Open Source Intelligence come strumento di monitoraggio
1. Open Source Intelligence come
strumento di monitoraggio
Ordine degli Ingegneri di Roma
Roma, 12 luglio 2019
Gianni Amato | Cybersecurity Analyst @ CERT-PA / AgID
2. 2Gianni Amato
Cyber Threat Intelligence
Chi sono gli autori dell’attacco?
Qual è lo scopo?
Quali metodi o tecnologie sono state usate?
Quando ha avuto inizio?
Chi sono i target?
Non esiste un prodotto che con
un solo click possa rispondere ai
seguenti quesiti …nemmeno con
una serie di click
3. 3Gianni Amato
Persone, Competenze, Prodotti
Individuare una minaccia
Acquisirla
Valutarla
Contestualizzarla
Analizzarla
Esistono persone che grazie
ai loro skill e all’ausilio di uno
o più prodotti, adeguatamente
configurati, possono essere in
grado di…
Al fine di provare a
fornire una risposta
ai quesiti precedenti
4. 4Gianni Amato
Fonti e classificazioni
OSINT
Social
Twitter stream
Facebook page
Blog
Website
Forum
Paste
Blacklist
CLOSINT
Forum
Mailing list
Servizi
Telegram
(next step)
IRC
7. 7Gianni Amato
Engine
Acquisisce Normalizza Memorizza Rileva
Visualizza
e
Allerta
Formati
Omogenei
Feed RSS Json XML CSV
Formati Eterogenei
«Testi e Liste non strutturate»
(es. le blacklist)
8. 8Gianni Amato
Storicizzazione
Le informazioni normalizzate vengono memorizzate su database e
indicizzate da elasticsearch
{
"@timestamp": 1525623339,
"source": "Source name"
"title": "Your title here".
"description": "Your description here.",
"permalink": "http://www.domain.com/post/example.html",
"tags": [“malware", “malspam", “italy"]
}
Perché elasticsearch
• Supporto architetture distribuite
• Ricerche basate su Lucene
• Capacità di ricerca Full Text
• Documenti strutturati in formato Json
9. 9Gianni Amato
Metodo di Rilevazione
New malware campaign made in Italy
Analyzing a trojan horse with 0day embedded
Here a ransomware campaign with target Italy
Description contains
malware OR
ransomware OR
italy OR
………….. OR
0day
Rules
{Kp AND [k1 OR (K2 AND K3) OR Kn]}
italia OR
…… OR
trojan AND
OR
zeroday
Kp
Kn
o Ursnif campaign victim list. Italy targeted
o WebLogic exploit RCE PoC (CVE-2019-2725)
o #OpItaly Anons leaks admins credentials
10. 10Gianni Amato
Rilevazione
{
"@timestamp": 1397129798,
"source": “Twitter"
"title": “Anonymous Italy @OperationItaly".
"description": "http://dominio.it http://sottodominio.dominio.it
http://sottodominio.dominio.it e molti altri ancora fuori servizio! #MMI
#AntiMilitarist #Anonymous",
"permalink": "https://twitter.com/OperationItaly/status/454327045779365888",
"tags": ["hacktivism", "anonymous", "anonplus“, “anonghost”]
}
description contiene
dominio.it AND
deface OR
tangodown OR
………….. OR
compromise OR
anonymous
Documento acquisito
Regola
11. 11Gianni Amato
Acquisizione keywords
{
"@timestamp": 1397129798,
"source": “Twitter"
"title": “Anonymous Italy @OperationItaly".
"description": "http://dominio.it http://sottodominio.dominio.it
http://sottodominio.dominio.it e molti altri ancora fuori servizio! #MMI
#AntiMilitarist #Anonymous",
"permalink": "https://twitter.com/OperationItaly/status/454327045779365888",
"tags": ["hacktivism", "anonymous", "anonplus“, “anonghost”]
} description contiene
AntiMilitarist
Tutte le keyword vengono indicizzate da elasticsearch e dunque ricercabili «full text» all’interno del database
15. 15Gianni Amato
Databreach
• 100 DB «dump» rilasciato in data 4 maggio 2018 ore 11:03
• Individuato da Dovinci il 4 maggio 2018 ore 11:25
• 22 minuti dopo il rilascio