Un settore consolidato della analisi forense è la Windows Forense, ovvero lo studio dei dati acquisiti ai fini investigativi da sistemi Microsoft Windows.

La larga diffusione dei sistemi Microsoft ha fatto sì che appunto ci sia un ramo dell’analisi forense dedicata a questo.

Tutti sappiamo e ci siamo sentiti dire che il registro di Windows è una miniera di informazioni, un repository di tutte le informazioni presenti in Windows. Una parte quindi importante nella analisi delle prove acquisite.

La modalità di acquisizione ci permette di indagare su alcune o tutte le chiavi presenti nel registro.

Il registry ha una struttura ad albero costituita da chiavi, sottochiavi e valori, che trae origine da cinque sezioni (hives):

• HKEY_CLASSES_ROOT
• HKEY_CURRENT_USER
• HKEY_LOCAL_MACHINE
• HKEY_USER
• HKEY_CURRENT_CONFIG

Le chiavi riportano informazioni di qualsiasi tipo, sia temporale che di dettaglio dati. Per esempio possiamo risalire a gli ultimi file aperti da un programma, a gli ultimi file eseguiti oppure i file che vengono automaticamente caricati all’avvio e molto altro ancora, di seguito alcune delle chiavi usate per tali esigenze:

La chiave:

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

Riporta informazioni circa i file e cartelle aperte a partire dal menù “Recenti” del menù “Start”.

La chiave:

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePIDIMRU

Riporta informazioni circa i file aperti o salvati attraverso una finestra di dialogo Windows

La chiave:

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastvisitedPidIMRU

Riporta informazioni circa i file eseguibili usati da un’applicazione per aprire i file visti nella chiave precedente.

Questa è solo una delle tante fasi di analisi forense applicata sul registro, ovviamente il tutto viene facilitato da software ad hoc come RegRipper, Autopsy ed altri. #PillolediAnalisiForense

Il gruppo ransomware AvosLocker ha dovuto rilasciare un decryptor gratuito per sbloccare i file crittografati di una delle sue vittime.

Il fatto è avvenuto dopo che il gruppo ha scoperto di aver crittografato i sistemi di un dipartimento di polizia degli Stati Uniti.
Paura delle forze dell'ordine?
Un membro del gruppo ha affermato di non avere alcuna politica su chi prendere di mira, tuttavia, di solito evitano di prendere di mira le agenzie governative e il settore sanitario.
Quando il giornalista che li ha contattati ha insistito sulla paura delle forze dell'ordine, il membro ha affermato che i soldi dei contribuenti sono generalmente difficili da ottenere e, quindi, evitano di prendere di mira gli enti governativi.
Inoltre, quando sono state richieste maggiori informazioni sull'hacking, il gruppo ha negato di fornire un elenco di file rubati o di come hanno infettato la rete del dipartimento.
AvosLocker è attivo da luglio 2021 e tenta regolarmente di colmare il vuoto lasciato dai gruppi ransomware che hanno chiuso lo scorso anno, come Revil, aggiornando continuamente le sue tecniche e tattiche.
Il mese scorso, sono stati osservati alla ricerca di partner di tipo Initial Access Brocker
In passato, il gruppo ransomware ha mietuto vittime soprattutto aziende bancarie e manifatturiere.

Quando si esegue un attacco efficace, o si ha molta fortuna (sfacciatamente molta), oppure si è condotta una ricerca che ha portato ad utilizzare specifiche tattiche, tecniche e procedure.

Nulla è dunque predicibile, così come nulla è prefissato.

Secondo l'ingaggio, alcune fasi possono avere più importanza di altre, se non addirittura spazio di esecuzione.

Facciamo il caso canonico: la differenza tra un ingaggio per eseguire una VA e PT ed un ingaggio per una attività di "red teaming". Ebbene, in questo ultimo caso, le attività di information gathering non potranno essere così "spudorare" come nel caso della VA+PT: dovranno essere a prova di kill chain.

Analogamente la fase di Vulnerability Assessment dovrà essere completamente tagliata fuori, in quanto l'output del processo previsto non è un hardening dell'infrastruttura, ma bensì il (possibile) successo di di un attacco condotto contro un perimetro difeso da un blu team.

Così fasi e strumenti si modulano rispetto all'obiettivo e all'ingaggio. Una fase di VA, ad esempio, non coincide con eseguire GVM-OpenVAS o Nessus: qualsiasi strumento consenta di reperire informazioni di VA è una fase di VA, quindi anche un nmap con i suoi script NSE. Anche il completamento di una VA in termini di CWE o CVE non è un obbligo: alcune misconfiguration non sono censite, ma sono vulnerabilità da rimuovere. Anche la piattaforma Metaspoit non coincide non una fase di exploitation: la stessa piattaforma è capace di agire in fase di scansione, vulnerability assessment e naturalmente exploitation e post-exploitation. Insomma tutto fa brodo.

La cosa fondamentale è invero il poter descrivere il grafo di attacco che un agente di minaccia seguirebbe, e di cui la difesa dovrebbe provvedere a romperne la catena di uccisioni. Se questo coincide con un nostro processo ed un nostro arsenale, allora quello è il nostro processo.

Nel caso reale (fuori da un CFT) una VA più sistematica potrebbe trovare molte più strade e molte più realtà soggette a minaccia, ma non è detto che l'ingaggio ci consenta di operare mediante questa metodologia (vedi caso di una attività di "red teaming").

L'FBI ha rilasciato un avviso riguardante il gruppo che ha sviliuppato il  ransomware Cuba e che prende di mira le infrastrutture critiche delle organizzazioni statunitensi in diversi settori chiave dell'economia. 
Cos'è successo? 
Secondo l'FBI, gli attori del ransomware Cuba hanno compromesso 49 organizzazioni in almeno cinque settori, tra cui ICT, sanità, produzione, governo e finanza. 
Il gruppo criminale ha guadagnato milioni da quando ha iniziato l'attività ed ha chiesto a diverse società statunitensi un riscatto complessivo di 74 milioni di dollari di cui 43,9 milioni già ricevuti.
Il ransomware Cuba viene diffuso sulle reti delle vittime utilizzando il downloader Hancitor, che consente di ottenere un facile accesso alle reti aziendali compromesse. 
Una volta effettuato l'accesso, Cuba utilizza servizi Windows, come  PowerShell e PsExec, per distribuire i payload in remoto e crittografare i file con estensione .cuba. 
L'FBI ha richiesto agli amministratori di sistema e ai professionisti della sicurezza che hanno individuato l'attività di questo ransomware all'interno delle loro reti di condividere qualsiasi informazione correlata con la Cyber Squad dell'FBI locale. 
Le informazioni utili includono informazioni sul portafoglio, registri di confine che mostrano la comunicazione con un indirizzo IP esterno, il file originale e un campione di un file crittografato. 
L'FBI ha suggerito di non pagare i pagamenti del ransomware e ha raccomandato di non farlo poiché non vi è alcuna garanzia che gli aggressori forniranno le chiavi di decrittazione o non attaccheranno in futuro. 
Quanto ci metterà questo Ransomware ad arrivare nel bel paese?
Ai posteri l'ardua sentenza! :-)