SlideShare a Scribd company logo

Open Source Intelligence come strumento di monitoraggio

Download as PPTX, PDF
Gianni Amato
Gianni Amato

Ordine degli Ingegneri di Roma

Technology
1 of 20
Open Source Intelligence come strumento di monitoraggio Ordine degli Ingegneri di Roma Roma, 12 luglio 2019 Gianni Amato | Cybersecurity Analyst @ CERT-PA / AgID
2Gianni Amato Cyber Threat Intelligence Chi sono gli autori dell’attacco? Qual è lo scopo? Quali metodi o tecnologie sono state usate? Quando ha avuto inizio? Chi sono i target? Non esiste un prodotto che con un solo click possa rispondere ai seguenti quesiti …nemmeno con una serie di click
3Gianni Amato Persone, Competenze, Prodotti Individuare una minaccia Acquisirla Valutarla Contestualizzarla Analizzarla Esistono persone che grazie ai loro skill e all’ausilio di uno o più prodotti, adeguatamente configurati, possono essere in grado di… Al fine di provare a fornire una risposta ai quesiti precedenti
4Gianni Amato Fonti e classificazioni OSINT Social Twitter stream Facebook page Blog Website Forum Paste Blacklist CLOSINT Forum Mailing list Servizi Telegram (next step) IRC
5Gianni Amato Cercare l’ago nel pagliaio Email Password Contatti IP addr #Operation DDoS Deface XSS SQLi Hardware Software Campagne malware Phishing Malware 0-day Data Breach Hacktivism
6Gianni Amato Rimozione del rumore di fondo
7Gianni Amato Engine Acquisisce Normalizza Memorizza Rileva Visualizza e Allerta Formati Omogenei Feed RSS Json XML CSV Formati Eterogenei «Testi e Liste non strutturate» (es. le blacklist)
8Gianni Amato Storicizzazione Le informazioni normalizzate vengono memorizzate su database e indicizzate da elasticsearch { "@timestamp": 1525623339, "source": "Source name" "title": "Your title here". "description": "Your description here.", "permalink": "http://www.domain.com/post/example.html", "tags": [“malware", “malspam", “italy"] } Perché elasticsearch • Supporto architetture distribuite • Ricerche basate su Lucene • Capacità di ricerca Full Text • Documenti strutturati in formato Json
9Gianni Amato Metodo di Rilevazione  New malware campaign made in Italy  Analyzing a trojan horse with 0day embedded  Here a ransomware campaign with target Italy Description contains malware OR ransomware OR italy OR ………….. OR 0day Rules {Kp AND [k1 OR (K2 AND K3) OR Kn]} italia OR …… OR trojan AND OR zeroday Kp Kn o Ursnif campaign victim list. Italy targeted o WebLogic exploit RCE PoC (CVE-2019-2725) o #OpItaly Anons leaks admins credentials
10Gianni Amato Rilevazione { "@timestamp": 1397129798, "source": “Twitter" "title": “Anonymous Italy @OperationItaly". "description": "http://dominio.it http://sottodominio.dominio.it http://sottodominio.dominio.it e molti altri ancora fuori servizio! #MMI #AntiMilitarist #Anonymous", "permalink": "https://twitter.com/OperationItaly/status/454327045779365888", "tags": ["hacktivism", "anonymous", "anonplus“, “anonghost”] } description contiene dominio.it AND deface OR tangodown OR ………….. OR compromise OR anonymous Documento acquisito Regola
11Gianni Amato Acquisizione keywords { "@timestamp": 1397129798, "source": “Twitter" "title": “Anonymous Italy @OperationItaly". "description": "http://dominio.it http://sottodominio.dominio.it http://sottodominio.dominio.it e molti altri ancora fuori servizio! #MMI #AntiMilitarist #Anonymous", "permalink": "https://twitter.com/OperationItaly/status/454327045779365888", "tags": ["hacktivism", "anonymous", "anonplus“, “anonghost”] } description contiene AntiMilitarist Tutte le keyword vengono indicizzate da elasticsearch e dunque ricercabili «full text» all’interno del database
12Gianni Amato Dovinci - Cyber Threat Intelligence
13Gianni Amato #Operazioni
14Gianni Amato Exploit & Vulns
15Gianni Amato Databreach • 100 DB «dump» rilasciato in data 4 maggio 2018 ore 11:03 • Individuato da Dovinci il 4 maggio 2018 ore 11:25 • 22 minuti dopo il rilascio
16Gianni Amato Redirect
17Gianni Amato SQLi
18Gianni Amato Ricerca & Correlazione http://185.244.25.231:80/bins/GenAI.arm7 1. http://185.244.25.231/bins/GenAI.m68k 2. http://185.244.25.231:80/bins/GenAI.mips 3. http://185.244.25.231:80/bins/GenAI.m68k 4. http://185.244.25.231:80/bins/GenAI.sh4 5. http://185.244.25.231/bins/GenAI.mips 6. http://185.244.25.231:80/bins/GenAI.arm5 7. http://185.244.25.231:80/bins/GenAI.arm7 8. http://185.244.25.231/bins/GenAI.arm5 9. http://185.244.25.231:80/bins/GenAI.arm6 10.http://185.244.25.231:80/bins/GenAI.arm 11.http://185.244.25.231/bins/GenAI.arm 12.http://185.244.25.231/bins/GenAI.arm6 Ricerca su Dovinci Risultato URL ottenuta da analisi malware
19Gianni Amato Statistiche
20Gianni Amato Grazie per l’attenzione

Recommended

DOVINCI - Cyber Threat Intelligence Platform
DOVINCI - Cyber Threat Intelligence PlatformDOVINCI - Cyber Threat Intelligence Platform
DOVINCI - Cyber Threat Intelligence PlatformGianni Amato
 
Phishing M11a
Phishing M11aPhishing M11a
Phishing M11aguestf5a8624eb
 
Phishing M11
Phishing M11Phishing M11
Phishing M11superpesa
 
Summary of sunrise to sunset analyzing the end to-end life cycle and effectiv...
Summary of sunrise to sunset analyzing the end to-end life cycle and effectiv...Summary of sunrise to sunset analyzing the end to-end life cycle and effectiv...
Summary of sunrise to sunset analyzing the end to-end life cycle and effectiv...SilvioAngeloBarattoR
 
Pentesting Android with BackBox 4
Pentesting Android with BackBox 4Pentesting Android with BackBox 4
Pentesting Android with BackBox 4raffaele_forte
 
Emma Pietrafesa | Social media e distorsioni d'uso
Emma Pietrafesa | Social media e distorsioni d'usoEmma Pietrafesa | Social media e distorsioni d'uso
Emma Pietrafesa | Social media e distorsioni d'usoDonne Digitali
 
Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...
Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...
Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...EfremCherin
 
Cybercrime: il mercato nero di Internet e la criminalità informatica
Cybercrime: il mercato nero di Internet e la criminalità informaticaCybercrime: il mercato nero di Internet e la criminalità informatica
Cybercrime: il mercato nero di Internet e la criminalità informaticaGirl Geek Dinners Milano
 

Recommended

DOVINCI - Cyber Threat Intelligence Platform
DOVINCI - Cyber Threat Intelligence PlatformDOVINCI - Cyber Threat Intelligence Platform
DOVINCI - Cyber Threat Intelligence PlatformGianni Amato
 
Phishing M11a
Phishing M11aPhishing M11a
Phishing M11aguestf5a8624eb
 
Phishing M11
Phishing M11Phishing M11
Phishing M11superpesa
 
Summary of sunrise to sunset analyzing the end to-end life cycle and effectiv...
Summary of sunrise to sunset analyzing the end to-end life cycle and effectiv...Summary of sunrise to sunset analyzing the end to-end life cycle and effectiv...
Summary of sunrise to sunset analyzing the end to-end life cycle and effectiv...SilvioAngeloBarattoR
 
Pentesting Android with BackBox 4
Pentesting Android with BackBox 4Pentesting Android with BackBox 4
Pentesting Android with BackBox 4raffaele_forte
 
Emma Pietrafesa | Social media e distorsioni d'uso
Emma Pietrafesa | Social media e distorsioni d'usoEmma Pietrafesa | Social media e distorsioni d'uso
Emma Pietrafesa | Social media e distorsioni d'usoDonne Digitali
 
Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...
Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...
Summary of “Dirty Clicks: A Study of the Usability and Security Implications ...EfremCherin
 
Cybercrime: il mercato nero di Internet e la criminalità informatica
Cybercrime: il mercato nero di Internet e la criminalità informaticaCybercrime: il mercato nero di Internet e la criminalità informatica
Cybercrime: il mercato nero di Internet e la criminalità informaticaGirl Geek Dinners Milano
 
Marco Bozzetti AIPSI - SMAU Milano 2017
Marco Bozzetti AIPSI - SMAU Milano 2017Marco Bozzetti AIPSI - SMAU Milano 2017
Marco Bozzetti AIPSI - SMAU Milano 2017SMAU
 
Cyber Security. Occorre maggiore attenzione.
Cyber Security. Occorre maggiore attenzione.Cyber Security. Occorre maggiore attenzione.
Cyber Security. Occorre maggiore attenzione.Massimo Chirivì
 
APT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensiveAPT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensiveiDIALOGHI
 
Smau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, AipsiSmau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, AipsiSMAU
 
Massimo Chirivì AIPSI - SMAU Milano 2017
Massimo Chirivì AIPSI - SMAU Milano 2017Massimo Chirivì AIPSI - SMAU Milano 2017
Massimo Chirivì AIPSI - SMAU Milano 2017SMAU
 
Trojan di stato
Trojan di statoTrojan di stato
Trojan di statoAntonio Lepore ✔ ✈
 
Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)SMAU
 
Nella mente dell'hacker: da Wargames all'Underground Economy
Nella mente dell'hacker: da Wargames all'Underground EconomyNella mente dell'hacker: da Wargames all'Underground Economy
Nella mente dell'hacker: da Wargames all'Underground Economymadero
 
Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days Simone Onofri
 
La sicurezza dei dati esposti sulla rete Francesco Marinuzzi, Ph.D. Ingegnere
La sicurezza dei dati esposti sulla rete Francesco Marinuzzi, Ph.D. IngegnereLa sicurezza dei dati esposti sulla rete Francesco Marinuzzi, Ph.D. Ingegnere
La sicurezza dei dati esposti sulla rete Francesco Marinuzzi, Ph.D. IngegnereMarinuzzi & Associates
 
TIGPaper_Cybersecurity Trends_ V.1
TIGPaper_Cybersecurity Trends_ V.1TIGPaper_Cybersecurity Trends_ V.1
TIGPaper_Cybersecurity Trends_ V.1Elena Vaciago
 
HealthCare CyberSecurity Swascan
HealthCare CyberSecurity SwascanHealthCare CyberSecurity Swascan
HealthCare CyberSecurity SwascanPierguido Iezzi
 
Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004Alessandro Canella
 
2018 state of the software security report
2018 state of the software security report2018 state of the software security report
2018 state of the software security reportEmerasoft, solutions to collaborate
 
Internet of Things, rischi per la sicurezza
Internet of Things, rischi per la sicurezzaInternet of Things, rischi per la sicurezza
Internet of Things, rischi per la sicurezzaAlessandro Bonu
 
Alessandro Bonu - SMAU Bologna 2017
Alessandro Bonu - SMAU Bologna 2017Alessandro Bonu - SMAU Bologna 2017
Alessandro Bonu - SMAU Bologna 2017SMAU
 
Cybersecurity e Vulnerabilita' dei sistemi SCADA
Cybersecurity e Vulnerabilita' dei sistemi SCADACybersecurity e Vulnerabilita' dei sistemi SCADA
Cybersecurity e Vulnerabilita' dei sistemi SCADAiDIALOGHI
 
Sicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA GenovaSicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA Genovauninfoit
 
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...Data Driven Innovation
 
Come recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfCome recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfHelpRansomware
 
Il venerdì nero di wannacry
Il venerdì nero di wannacryIl venerdì nero di wannacry
Il venerdì nero di wannacryGianni Amato
 
Il CERT-PA e la Malware Analysis: Strumenti e casi di studio
Il CERT-PA e la Malware Analysis: Strumenti e casi di studioIl CERT-PA e la Malware Analysis: Strumenti e casi di studio
Il CERT-PA e la Malware Analysis: Strumenti e casi di studioGianni Amato
 

More Related Content

Similar to Open Source Intelligence come strumento di monitoraggio

Marco Bozzetti AIPSI - SMAU Milano 2017
Marco Bozzetti AIPSI - SMAU Milano 2017Marco Bozzetti AIPSI - SMAU Milano 2017
Marco Bozzetti AIPSI - SMAU Milano 2017SMAU
 
Cyber Security. Occorre maggiore attenzione.
Cyber Security. Occorre maggiore attenzione.Cyber Security. Occorre maggiore attenzione.
Cyber Security. Occorre maggiore attenzione.Massimo Chirivì
 
APT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensiveAPT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensiveiDIALOGHI
 
Smau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, AipsiSmau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, AipsiSMAU
 
Massimo Chirivì AIPSI - SMAU Milano 2017
Massimo Chirivì AIPSI - SMAU Milano 2017Massimo Chirivì AIPSI - SMAU Milano 2017
Massimo Chirivì AIPSI - SMAU Milano 2017SMAU
 
Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)SMAU
 
Nella mente dell'hacker: da Wargames all'Underground Economy
Nella mente dell'hacker: da Wargames all'Underground EconomyNella mente dell'hacker: da Wargames all'Underground Economy
Nella mente dell'hacker: da Wargames all'Underground Economymadero
 
Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days Simone Onofri
 
La sicurezza dei dati esposti sulla rete Francesco Marinuzzi, Ph.D. Ingegnere
La sicurezza dei dati esposti sulla rete Francesco Marinuzzi, Ph.D. IngegnereLa sicurezza dei dati esposti sulla rete Francesco Marinuzzi, Ph.D. Ingegnere
La sicurezza dei dati esposti sulla rete Francesco Marinuzzi, Ph.D. IngegnereMarinuzzi & Associates
 
TIGPaper_Cybersecurity Trends_ V.1
TIGPaper_Cybersecurity Trends_ V.1TIGPaper_Cybersecurity Trends_ V.1
TIGPaper_Cybersecurity Trends_ V.1Elena Vaciago
 
HealthCare CyberSecurity Swascan
HealthCare CyberSecurity SwascanHealthCare CyberSecurity Swascan
HealthCare CyberSecurity SwascanPierguido Iezzi
 
Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004Alessandro Canella
 
Internet of Things, rischi per la sicurezza
Internet of Things, rischi per la sicurezzaInternet of Things, rischi per la sicurezza
Internet of Things, rischi per la sicurezzaAlessandro Bonu
 
Alessandro Bonu - SMAU Bologna 2017
Alessandro Bonu - SMAU Bologna 2017Alessandro Bonu - SMAU Bologna 2017
Alessandro Bonu - SMAU Bologna 2017SMAU
 
Cybersecurity e Vulnerabilita' dei sistemi SCADA
Cybersecurity e Vulnerabilita' dei sistemi SCADACybersecurity e Vulnerabilita' dei sistemi SCADA
Cybersecurity e Vulnerabilita' dei sistemi SCADAiDIALOGHI
 
Sicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA GenovaSicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA Genovauninfoit
 
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...Data Driven Innovation
 
Come recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfCome recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfHelpRansomware
 

Similar to Open Source Intelligence come strumento di monitoraggio (20)

Marco Bozzetti AIPSI - SMAU Milano 2017
Marco Bozzetti AIPSI - SMAU Milano 2017Marco Bozzetti AIPSI - SMAU Milano 2017
Marco Bozzetti AIPSI - SMAU Milano 2017
 
Cyber Security. Occorre maggiore attenzione.
Cyber Security. Occorre maggiore attenzione.Cyber Security. Occorre maggiore attenzione.
Cyber Security. Occorre maggiore attenzione.
 
APT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensiveAPT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensive
 
Smau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, AipsiSmau Milano 2016 - Marco Bozzetti, Aipsi
Smau Milano 2016 - Marco Bozzetti, Aipsi
 
Massimo Chirivì AIPSI - SMAU Milano 2017
Massimo Chirivì AIPSI - SMAU Milano 2017Massimo Chirivì AIPSI - SMAU Milano 2017
Massimo Chirivì AIPSI - SMAU Milano 2017
 
Trojan di stato
Trojan di statoTrojan di stato
Trojan di stato
 
Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)Smau Milano 2019 Luca Bonadimani (AIPSI)
Smau Milano 2019 Luca Bonadimani (AIPSI)
 
Nella mente dell'hacker: da Wargames all'Underground Economy
Nella mente dell'hacker: da Wargames all'Underground EconomyNella mente dell'hacker: da Wargames all'Underground Economy
Nella mente dell'hacker: da Wargames all'Underground Economy
 
Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days
 
La sicurezza dei dati esposti sulla rete Francesco Marinuzzi, Ph.D. Ingegnere
La sicurezza dei dati esposti sulla rete Francesco Marinuzzi, Ph.D. IngegnereLa sicurezza dei dati esposti sulla rete Francesco Marinuzzi, Ph.D. Ingegnere
La sicurezza dei dati esposti sulla rete Francesco Marinuzzi, Ph.D. Ingegnere
 
TIGPaper_Cybersecurity Trends_ V.1
TIGPaper_Cybersecurity Trends_ V.1TIGPaper_Cybersecurity Trends_ V.1
TIGPaper_Cybersecurity Trends_ V.1
 
HealthCare CyberSecurity Swascan
HealthCare CyberSecurity SwascanHealthCare CyberSecurity Swascan
HealthCare CyberSecurity Swascan
 
Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004
 
2018 state of the software security report
2018 state of the software security report2018 state of the software security report
2018 state of the software security report
 
Internet of Things, rischi per la sicurezza
Internet of Things, rischi per la sicurezzaInternet of Things, rischi per la sicurezza
Internet of Things, rischi per la sicurezza
 
Alessandro Bonu - SMAU Bologna 2017
Alessandro Bonu - SMAU Bologna 2017Alessandro Bonu - SMAU Bologna 2017
Alessandro Bonu - SMAU Bologna 2017
 
Cybersecurity e Vulnerabilita' dei sistemi SCADA
Cybersecurity e Vulnerabilita' dei sistemi SCADACybersecurity e Vulnerabilita' dei sistemi SCADA
Cybersecurity e Vulnerabilita' dei sistemi SCADA
 
Sicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA GenovaSicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA Genova
 
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...
 
Come recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfCome recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdf
 

More from Gianni Amato

Il venerdì nero di wannacry
Il venerdì nero di wannacryIl venerdì nero di wannacry
Il venerdì nero di wannacryGianni Amato
 
Il CERT-PA e la Malware Analysis: Strumenti e casi di studio
Il CERT-PA e la Malware Analysis: Strumenti e casi di studioIl CERT-PA e la Malware Analysis: Strumenti e casi di studio
Il CERT-PA e la Malware Analysis: Strumenti e casi di studioGianni Amato
 
Il Ransomware nelle Aziende - Eset Security Days 2016
Il Ransomware nelle Aziende - Eset Security Days 2016Il Ransomware nelle Aziende - Eset Security Days 2016
Il Ransomware nelle Aziende - Eset Security Days 2016Gianni Amato
 
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...Gianni Amato
 
Linuxday 2014 Amato - Shellshock
Linuxday 2014 Amato - ShellshockLinuxday 2014 Amato - Shellshock
Linuxday 2014 Amato - ShellshockGianni Amato
 
Linuxday 2013-amato
Linuxday 2013-amatoLinuxday 2013-amato
Linuxday 2013-amatoGianni Amato
 
Amato HackInBo 2013
Amato HackInBo 2013Amato HackInBo 2013
Amato HackInBo 2013Gianni Amato
 
Crimini Informatici 2012
Crimini Informatici 2012Crimini Informatici 2012
Crimini Informatici 2012Gianni Amato
 
Botnet e nuove forme di malware
Botnet e nuove forme di malwareBotnet e nuove forme di malware
Botnet e nuove forme di malwareGianni Amato
 
Reati Informatici e Investigazioni Digitali
Reati Informatici e Investigazioni DigitaliReati Informatici e Investigazioni Digitali
Reati Informatici e Investigazioni DigitaliGianni Amato
 
Malware Analysis. A Case Study
Malware Analysis. A Case StudyMalware Analysis. A Case Study
Malware Analysis. A Case StudyGianni Amato
 
Hashbot.com - Acquisizione e Validazione
Hashbot.com - Acquisizione e ValidazioneHashbot.com - Acquisizione e Validazione
Hashbot.com - Acquisizione e ValidazioneGianni Amato
 
Web 2.0 e dintorni
Web 2.0 e dintorniWeb 2.0 e dintorni
Web 2.0 e dintorniGianni Amato
 
Internet Forensics
Internet ForensicsInternet Forensics
Internet ForensicsGianni Amato
 

More from Gianni Amato (15)

Il venerdì nero di wannacry
Il venerdì nero di wannacryIl venerdì nero di wannacry
Il venerdì nero di wannacry
 
Il CERT-PA e la Malware Analysis: Strumenti e casi di studio
Il CERT-PA e la Malware Analysis: Strumenti e casi di studioIl CERT-PA e la Malware Analysis: Strumenti e casi di studio
Il CERT-PA e la Malware Analysis: Strumenti e casi di studio
 
Il Ransomware nelle Aziende - Eset Security Days 2016
Il Ransomware nelle Aziende - Eset Security Days 2016Il Ransomware nelle Aziende - Eset Security Days 2016
Il Ransomware nelle Aziende - Eset Security Days 2016
 
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
 
Linuxday 2014 Amato - Shellshock
Linuxday 2014 Amato - ShellshockLinuxday 2014 Amato - Shellshock
Linuxday 2014 Amato - Shellshock
 
Linuxday 2013-amato
Linuxday 2013-amatoLinuxday 2013-amato
Linuxday 2013-amato
 
Amato HackInBo 2013
Amato HackInBo 2013Amato HackInBo 2013
Amato HackInBo 2013
 
Crimini Informatici 2012
Crimini Informatici 2012Crimini Informatici 2012
Crimini Informatici 2012
 
Botnet e nuove forme di malware
Botnet e nuove forme di malwareBotnet e nuove forme di malware
Botnet e nuove forme di malware
 
Reati Informatici e Investigazioni Digitali
Reati Informatici e Investigazioni DigitaliReati Informatici e Investigazioni Digitali
Reati Informatici e Investigazioni Digitali
 
Malware Analysis. A Case Study
Malware Analysis. A Case StudyMalware Analysis. A Case Study
Malware Analysis. A Case Study
 
Hashbot.com - Acquisizione e Validazione
Hashbot.com - Acquisizione e ValidazioneHashbot.com - Acquisizione e Validazione
Hashbot.com - Acquisizione e Validazione
 
Web 2.0 e dintorni
Web 2.0 e dintorniWeb 2.0 e dintorni
Web 2.0 e dintorni
 
Internet Forensics
Internet ForensicsInternet Forensics
Internet Forensics
 
Firma Digitale
Firma DigitaleFirma Digitale
Firma Digitale
 

Open Source Intelligence come strumento di monitoraggio

  • 1. Open Source Intelligence come strumento di monitoraggio Ordine degli Ingegneri di Roma Roma, 12 luglio 2019 Gianni Amato | Cybersecurity Analyst @ CERT-PA / AgID
  • 2. 2Gianni Amato Cyber Threat Intelligence Chi sono gli autori dell’attacco? Qual è lo scopo? Quali metodi o tecnologie sono state usate? Quando ha avuto inizio? Chi sono i target? Non esiste un prodotto che con un solo click possa rispondere ai seguenti quesiti …nemmeno con una serie di click
  • 3. 3Gianni Amato Persone, Competenze, Prodotti Individuare una minaccia Acquisirla Valutarla Contestualizzarla Analizzarla Esistono persone che grazie ai loro skill e all’ausilio di uno o più prodotti, adeguatamente configurati, possono essere in grado di… Al fine di provare a fornire una risposta ai quesiti precedenti
  • 4. 4Gianni Amato Fonti e classificazioni OSINT Social Twitter stream Facebook page Blog Website Forum Paste Blacklist CLOSINT Forum Mailing list Servizi Telegram (next step) IRC
  • 5. 5Gianni Amato Cercare l’ago nel pagliaio Email Password Contatti IP addr #Operation DDoS Deface XSS SQLi Hardware Software Campagne malware Phishing Malware 0-day Data Breach Hacktivism
  • 6. 6Gianni Amato Rimozione del rumore di fondo
  • 7. 7Gianni Amato Engine Acquisisce Normalizza Memorizza Rileva Visualizza e Allerta Formati Omogenei Feed RSS Json XML CSV Formati Eterogenei «Testi e Liste non strutturate» (es. le blacklist)
  • 8. 8Gianni Amato Storicizzazione Le informazioni normalizzate vengono memorizzate su database e indicizzate da elasticsearch { "@timestamp": 1525623339, "source": "Source name" "title": "Your title here". "description": "Your description here.", "permalink": "http://www.domain.com/post/example.html", "tags": [“malware", “malspam", “italy"] } Perché elasticsearch • Supporto architetture distribuite • Ricerche basate su Lucene • Capacità di ricerca Full Text • Documenti strutturati in formato Json
  • 9. 9Gianni Amato Metodo di Rilevazione  New malware campaign made in Italy  Analyzing a trojan horse with 0day embedded  Here a ransomware campaign with target Italy Description contains malware OR ransomware OR italy OR ………….. OR 0day Rules {Kp AND [k1 OR (K2 AND K3) OR Kn]} italia OR …… OR trojan AND OR zeroday Kp Kn o Ursnif campaign victim list. Italy targeted o WebLogic exploit RCE PoC (CVE-2019-2725) o #OpItaly Anons leaks admins credentials
  • 10. 10Gianni Amato Rilevazione { "@timestamp": 1397129798, "source": “Twitter" "title": “Anonymous Italy @OperationItaly". "description": "http://dominio.it http://sottodominio.dominio.it http://sottodominio.dominio.it e molti altri ancora fuori servizio! #MMI #AntiMilitarist #Anonymous", "permalink": "https://twitter.com/OperationItaly/status/454327045779365888", "tags": ["hacktivism", "anonymous", "anonplus“, “anonghost”] } description contiene dominio.it AND deface OR tangodown OR ………….. OR compromise OR anonymous Documento acquisito Regola
  • 11. 11Gianni Amato Acquisizione keywords { "@timestamp": 1397129798, "source": “Twitter" "title": “Anonymous Italy @OperationItaly". "description": "http://dominio.it http://sottodominio.dominio.it http://sottodominio.dominio.it e molti altri ancora fuori servizio! #MMI #AntiMilitarist #Anonymous", "permalink": "https://twitter.com/OperationItaly/status/454327045779365888", "tags": ["hacktivism", "anonymous", "anonplus“, “anonghost”] } description contiene AntiMilitarist Tutte le keyword vengono indicizzate da elasticsearch e dunque ricercabili «full text» all’interno del database
  • 12. 12Gianni Amato Dovinci - Cyber Threat Intelligence
  • 15. 15Gianni Amato Databreach • 100 DB «dump» rilasciato in data 4 maggio 2018 ore 11:03 • Individuato da Dovinci il 4 maggio 2018 ore 11:25 • 22 minuti dopo il rilascio
  • 18. 18Gianni Amato Ricerca & Correlazione http://185.244.25.231:80/bins/GenAI.arm7 1. http://185.244.25.231/bins/GenAI.m68k 2. http://185.244.25.231:80/bins/GenAI.mips 3. http://185.244.25.231:80/bins/GenAI.m68k 4. http://185.244.25.231:80/bins/GenAI.sh4 5. http://185.244.25.231/bins/GenAI.mips 6. http://185.244.25.231:80/bins/GenAI.arm5 7. http://185.244.25.231:80/bins/GenAI.arm7 8. http://185.244.25.231/bins/GenAI.arm5 9. http://185.244.25.231:80/bins/GenAI.arm6 10.http://185.244.25.231:80/bins/GenAI.arm 11.http://185.244.25.231/bins/GenAI.arm 12.http://185.244.25.231/bins/GenAI.arm6 Ricerca su Dovinci Risultato URL ottenuta da analisi malware
  • 20. 20Gianni Amato Grazie per l’attenzione