Più che interessante lettura estiva…direi doverosa per tutti coloro interessati alla malware analysis.
Sono rimasto affascinato da questo libro di Zhassulan Zhussupov: seguo l’autore da un po’ su Twitter, e onestamente posso dire che questo volume non solo ha soddisfatto, ma che ha superato le mie aspettative con la sua ricchezza di contenuti nonché di applicazioni pratiche.
Testo fondamentale per qualsiasi professionista operativo nel mondo della Cybersecurity e che desideri approfondire la propria comprensione degli attuali malware, in esso l’autore discute e mostra tecniche avanzate di persistenza (APT) ed evasione dei malware in modo chiaro e dettagliato, integrando esempi pratici di codice di facile lettura (a patto che si abbia un minimo di basi di programmazione a basso livello tramite Python e C/C++) che trasforma la teoria complessa in un apprendimento accessibile e coinvolgente.
I capitoli dedicati agli APT, alle tecniche anti debugging e agli algoritmi matematici per cifrare i payload dei malware sono tra i miei preferiti, poiché offrono approfondimenti dettagliati difficili da trovare in altre pubblicazioni. Interessante il collegamento tra APT e cybercrime, che fornisce considerazioni e spunti di riflessione tali da evidenziare la complessità e le sinergie operative tra i malware e le moderne minacce informatiche in un modo che altri testi (almeno tra quelli da me studiati fino ad oggi) non fanno.
L’autore discute più di 100 esempi di malware, del resto è tra coloro che alimentano il noto portale Malpedia.
Prima di accettare un ingaggio per un penetration test o per un vulnerability assessment non solo risulta prudente ma anche doveroso accertarsi che il cliente sappia effettivamente cosa vuole… giacché non gli è sempre così chiaro, anche perché penetration test è ormai diventato un termine abusato per svariate problematiche: – sta cercando solo un audit del codice e in realtà confonde i termini? – forse è alla ricerca solo di una Code Review? – il cliente si aspetta che lavoriamo in ambito Blackbox, Whitebox o Greybox? – l’analisi dovrà essere circoscritta al perimetro ICT oppure dovrà coinvolgere anche gli apparati e i sistemi del mondo ICS? – il cliente si aspetta che venga incluso anche il perimetro VoIP/IoT nell’assessment? …e oltre alle variabili ad alto livello indicate nel grafico, aggiungo fattori contestuali non banali: – i sistemisti che gestiscono l’infrastruttura del cliente sono dipendenti interni o consulenti esterni del cliente? – la società che ci sta commissionando l’attività, effettivamente è la società proprietaria dei sistemi da scansionare ed attaccare? – chi di dovere ci ha firmato le necessarie manleve a norma di legge? – i sistemi da testare sono pubblicamente raggiungibili da Internet oppure per testarli occorre necessariamente essere collegati alla LAN/WLAN del cliente? – chi di dovere ci ha fornito la lista aggiornata delle sottoreti da sottoporre a scansione oppure dovrà essere nostra cura scoprire quali siano gli indirizzi IP associati ai sistemi? – il target fa uso anche di sistemi o servizi in Cloud? e se sì, quali? – gli utenti operativi nell’eventuale rete on-premises del target adottano abitualmente smart card per le loro operazioni? – il target è una piccola azienda, una media realtà o addirittura un S.O.C. / M.S.S.P. di portata nazionale? – il cliente è interessato a qualunque vulnerabilità eventualmente presente nei suoi servizi e sistemi oppure solo al mondo OWASP? . . …ecc.. ecc..
Bollettini di sicurezza informatica (CVE) riguardanti vulnerabilità intrinseche in VPN realizzabili tramite appliance (Fortinet, PAN, CheckPoint, Cisco) piuttosto che tramite software di terze parti (vedi Ivanti) tra il 2023 e il 28 maggio 2024: spaventoso.
Un ISMS (Information Security Management System, in italiano “Sistema di gestione della Sicurezza delle Informazioni“) è uno strumento fondamentale per supportare le organizzazioni nell’adottare le necessarie misure tecnologiche, i servizi e gli strumenti di monitoraggio e controllo digitale che consentono di proteggere il patrimonio informativoaziendale dalle minacce informatiche.
Adeguare gli ISMS aziendali agli standard ISO 27001 continua ad essere un compito arduo per molte organizzazioni. Esistono tuttavia numerosi consulenti, aziende e professionisti del settore che possono facilitare i processi di migrazione e ingegnerizzazione dei sistemi per ristrutturare in maniera efficente e tempestiva i servizi informatici a ciò che lo standard prevede (rendendo anche l’ISMS stesso compliant alle normative): se come me sei uno tra questi, potresti trovare utile questo diagramma mentre approfondisci o applichi l’attuale standard ISO 27001.
Le versioni del noto software PuTTY dalla 0.68 alla 0.80 (inclusa) presentano una vulnerabilità critica nella parte di codice che genera firme dalle chiavi private ECDSA che utilizzano la curva NIST P521 (PuTTY, o Pageant, genera una firma digitale da una chiave quando la usi per autenticarti su di un server SSH).
A questa vulnerabilità è stato assegnato il CVE-2024-31497. La vulnerabilità è stata scoperta da Fabian Bäumer e Marcus Brinkmann, dell’Università della Ruhr di Bochum (è disponibile un loro articolo sulla mailing list oss-security), in Germania.
L’effetto della vulnerabilità è quello di consentire la compromissione della chiave privata. Un attacker o un utente malintenzionato in possesso di alcune dozzine di messaggi firmati (e della chiave pubblica) ha informazioni sufficienti per recuperare la chiave privata e quindi falsificare le firme come se provenissero da te, consentendogli (ad esempio) di accedere a qualsiasi server in cui utilizzi quella chiave per autenticarti. Per ottenere queste firme, l’attacker deve solo compromettere brevemente un qualsiasi server su cui si utilizza la chiave per autenticarsi, oppure ottenere momentaneamente l’accesso a una copia di Pageant che detiene la chiave (tuttavia, queste firme non sono esposte agli sniffer passivi delle connessioni SSH…).
Pertanto, se disponi di una chiave di questo tipo, i crittoanalisti consigliano di revocarla immediatamente: rimuovi la vecchia chiave pubblica da tutti i file Authorized_keys di OpenSSH e l’equivalente negli altri server SSH, in modo che una firma della chiave compromessa non abbia più valore. Genera quindi una nuova coppia di chiavi per sostituirla. (il problema non riguarda il modo in cui la chiave è stata generata; non importa se proviene da PuTTYgen o da qualche altra parte: ciò che conta è se è stata mai utilizzata con PuTTY o Pageant).
La buona notizia: l’unico tipo di chiave crittografica inficiata da CVE-2024-31497 è l’ECDSA a 521 bit. Cioè una chiave che in Windows PuTTYgen si presenta come ecdsa-sha2-nistp521 all’inizio della casella “Impronta digitale chiave”, oppure come NIST p521 quando viene caricata in Windows Pageant, oppure ha un ID che inizia con ecdsa-sha2- nistp521 nel protocollo SSH o nel file della chiave. Altre dimensioni dell’ECDSA e altri algoritmi chiave non sono coinvolti dalla vulnerabilità, in particolare, non è coinvolto lo schema di firma Ed25519.
…che permette, in maniera estremamente compatta e ad un prezzo interessante, di: ✅️ monitorare il traffico di rete ✅️ esfiltrare dati ✅️ stabilire connessioni VPN ✅️ avviare reverse shell ✅️ sniffare pacchetti ✅️ effettuare spoofing DNS ✅️ accedere alla shell tramite root
Dispone di un interruttore con 4 posizioni: ognuna di esse rappresenta una modalità operativa configurabile attraverso uno specifico script. È conoscendo anche strumenti come questo che possiamo migliorare la nostra Cybersecurity Posture (nostra e quella dei nostri clienti): come al solito, restiamo vigili e teniamo gli occhi aperti.
In Windows 11, il Blocco note (o notepad.exe) implementa una funzionalità per ripopolare le schede aperte del programma, sia quelle salvate in precedenza che non. Questi dati vengono archiviati su disco e offrono un’interessante opportunità per chi si occupa di DFIR.
Sì, AnyDesk ha revocato il certificato digitale usato per firmare i suoi binari utilizzati da migliaia – milioni? – di utenti. Sì, hanno anche revocato le credenziali per accedere al loro portale. Tutto ciò che si sa al momento è questo, così come solo questa è la portata dei fatti pubblici nel momento in cui sto scrivendo. Il resto di quello che leggo nei forum e nelle testate del settore, in questi giorni, non sono altro che FUD spuri: client AnyDesk con backdoor, dump delle credenziali provenienti dalle violazioni ecc.. ossia quel tipo di pettegolezzi spesso privi di fondamento quando non risultano avvalorati da perizie informatiche giurate che ne appurino le veridicità senz’ombra di dubbio. Si trovano appunto molti FUD in rete, ma non ancora nessuno che mostri o abbia reso disponibili evidenze digitali in grado di avvalorare nero su bianco (o se preferite, byte su byte) i peggiori scenari di breach.
Ciò nonostante, qui trovi delle regole YARAper rilevare i binari firmati con un certificato digitale AnyDesk potenzialmente compromesso: fare comunque una ricerca sui filesystem dei nostri clienti non è una cattiva idea.
Aziende plurimiliardarie che investono milioni di euro in costose “soluzioni” (?) di Cybersecurity e consulenze erogate da fantomatici “esperti”, e poi immancabilmente si ritrovano a distanza di mesi o anni infettate da un ransomware o coinvolte in gravissimi incidenti informatici iniziati con una banale BEC.
Gente che blatera di Sicurezza Informatica senza conoscerne a fondo le reali basi ingegneristiche, sistemisti e tecnici ICT che venerano Active Directory come una panacea per tutti i mali, nonché Microsoft Exchange come “il” mail server per antonomasia…ma anche lì, incidenti su incidenti informatici dietro l’angolo.
La lungimiranza e la perspicacia, quel think outside of the box che ha permeato le vite di tanti acuti pensatori, nonché dei padri fondatori di Internet e di svariati progettisti, dovrebbe pervadere le riflessioni, le scelte progettuali e gli investimenti portati avanti anche dai manager e dai CISO italiani…o almeno, della maggior parte tra loro. Ma non è esattamente così.
Se davvero lo fosse, la maggior parte dei mail server ancor oggi utilizzati in Italia in ambienti Enterprise non continuerebbero ad essere basati su Microsoft Exchange piuttosto che su O365 (Microsoft Office 365)… sistemi su di cui più o meno periodicamente vengono scoperte devastanti vulnerabilità RCE (Remote Code Execution).
DoveCot, invece, è fatto di un’altra pasta: è un mail server Open Source ideato con la Sicurezza Informatica in testa; si definisce “Secured by Design”, ma puoi leggerlo come “Sicurizzato fin dalla progettazione”.
Un esempio emblematico: qualche anno fa l’ente Mozilla Open Source (non esattamente dei “bottegai” dell’informatica) ha commissionato un audit di sicurezza informatica su DoveCot, il primo audit pubblico del suo codice sorgente. Il team che ha eseguito l’audit è rimasto estremamente colpito dalla qualità del suo codice sorgente, dichiarando nero su bianco che “nonostante i molti sforzi e l’approccio onnicomprensivo, i penetration tester di Cure53 sono riusciti solo a confermare l’eccellente livello di sicurezza informatica di DoveCot. Più specificamente, sono stati riscontrati solo tre problemi di sicurezza nel codice, ma di scarsa gravità, traducendosi così in un risultato prestigioso per DoveCot, nonché una prova-provata del fatto che mantenere le aspettative di Cybersecurity è una priorità dello sviluppo e del funzionamento di questo software”. È possibile reperire il report dettagliato delle vulnerabilità riscontrate dal team dei penetration tester di Cure53 consultando questo URL. Analogamente, a questo indirizzo è possibile leggere le più recenti vulnerabilità scoperte su DoveCot: provate a confrontare il numero di queste vulnerabilità (sia in quantità ma soprattutto in qualità/gravità!) con quelle scoperte su Microsoft Exchange, poi rifletteteci sopra chiedendovi se adottare software on-premises piuttosto che sistemi fruibili in SaaS per la posta elettronica sviluppati e distribuiti entrambi dalla Microsoft (società closed-source per antonomasia, anche omertosa quando si tratta dei propri databreach…leggetevi o rileggetevi, a tal proposito, dello scandalo riguardante il databreach di Microsoft Azure fatto emergere lo scorso anno dal senatore Ron Wyden e di questa recente inchiesta pubblicata sul Washington Post) sia ancora una scelta sensata e prudente.
Grazie a una dashboard aggiornata periodicamente, con la piattaforma RansomFeed è possibile farsi un’idea delle rivendicazioni effettuate dalle cybergang che sfruttano attacchi informatici basati su ransomware. È possibile filtrare per paese e per altri parametri, venendo quindi a conoscenza anche dei nominativi delle aziende ed organizzazioni (anche italiane!) che ne sono rimaste vittime.
Esplorando la piattaforma, è possibile notare anche nomi di prestigiosi gruppi bancari… Ransomfeed mette a disposizione gratuitamente un canale RSS con cui è possibile rimanere aggiornati sulle rivendicazioni pubbliche.
P.S.: A discapito di quanto pubblicizzano i media, ovviamente la piattaforma non elenca assolutamente tutte le vittime colpite, né storicamente né al presente… anche perché le vittime in essere potrebbero optare (come troppo spesso accade) di cedere al ricatto della cybergang di turno, pagando alla chetichella in Bitcoin pur di ottenere la chiave privata che occorre per il ripristino dei loro dati e sistemi (così da non finire né sulle pagine dei quotidiani, né appunto su portali come lo stesso RansomFeed, ma soprattutto per riprendere velocemente la loro operatività).
dmzware.com 