Chiunque si interessi di ethical hacking sarà venuto a contatto con uno strumento di estremo interesse quale Impacket, progetto open source di SecureAuth (dal 2017 fusa con Core Security e dal 2019 entrambe in HelpSystem, produttrice di Cobalt Strike, discusso software di penetration test, apparentemente molto amato anche dagli agenti di minaccia). 

Ebbene, lo stesso destino di critiche può essere intravisto anche per lo strumento più primitivo quale Impacket, ad oggi sempre più visibile nelle tracce lasciate da agenti di minaccia durante le loro scorribande. 

Ma cosa è Impacket. Come premesso si tratta di un progetto open source, ovvero essenzialmente una raccolta di moduli Python, capace di agire su un considerevole insieme di protocolli di rete. Nulla di particolarmente interessante se non fosse per tutti quei protocolli che invece consentono attività su sistema remoto quali esecuzione codice, scarico delle credenziali, sniffing di pacchetti e la manipolazione di protocolli di autenticazione come Kerberos.

L’affermazione è un po’ forte, certamente, ma è frutto delle osservazioni di un nuovo rapporto di threat intelligence redatto da CrowdStrike, o meglio dal suo team di threat hunting “Falcon OverWatch”, il “Nowhere to Hide: 2022 Falcon OverWatch Threat Hunting Report”. 

Dal punto di vista del gruppo di difesa, per un periodo di un intero anno, si è reso evidente una crescente tendenza da parte degli aggressori all’utilizzo di strategie di attacco frontali e laterali per le reti eventualmente compromesse. Si tratta evidentemente di una opportunità tattica indotta dall’enorme mole di vulnerabilità che sommergono le infrastrutture delle organizzazioni oggetto di minaccia. 

Il malware non cade certo in disuso per inefficienza o per altri motivi strategici: è più un motivo tattico, indotto dalla semplicità di approfittare delle condizioni di inferiorità dell’obiettivo attraverso altre strategie di attacco più immediate: è questo che contribuisce alla decrescita nell’uso del malware. Basta considerare il prolifico mondo della compravendita su forum criminali di credenziali di accesso perfettamente funzionanti. 

Con la Patch Tuesday di settembre, Microsoft ha posto rimedio a ben 62 vulnerabilità molto gravi, 57 importanti e 5 critiche, senza considerare il più generico problema derivante dalla CVE-2022-23960 relativa ai processori ARM (Cortex e Neoverse), un problema derivante dal mancato limite imposto alla speculazione della cache in queste CPU (Spectre-BHB), cosa che consente ad un utente malintenzionato di sfruttare la cronologia nel ramo condiviso nel Branch History Buffer, ottenendone così informazioni riservate, Si tratta comunque di una vulnerabilità dalla gravità media (CVSS 5.6) che può affliggere indirettamente sistemi Windows non aggiornati quando eseguiti su tali CPU. 

Tornando ai problemi strettamente di casa Microsoft, questi colpiscono, come è solito, un gran numero di software e prodotti della casa di Redmond. 

I laboratori Alien Labs di AT&T hanno recentemente scoperto un nuovo malware che prende di mira dispositivi IoT basati su sistema operativo Linux (e la maggioranza dei sistemi IoT lo sono). 

Il malware è stato denominato “Shikitega”: opera attraverso una catena di infezioni, ognuna attuata da moduli che occupano solo poche centinaia di bytes, e dunque tali da passare inosservati. 

Il primo stage del malware appare come un payload di soli 370 byte, frutto della codifica “shikata ga nai”, l’encoder polimorfico basato su XOR molto popolare in quanto presente nella suite di attacco di Rapid 7 Metasploit. 

Il codice di questo primo stage non dipende da alcuna libreria, ed utilizza semplicemente le primitive di sistema (Linux) invocandole mediante istruzione assembly INT (invocazione di un interrupt) con argomento 80h (esadecimale, ossia 128, che è l’interrupt di chiamata a sistema Unix).

Una videocamera di sorveglianza si intende strumento per la sicurezza perimetrale e fisica, pertanto i suoi flussi (di immagini) devono essere disponibili sono per i proprietari del perimetro o al limite a quei delegati per i compiti di sorveglianza. 

Cosa succede se questi flussi e le videocamere stesse (per esempio attraverso il controllo di quelle motorizzate e quindi la capacità di orientarle altrimenti) cadono nella disponibilità di non aventi diritto? Inutile parlarne. 

I problemi di sicurezza nei sistemi IoT sono endemici, e quelli delle videocamere sono i più frequenti: basta vedere quanto raccoglie uno strumento di ricerca online come Shodan. 

Se dovessero servire conferme, l’argomento di questo articolo potrebbe certamente bastare, ma è comunque da molto tempo che siamo di fronte ad una progressiva trasformazione nella percezione del mondo delle videocamere IoT, una percezione in cui è aumentata una certa forma di diffidenza, in special modo per quelle di fabbricazione cinese.

Da sempre nel mondo IT la soluzione primaria per identificare e autorizzare un utente all’accesso ad un sistema informatico è stata una parola segreta, la password. La segretezza è però un patto fiduciario tra il sistema e l’utente, in quanto la segretezza non può essere una caratteristica intrinseca della parola, ma può solo derivare dalla sua unicità e dalla non divulgazione di questa a terzi. 

È per questo motivo che la password (segreta) quale strumento esclusivo di identificazione e dunque di sicurezza è da molto tempo posta in discussione (in favore di autenticazioni a più fattori). 

Il primo nemico della sicurezza agli accessi concessi mediante password infatti possiamo essere proprio noi stessi: una password può divenire non più segreta per diversi motivi, di cui tutti (purtroppo) imputabili a noi. 

Una vecchia conoscenza degli analisti riappare in natura: si tratta del framework di scansione Scanbox, realizzato in JavaScript. 

I ricercatori hanno visto distribuire tale framework da attore di minaccia cinese (molto probabilmente APT TA423, noto anche come Red Ladon, operante dall’isola tropicale cinese di Hainan) mediante tecnica watering hole su target includenti organizzazioni nazionali australiane e società energetiche offshore. 

L’esca sono stati messaggi che rimandavano a siti di notizie web australiani. 

La finalità: lo spionaggio. 

Infatti il particolare APT è stato accusato nel 2021 (DoJ: Dipartimento di Giustizia degli Stati Uniti) di collaborazione con il MSS (Ministero della Sicurezza di Stato, l'agenzia civile di intelligence, sicurezza e polizia informatica per la Repubblica popolare cinese). L’MSS è ritenuto responsabile del controspionaggio, dell'intelligence, della sicurezza politica e spionaggio industriale e informatico da parte della Cina. 

Palo Alto Networks è una società americana specializzata in sicurezza IT: i suoi prodotti vanno da firewall “in ferro” a soluzioni di sicurezza in cloud. 

Quindi pensare che strumenti posti a presidio della sicurezza di una qualche infrastruttura siano essi stessi in pericolo non è una bella cosa: eppure questa è l’eventualità che segnala la società stessa con l’avviso di sicurezza https://security.paloaltonetworks.com/CVE-2022-0028 del 10-08-2022, in cui denuncia la presenza di un difetto nel loro software, un bug di gravità elevata (CVE-2022-0028, 8.6 CVSS) derivante da un controllo insufficiente sui volumi di traffico di rete (CWE-406 Insufficient Control of Network Message Volume - Network Amplification). 

Quando si pensa alle minacce estorsive nel mondo nel mondo IT, la mente va subito alle minacce da ransomware. 

Siamo d’accordo, il termine ransom in inglese significa esattamente riscatto, ed è la clausola imposta dai malware di tipo ransomware per ottenere (difficilmente) lo “sblocco” dei dati presi in ostaggio crittograficamente dallo strumento di attacco. Anche i numeri fanno pendere l’ago della bilancia verso questa identificazione, in quanto questa è la forma più frequente di attacco a cui siamo esposti noi comuni mortali. 

Ma di cyber riscatti ne esistono varie forme e non tutti gli agenti di minaccia si specializzano nell’utilizzo di ransomware quali strumenti per realizzare un guadagno dalla loro attività criminale. 

Vi siete mai chiesti come fa Windows a sapere che un certo file lo avete scaricato da Internet? 

L’informazione deve risiedere da qualche parte, altrimenti un file sarebbe esattamente come tutti gli altri, un file locale. 

Ebbene, questa caratterizzazione avviene per mezzo di una funzionalità di sicurezza introdotta con Internet Explorer (ma che è propria di tutti gli altri browser e molti altri software in uso su Windows) e viene rispettata da molti programmi (tutta la suite Office, per esempio, e soprattutto Windows Defender) durante l’apertura del documento scaricato: la funzionalità è comunemente indicata (ma non è un nome ufficiale) Mark-of-the-Web (MOTW) e consente di associare al file scaricato l’origine (quindi anche l’URI) dello stesso. 

Secondo quali siano i tipi di file, il MOTW viene realizzato con strumenti differenti; ad esempio, nei file HTML il MOTW è semplicemente ottenuto aggiungendo (lo fa il browser che esegue il download) un commento HTML nella forma <!—save from url: ….