Pillole
Visite: 4375

Pillole di #penetrationtest

L'occupazione dei nomi di domini (cybersquatting) è una attività illegale abbastanza nota ma ormai meno efficace, visto le tutele legale esistenti sull'uso improprio di nomi di persone e marchi. Il suo scopo era principalmente di natura "estorsiva".


Più subdola è invece l'occupazione mediante typosquatting (registrare nomi che "assomigliano" al dominio reale), attività la cui finalità non è contro il dominio occupato, ma contro i suoi utenti/clienti. Questa tecnica è usata come base per le campagne di phishing per realizzare "siti malevoli" su cui far atterrare la vittima contattata via posta elettronica e che inconsapevolmente segue il link contenuto nel messaggio pur credendo di leggere un indirizzo corretto, ma tradito semplicemente dalla somiglianza tipografica dello scritto (come ad esempio goggle[.]com)


Meno conosciuto e per certi versi sorprendente è il bitsquatting.
Anche in questo caso si registra un nome di dominio con l'intento di far atterrare la vittima su un "sito malevolo"; ma la natura del "dirottamento" è ben altra di quanto ci si possa aspettare. Questa volta la vittima è, non solo inconsapevole, ma anche incolpevole. Quello che viene sfruttato è la naturale quantità di errore presente nelle trasmissioni su Internet a causa del "rumore elettronico" che inverte i bit dei dati trasferiti. Il DNS è stato per lungo tempo uno dei protocolli maggiormente soggetto a questi errori per la spesso incompleta implementazione delle contromisure (verifica del checksum) presente in molti sistemi. Quello che accade è che una richiesta per il dominio cnn[.]com, per la sola inversione di un bit, può divenire con[.]com. Questo incidente di inversione è più frequente di quanto si creda (Nel 2015 1 richiesta su 100000 soffriva di bitsquatting: fonte Verisign http://www.verisigninc.com/assets/VRSN_Bitsquatting_TR_20120320.pdf).

Se il dominio risultante non esiste il problema viene in genere interpretato come un temporaneo problema di rete; ma quanto una organizzazione con secondi fini registra il dominio "trasformato" ecco che può adescare nella sua trappola inconsapevoli ed indifese vittime che hanno correttamente richiesto il dominio originale.
Per verificare l'esistenza di bitsquatting su un dato dominio è possibile interrogare i DNS con programmi quali dnstwist o urlcrazy.

Pillole
Visite: 4710
I file di collegamento (*.lnk) sono elementi della shell e non sono del tutto comprensibili.
Questi file vengono creati nel momento in cui un utente apre un file non eseguibile facendo doppio clic e, vengono memorizzati nel profilo utente che ha aperto il file.
In questo artefatto vengono archiviate informazioni relative al file aperto tra cui:
la data e l'ora di apertura del file
il nome e il percorso del file
il tipo di unità
il numero di serie del volume
l'etichetta del volume
e molto altro......
Uno strumento utile, preso dalla cassetta degli attrezzi di #Zimmerman è #LECmd.
#LECmd accetta, come input, un singolo file #LNK o una cartella contenente diversi file #LNK.
Un esempio nell'immagine:

Pillole
Visite: 4889

Pillole di #MalwareAnalysis

Nella pillola   precedente ho parlato del #DAG (domain algorithm generation) e ho detto che   insieme alle tecniche di fluxing permette di proteggere il #Master di una   #botnet.

Le tacniche di fluxing sono due: il #singleFlux ed il #doubleFlux.

Nel single flux  nel server dns autoritativo viene cambiato costantemente il record A che associa   il dominio da contattare (quello del #botmaster) all’ip.

Ogni vola che nel dns   viene registrata un’associazione tra Dominio ed IP viene fatto con un TTL   (time to live) estremamente basso. Questa associazione viene richiesta dagli #zombie   della botnet, ed alla scadenza un nuovo zombie si registra. Il risultato è un   ip associato al dominio in continua variazione.

Se a questo associamo che   grazie al DAG anche il nome di dominio cambia costantemente si capisce come   diventi difficile individuare i botmaster e spegnere una botnet.

#cybersecurity   #malware #zeroday #hacker

Pillole
Visite: 5886

Pillole di #MalwareAnalisys

Una delle tecniche utilizzate dai malware per colpire un processo è quella dell’#IAT #hooking. Questa tecnica prevede la modifica dell’indirizzo di chiamata di una funzione nella Import Address Table del processo vittima. Il Malware apre il processo vittima, esegue una scansione della IAT sino a trovare l’indirizzo della funzione da colpire e sostituisce il suo indirizzo con quello della funzione malevola.

Questa tecnica è estremamente difficile da identificare con la classica malware analisi dinamica di base richiedendo ,infatti , capacità di #ReverseEngineering. Una funzione tipica che si può trovare all’interno di malware che eseguono queste operazioni è #VirtualProtect che permette di cambiare i diritti in lettura/scrittura delle pagine di memoria da modificare.

Se questo malware non fosse compresso o criptato da una analisi delle stringhe si potrebbe evincere questo comportamento.

Ma raramente un malware analyst è così fortunato!

#cybersecurity #zeroday #hacker #

Pillole
Visite: 4507

Pillole di #MalwareAnalisys

Durante l’analisi di un bot agent è fondamentale andare a ricercare il #DAG (Domain Algorithm Generation) ovvero l’algoritmo eseguito dallo zombie per identificare il nome di dominio al fine di contattare il #botMaster.

L’importanza di questi algoritmi risiede nella capacità di proteggere il #C2.

Pensate che nella versione C di #Confiker il suo DAG generava ben 50.000 domini al giorno!

Un efficace DAG affiancato a tecniche di #DoubleFluxing rende i botmaster quasi irrintracciabili.

… “quasi” non è stato scritto a caso 😉

  1. DLL search order
  2. Dll Injection
  3. Il processo Svchost
  4. Il processo Explorer.exe

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:00 - 13:00
14:00 - 18:00

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2025 Fata Informatica. Tutti i diritti riservati.
We use cookies

Utilizziamo i cookie sul nostro sito Web. Alcuni di essi sono essenziali per il funzionamento del sito, mentre altri ci aiutano a migliorare questo sito e l'esperienza dell'utente (cookie di tracciamento). Puoi decidere tu stesso se consentire o meno i cookie. Ti preghiamo di notare che se li rifiuti, potresti non essere in grado di utilizzare tutte le funzionalità del sito.

Ok Rifiuta