL
 
Moving from Monolithic to Microservice Architecture: an OSS based stack deplo...
Moving from Monolithic to Microservice Architecture: an OSS based stack deplo...Moving from Monolithic to Microservice Architecture: an OSS based stack deplo...
Moving from Monolithic to Microservice Architecture: an OSS based stack deplo...
 
Owasp parte1-rel1.1
Owasp parte1-rel1.1Owasp parte1-rel1.1
Owasp parte1-rel1.1
 
Come mettere in sicurezza le applicazioni legacy, un approccio pragmatico
Come mettere in sicurezza le applicazioni legacy, un approccio pragmaticoCome mettere in sicurezza le applicazioni legacy, un approccio pragmatico
Come mettere in sicurezza le applicazioni legacy, un approccio pragmatico
 
Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Hackers vs Developers - Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
 
Hackers vs. Developers: Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Hackers vs. Developers: Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013Hackers vs. Developers: Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
Hackers vs. Developers: Nuove e vecchie vulnerabilità con la OWASP TOP 10 2013
 

More from Francesco Faenzi

Industry 4.0 CyberSecurity Assessment.pptx
Industry 4.0 CyberSecurity Assessment.pptxIndustry 4.0 CyberSecurity Assessment.pptx
Industry 4.0 CyberSecurity Assessment.pptx
Francesco Faenzi
 
Advanced Metering Infrastructure Security Test.pptx
Advanced Metering Infrastructure Security Test.pptxAdvanced Metering Infrastructure Security Test.pptx
Advanced Metering Infrastructure Security Test.pptx
Francesco Faenzi
 
Customer digital identity and consent management
Customer digital identity and consent managementCustomer digital identity and consent management
Customer digital identity and consent management
Francesco Faenzi
 
Identità digitale e identità in real-life: rischi e rimedi
Identità digitale e identità in real-life: rischi e rimediIdentità digitale e identità in real-life: rischi e rimedi
Identità digitale e identità in real-life: rischi e rimedi
Francesco Faenzi
 
Telegram chatbot - considerazioni di sicurezza
Telegram chatbot - considerazioni di sicurezzaTelegram chatbot - considerazioni di sicurezza
Telegram chatbot - considerazioni di sicurezza
Francesco Faenzi
 
Cyber Threat Intelligence - La rilevanza del dato per il business
Cyber Threat Intelligence - La rilevanza del dato per il businessCyber Threat Intelligence - La rilevanza del dato per il business
Cyber Threat Intelligence - La rilevanza del dato per il business
Francesco Faenzi
 
Cybercrime underground: Vendita ed evoluzione del carding
Cybercrime underground: Vendita ed evoluzione del cardingCybercrime underground: Vendita ed evoluzione del carding
Cybercrime underground: Vendita ed evoluzione del carding
Francesco Faenzi
 
UPDATED - Analysis of exposed ICS / SCADA and IoT systems in Europe
UPDATED - Analysis of exposed ICS / SCADA and IoT systems in EuropeUPDATED - Analysis of exposed ICS / SCADA and IoT systems in Europe
UPDATED - Analysis of exposed ICS / SCADA and IoT systems in Europe
Francesco Faenzi
 
Analisi del fenomeno carding nei blackmarket
Analisi del fenomeno carding nei blackmarketAnalisi del fenomeno carding nei blackmarket
Analisi del fenomeno carding nei blackmarket
Francesco Faenzi
 
Advanced Persistent Threat in ICS/SCADA/IOT world: a case study
Advanced Persistent Threat in ICS/SCADA/IOT world: a case studyAdvanced Persistent Threat in ICS/SCADA/IOT world: a case study
Advanced Persistent Threat in ICS/SCADA/IOT world: a case study
Francesco Faenzi
 
Analysis of exposed ICS//SCADA/IoT systems in Europe
Analysis of exposed ICS//SCADA/IoT systems in EuropeAnalysis of exposed ICS//SCADA/IoT systems in Europe
Analysis of exposed ICS//SCADA/IoT systems in Europe
Francesco Faenzi
 
SCADA Cybersecurity: Sessione live di Attacco e Difesa by Lutech & Phoenix Co...
SCADA Cybersecurity: Sessione live di Attacco e Difesa by Lutech & Phoenix Co...SCADA Cybersecurity: Sessione live di Attacco e Difesa by Lutech & Phoenix Co...
SCADA Cybersecurity: Sessione live di Attacco e Difesa by Lutech & Phoenix Co...
Francesco Faenzi
 

More from Francesco Faenzi (12)

Industry 4.0 CyberSecurity Assessment.pptx
Industry 4.0 CyberSecurity Assessment.pptxIndustry 4.0 CyberSecurity Assessment.pptx
Industry 4.0 CyberSecurity Assessment.pptx
 
Advanced Metering Infrastructure Security Test.pptx
Advanced Metering Infrastructure Security Test.pptxAdvanced Metering Infrastructure Security Test.pptx
Advanced Metering Infrastructure Security Test.pptx
 
Customer digital identity and consent management
Customer digital identity and consent managementCustomer digital identity and consent management
Customer digital identity and consent management
 
Identità digitale e identità in real-life: rischi e rimedi
Identità digitale e identità in real-life: rischi e rimediIdentità digitale e identità in real-life: rischi e rimedi
Identità digitale e identità in real-life: rischi e rimedi
 
Telegram chatbot - considerazioni di sicurezza
Telegram chatbot - considerazioni di sicurezzaTelegram chatbot - considerazioni di sicurezza
Telegram chatbot - considerazioni di sicurezza
 
Cyber Threat Intelligence - La rilevanza del dato per il business
Cyber Threat Intelligence - La rilevanza del dato per il businessCyber Threat Intelligence - La rilevanza del dato per il business
Cyber Threat Intelligence - La rilevanza del dato per il business
 
Cybercrime underground: Vendita ed evoluzione del carding
Cybercrime underground: Vendita ed evoluzione del cardingCybercrime underground: Vendita ed evoluzione del carding
Cybercrime underground: Vendita ed evoluzione del carding
 
UPDATED - Analysis of exposed ICS / SCADA and IoT systems in Europe
UPDATED - Analysis of exposed ICS / SCADA and IoT systems in EuropeUPDATED - Analysis of exposed ICS / SCADA and IoT systems in Europe
UPDATED - Analysis of exposed ICS / SCADA and IoT systems in Europe
 
Analisi del fenomeno carding nei blackmarket
Analisi del fenomeno carding nei blackmarketAnalisi del fenomeno carding nei blackmarket
Analisi del fenomeno carding nei blackmarket
 
Advanced Persistent Threat in ICS/SCADA/IOT world: a case study
Advanced Persistent Threat in ICS/SCADA/IOT world: a case studyAdvanced Persistent Threat in ICS/SCADA/IOT world: a case study
Advanced Persistent Threat in ICS/SCADA/IOT world: a case study
 
Analysis of exposed ICS//SCADA/IoT systems in Europe
Analysis of exposed ICS//SCADA/IoT systems in EuropeAnalysis of exposed ICS//SCADA/IoT systems in Europe
Analysis of exposed ICS//SCADA/IoT systems in Europe
 
SCADA Cybersecurity: Sessione live di Attacco e Difesa by Lutech & Phoenix Co...
SCADA Cybersecurity: Sessione live di Attacco e Difesa by Lutech & Phoenix Co...SCADA Cybersecurity: Sessione live di Attacco e Difesa by Lutech & Phoenix Co...
SCADA Cybersecurity: Sessione live di Attacco e Difesa by Lutech & Phoenix Co...
 

Cyber Attack: stories from the field - Threat analysis: useful methodologies and indicators

  • 1. ©Copyright 2016 Lutech Spawww.lutech.it ANALISI DELLA MINACCIA: METODOLOGIE E INDICATORI UTILI > ROMA, 15 GIUGNO 2016 ICT consulting, solutions and services
  • 2. 2 - Confidential @Lutech_TMS / @Lutechspa Questo documento è classificato Lutech Confidential. Non può essere rilasciato a terze parti senza la preventiva autorizzazione di Lutech S.p.A. - Cybersecurity Business Platform e del Lutech Digital Communication Office. I partecipanti all'evento hanno diritto di mantenerne una copia personale. Ogni altro utilizzo è proibito, senza la preventiva autorizzazione di Lutech S.p.A. - Cybersecurity Business Platform e del Lutech Digital Communication Office. 2016 Lutech S.p.A. Riservatezza
  • 3. 3 - Confidential @Lutech_TMS / @Lutechspa AGENDA LUTECH, PARTNER per la CYBERSECURITY SHIELDS UP! ANALISI e RISPOSTA con NOTE METODOLOGICHE e INDICATORI UTILI INTRODUZIONE e CONTESTO
  • 4. 4 - Confidential @Lutech_TMS / @Lutechspa LUTECH, PARTNER per la CYBERSECURITY Vision d'avanguardia Continua cyber threat research Approccio risk-based Innovazione tecnologica con investimento R&D in piattaforme e servizi di Threat Management Erogazione dei Lutech Threat Management Services dal nostro Cybersecurity Command & Control Center (LC4). Lutech si fregia del CERT trademark del CMU-SEI. L-TMS-CERT is the computer security incident response team (CSIRT) for Lutech 15 anni di expertise in Cybersecurity da temi di innovazione e strategia a quelli di ingegneria ed opeations 2mln € REVENUE > 30 PROFESSIONALS 140 CASE STUDIES
  • 5. 5 - Confidential @Lutech_TMS / @Lutechspa INTRODUZIONE Weaponization Reconnaissance Delivery Exploitation Attack Time > Command & Control Attack Time > Exfiltration & Maintenance KILL CHAIN Attack Time > Core Operations  Persistance  Defense Evasion  Privilege Escalation  Credential Access  Host Enumaration  Lateral Movement  Execution
  • 6. 6 - Confidential @Lutech_TMS / @Lutechspa CONTESTO Oltre 1000 vulnerability scan al giorno Oltre 500 tentativi di attacco al giorno Traffico TOR in ingresso è ok per policy Vulnerability Management difficoltoso Attività di Reconnaissance Assenza di IPS e NGFW, assenza di Web Application Firewall, il cui deployment e tuning sarebbe decisamente arduo rispetto alla compatibilità applicativa Contromisure Decine di servizi enduser esposti necessariamente per esigenze di business Superficie di Attacco Massima esposizione dalla natura intrinseca del tipo di business, quindi dei dati trattati e dei relativi volumi Esposizione Ampia presenza di applicazioni legacy esposte, scritte con controllo input quasi nullo e controllo dei caricamenti di allegati non implementati Stato delle Applicazioni Rilevare attacchi applicativi che violano l'input in modo assolutamente preciso, considerato che può bastare la violazione di un parametro su varie decine, è complesso Difficoltà del Rilevamento
  • 7. 7 - Confidential @Lutech_TMS / @Lutechspa SHIELDS UP! Rilevamento vulnerability scan On going Exploitation via SQLInjection con uploda di ASP webshell Esposizione della login page della Webshell sul server Shields Up! 5.55 AM 6.00 AM 6.03 AM 6.17 AM Rilevamento di SQLInjection via TOR per bypassare l'admin login sul server e ottenere diritti di amministratore  Azioni di Reconnaissance  Più di 1000 allarmi al giorno di vulnerability scan  Indicatori di compromissione  Individuazione del target  Osservazione & Kick-back  Analisi della minaccia & Incident Response  Più di 500 tentativi di attacco per giorno fino alla fase di delivery della kill chain  Traffico TOR in ingresso permesso per policyV  Validazione dell'input e dei caricamenti assente, no WAF, stato di patching non adeguato e non noto  Difficile determinare i tentativi di exploitation di vulnerabilità SQL andati a buon fine
  • 8. 8 - Confidential @Lutech_TMS / @Lutechspa SHIELDS UP! Exploitation via SQLInjection con uploda di ASP webshell Esposizione della login page della Webshell sul server Shields Up! 5.55 AM 6.00 AM 6.03 AM 6.17 AM Rilevamento di SQLInjection via TOR per bypassare l'admin login sul server e ottenere diritti di amministratore  Azioni di Reconnaissance  Più di 1000 allarmi al giorno di vulnerability scan  Indicatori di compromissione  Individuazione del target  Osservazione & Kick-back  Analisi della minaccia & Incident Response  Più di 500 tentativi di attacco per giorno fino alla fase di delivery della kill chain  Traffico TOR in ingresso permesso per policyV  Validazione dell'input e dei caricamenti assente, no WAF, stato di patching non adeguato e non noto  Difficile determinare i tentativi di exploitation di vulnerabilità SQL andati a buon fine Rilevamento vulnerability scan On going
  • 9. 9 - Confidential @Lutech_TMS / @Lutechspa SHIELDS UP! Un server web espone la login page della WebShell ASPyper che permette di tornare e fruire dei servizi di shell Attacker Operations Utilizzo dell'interfaccia di comando di ASPyder con utilizzo del File Browser che permette di navigare nelle directory del server Analysis & Response Analisi della minaccia per garantire la pulizia del server attaccato Individuazione del Target Il server viene immediatamente individuato a partire dalle informazioni nell'evento Osservazione & Kick-back L'Attacker viene monitorato per raccogliere ulteriori tracce e viene bloccata ogni comunicazione originata dalla WebShell Indicator of Compromise
  • 10. 10 - Confidential @Lutech_TMS / @Lutechspa ANALISI e RISPOSTA Simply identifying that an IPS blocked the traffic doesn’t tell you why the bad traffic was generated. Was it an email attachment? Compromised website redirect? - GCIH Advisory Board ˵ ˶
  • 11. 11 - Confidential @Lutech_TMS / @Lutechspa ANALISI e RISPOSTA Mapping the attack through the kill chain […] forces the analyst to understand the threat. Getting the answer of where in the kill chain did the IPS block this attack tells you if there was a failure elsewhere in your security stack. - GCIH Advisory Board ˵ ˶
  • 12. 12 - Confidential @Lutech_TMS / @Lutechspa ANALISI e RISPOSTA Weaponization Reconnaissance Exploitation ANALISI secondo la KILL CHAIN Attack Time > Command & Control Attack Time > Exfiltration & Maintenance  Persistance  Defense Evasion  Privilege Escalation  Credential Access  Host Enumaration  Lateral Movement  Execution Attack Time > Core Operations Delivery
  • 13. 13 - Confidential @Lutech_TMS / @Lutechspa ANALISI e RISPOSTA ANALISI secondo la KILL CHAIN > ATTACK TIME Attack Time > Command & Control Attack Time > Exfiltration & Maintenance  Persistance  Defense Evasion  Privilege Escalation  Credential Access  Host Enumaration  Lateral Movement  Execution Attack Time > Core Operations
  • 14. 14 - Confidential @Lutech_TMS / @Lutechspa Le 9 categorie di tattiche di ATT&CK sono derivate dalle fasi finali dei 7 passaggi del Cyber Attack Lifecycle, descritto per la prima volta da Lockheed Martin come Cyber Kill Chain® ATT&CK si focalizza sui TTP che gli Attacker usano per prendere decisioni, estendere il proprio accesso e raggiungere i propri obiettivi e descrive i passi di un Attacker ad un livello sufficiente alto ma con dettagli tecnicamente utili Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK™) è un modello per descrivere azioni di un Attacker operante all'interno della rete. Permette di caratterizzare e descrivere in dettaglio i comportamenti post-accesso Permette di estendere il know-how dei Defender e di assistere nella prioritizzazione delle attività di difesa dettagliando le TTP post- exploit e installazione degli strumenti attacco ANALISI e RISPOSTA ANALISI secondo la KILL CHAIN > ATTACK TIME CASI D'USO MITRE ATT&CK™ e LOCKHEED MARTIN CYBER KILL CHAIN® FOCUSDESCRIZIONE
  • 15. 15 - Confidential @Lutech_TMS / @Lutechspa ANALISI e RISPOSTA ANALISI secondo la KILL CHAIN > ATTACK TIME
  • 16. 16 - Confidential @Lutech_TMS / @Lutechspa ANALISI e RISPOSTA ANALISI secondo la KILL CHAIN > ATTACK TIME
  • 17. 17 - Confidential @Lutech_TMS / @Lutechspa ANALISI e RISPOSTA Il server web ospitante il sito www.portaletaldeitali.it … 1 ANALISI secondo la KILL CHAIN > ATTACK TIME restituisce la pagina di login della WebShell denominata "ASPyder" 2 Attack Time > Command & Control Attack Time > Exfiltration & Maintenance
  • 18. 18 - Confidential @Lutech_TMS / @Lutechspa
  • 19. 19 - Confidential @Lutech_TMS / @Lutechspa ANALISI e RISPOSTA ANALISI secondo la KILL CHAIN > ATTACK TIME  
  • 20. 20 - Confidential @Lutech_TMS / @Lutechspa ANALISI e RISPOSTA ANALISI secondo la KILL CHAIN > ATTACK TIME Il server web ospitante il sito www.portaletaldeitali.it … 1 restituisce la pagina di login della WebShell denominata "ASPyder" 2 Attack Time > Command & Control Attack Time > Exfiltration & Maintenance Attack Time > Core Operations L’investigazione dell’incidente parte dal path dove era stata caricata la WebShell. Nello stesso path, durante il periodo di osservazione, avevamo notato, oltre al file .asp della WebShell, altri.pdf coerenti col sito 3
  • 21. 21 - Confidential @Lutech_TMS / @Lutechspa
  • 22. 22 - Confidential @Lutech_TMS / @Lutechspa ANALISI e RISPOSTA ANALISI secondo la KILL CHAIN > ATTACK TIME Il server web ospitante il sito www.portaletaldeitali.it … 1 restituisce la pagina di login della WebShell denominata "ASPyder" 2 Attack Time > Command & Control Attack Time > Exfiltration & Maintenance Attack Time > Core Operations Capito che il caricamento dei file era possibile SOLAMENTE dall’amministratore del sito e che il pulsante di upload veniva messo a disposizione solamente se autenticati con le credenziali amministrative, l’analisi si è concentrata sulla pagina di login del sito web, che potrebbe aver subito un bruteforce o un authentication bypass L’investigazione dell’incidente parte dal path dove era stata caricata la WebShell. Nello stesso path, durante il periodo di osservazione, avevamo notato, oltre al file .asp della WebShell, altri.pdf coerenti col sito 3 4
  • 23. 23 - Confidential @Lutech_TMS / @Lutechspa ANALISI e RISPOSTA  ANALISI secondo la KILL CHAIN > ATTACK TIME  
  • 24. 24 - Confidential @Lutech_TMS / @Lutechspa ANALISI e RISPOSTA ANALISI secondo la KILL CHAIN > ATTACK TIME Incrociando i log del webserver nell’intorno dell'evento di rilevamento della WebShell e filtrandoli rispetto al path della pagina di login, è possibile notare che la pagina viene contattata da alcuni indirizzi IP appartenenti alla rete TOR, tuttavia, la quantità di richieste, non è compatibile con un attività di bruteforce. Le indagini si sono concentrate quindi sulla seconda possibilità, l’authentication bypass, e dopo aver eseguito alcuni test sui campi username e password siamo riusciti a trovare una SQLInjection che bypassa il form di login dando così la possibilità di uploadare file sul sito web 5 Il server web ospitante il sito www.portaletaldeitali.it … 1 restituisce la pagina di login della WebShell denominata "ASPyder" 2 Attack Time > Command & Control Attack Time > Exfiltration & Maintenance Attack Time > Core Operations Exploitation Capito che il caricamento dei file era possibile SOLAMENTE dall’amministratore del sito e che il pulsante di upload veniva messo a disposizione solamente se autenticati con le credenziali amministrative, l’analisi si è concentrata sulla pagina di login del sito web, che potrebbe aver subito un bruteforce o un authentication bypass L’investigazione dell’incidente parte dal path dove era stata caricata la WebShell. Nello stesso path, durante il periodo di osservazione, avevamo notato, oltre al file .asp della WebShell, altri.pdf coerenti col sito 3 4 Delivery
  • 25. 25 - Confidential @Lutech_TMS / @Lutechspa
  • 26. 26 - Confidential @Lutech_TMS / @Lutechspa   ANALISI e RISPOSTA ANALISI secondo la KILL CHAIN > ATTACK TIME  
  • 27. 27 - Confidential @Lutech_TMS / @Lutechspa ANALISI e RISPOSTA ANALISI secondo la KILL CHAIN Incrociando i log del webserver nell’intorno dell'evento di rilevamento della WebShell e filtrandoli rispetto al path della pagina di login, è possibile notare che la pagina viene contattata da alcuni indirizzi IP appartenenti alla rete TOR, tuttavia, la quantità di richieste, non è compatibile con un attività di bruteforce. Le indagini si sono concentrate quindi sulla seconda possibilità, l’authentication bypass, e dopo aver eseguito alcuni test sui campi username e password siamo riusciti a trovare una SQLInjection che bypassa il form di login dando così la possibilità di uploadare file sul sito web 5 Il server web ospitante il sito www.portaletaldeitali.it … 1 restituisce la pagina di login della WebShell denominata "ASPyder" 2 Attack Time > Command & Control Attack Time > Exfiltration & Maintenance Attack Time > Core Operations Delivery Exploitation Weaponization Capito che il caricamento dei file era possibile SOLAMENTE dall’amministratore del sito e che il pulsante di upload veniva messo a disposizione solamente se autenticati con le credenziali amministrative, l’analisi si è concentrata sulla pagina di login del sito web, che potrebbe aver subito un bruteforce o un authentication bypass L’investigazione dell’incidente parte dal path dove era stata caricata la WebShell. Nello stesso path, durante il periodo di osservazione, avevamo notato, oltre al file .asp della WebShell, altri.pdf coerenti col sito 3 4 La WebShell "ASPyder" è disponibile su https://github.com/tennc/webshell/blob/master/w eb-malware-collection-13-06- 2012/ASP/aspydrv.asp 6
  • 28. 28 - Confidential @Lutech_TMS / @Lutechspa
  • 29. 29 - Confidential @Lutech_TMS / @Lutechspa ANALISI e RISPOSTA ANALISI secondo la KILL CHAIN Nei log si rileva un alto numero di richieste HTTP GET e POST provenienti da rete TOR. I payload evidenziano che l'Attacker ha utilizzato tool di Vulnerability Scan 7 Incrociando i log del webserver nell’intorno dell'evento di rilevamento della WebShell e filtrandoli rispetto al path della pagina di login, è possibile notare che la pagina viene contattata da alcuni indirizzi IP appartenenti alla rete TOR, tuttavia, la quantità di richieste, non è compatibile con un attività di bruteforce. Le indagini si sono concentrate quindi sulla seconda possibilità, l’authentication bypass, e dopo aver eseguito alcuni test sui campi username e password siamo riusciti a trovare una SQLInjection che bypassa il form di login dando così la possibilità di uploadare file sul sito web 5 Capito che il caricamento dei file era possibile SOLAMENTE dall’amministratore del sito e che il pulsante di upload veniva messo a disposizione solamente se autenticati con le credenziali amministrative, l’analisi si è concentrata sulla pagina di login del sito web, che potrebbe aver subito un bruteforce o un authentication bypass L’investigazione dell’incidente parte dal path dove era stata caricata la WebShell. Nello stesso path, durante il periodo di osservazione, avevamo notato, oltre al file .asp della WebShell, altri.pdf coerenti col sito 3 Il server web ospitante il sito www.portaletaldeitali.it … 1 restituisce la pagina di login della WebShell denominata "ASPyder" 2 Attack Time > Command & Control Attack Time > Exfiltration & Maintenance Attack Time > Core Operations 4 Delivery Exploitation La WebShell "ASPyder" è disponibile su https://github.com/tennc/webshell/blob/master/w eb-malware-collection-13-06- 2012/ASP/aspydrv.asp 6 Weaponization Reconnaissance
  • 30. 30 - Confidential @Lutech_TMS / @Lutechspa
  • 31. 31 - Confidential @Lutech_TMS / @Lutechspa Rilevamento vulnerability scan On going Exploitation via SQLInjection con uploda di ASP webshell Esposizione della login page della Webshell sul server 5.55 AM 6.00 AM 6.03 AM 6.17 AM Rilevamento di SQLInjection via TOR per bypassare l'admin login sul server e ottenere diritti di amministratore  Azioni di Reconnaissance  Più di 1000 allarmi al giorno di vulnerability scan  Più di 500 tentativi di attacco per giorno fino alla fase di delivery della kill chain  Traffico TOR in ingresso permesso per policyV  Validazione dell'input e dei caricamenti assente, no WAF, stato di patching non adeguato e non noto  Difficile determinare i tentativi di exploitation di vulnerabilità SQL andati a buon fine Shields Up!  Indicatori di compromissione  Individuazione del target  Osservazione & Kick-back  Analisi della minaccia & Incident Response ANALISI e RISPOSTA QUADRO di SINTESI
  • 32. 32 - Confidential @Lutech_TMS / @Lutechspa With the understanding of root cause you can then apply policies in your security stack or identify gaps. Its starts a positive feedback loop where you eliminate the mundane events and dive into deeper more complex security threats - GCIH Advisory Board ˵ ˶ ANALISI e RISPOSTA LESSON LEARNED
  • 33. f.faenzi@lutech.it @francescofaenzi GRAZIE! @Lutechspa @Lutech_TMS www.lutech.it wwww.lutech.co.uk solutioncenter.lutech.it info@lutech.it Via Milano 150, 20093 Cologno Monzese [MI] +39 02 25427011 Phone +39 02 25427090 Fax HEADQUARTER TECHNICAL DEPARTMENT Via W.A. Mozart, 47 20093 Cologno Monzese [MI] ROME OFFICE Other OFFICES in Italy Milano, Modena, Firenze, Roma, Pomezia, Napoli, Bari, Catania Via A. Mantegna, 4 | P arco Leonardo 00054 Fiumicino [RM] +39 06 227501 Phone +39 06 22771542 Fax Nucleus Innovation Centre Brunel Way, Dartford, Kent DA1 5GA United Kingdom +44 208 181 4321 Phone LUTECH UK