Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
200 Milioni di Utenti X/Twitter scaricabili Online per 8 crediti  ///    hai una start-up innovativa sulla cybersecurity? Candidati alla call!    ///  2 giorni senza riscaldamento per colpa del malware FrostyGoop. E’ successo a Leopoli in Ucraina a Gennaio  ///    scopri betti-rhc, il fumetto sul cybersecurity awareness    ///  Hacktivisti a Sostegno delle Rivolte in Bangladesh: Escalation di Violenza e Cyber Attacchi  ///    Scropri i corsi di Red Hot Cyber    ///  Copybara, il malware che prende di mira il banking italiano  ///    Iscriviti al nostro canale Whatsapp    ///  Microsoft rilascia un tool USB per risolvere il problema del BSOD di CrowdStrike su Windows 10 e 11  ///    hai una start-up innovativa sulla cybersecurity? Candidati alla call!    ///  EvilVideo: L’Exploit Zero-Day Che Minaccia Telegram su Android  ///    scopri betti-rhc, il fumetto sul cybersecurity awareness    ///  Una Hot-fix malevola per CrowdStrike diffonde HijackLoader e RemCos  ///    Scropri i corsi di Red Hot Cyber    ///  Red Hot Cyber Completa con Successo il Secondo Corso di Darkweb & Cyber Threat Intelligence  ///    Iscriviti al nostro canale Whatsapp    ///  L’interruzione di CrowdStrike ha colpito meno dell’1% dei dispositivi Windows. Attenzione Alle Frodi!  ///    hai una start-up innovativa sulla cybersecurity? Candidati alla call!    ///  Incidente CrowdStrike: Riflessioni sulla Security di oggi e di Domani. “Non importa se si viene spiati, importa da chi”  ///  
Crowdstrike

Anubi: l’EDR italiano che Ti Protegge da Malware e dalle Attività Anomale in Rete

Andrea Cavallini : 14 Giugno 2024 09:06

Nel contesto moderno dove è in corso una vera e propria cyberguerra, il concetto di consapevolezza in ambito cybersecurity e l’irrobustimento dei perimetri infrastrutturali è sempre più importante. In questa situazione, gli obiettivi degli attaccanti sono distribuiti tra tutti gli utenti che, utilizzando un semplice PC, accedono a una rete.

Il controllo dell’attività dell’utente e il conseguente monitoring devono essere forti ma devono consentire l’attività senza irrigidimenti eccessivi. Quindi, sorge spontanea la domanda: come si può fare?

Ci sono molti tools utilizzabili per controllare e monitorare le attività degli utenti, suddivisi in soluzioni entreprise e open source: le prime sono le maggiormente stabili, mantenute e supportate in caso di problemi, le seconde sono totalmente libere di essere modificate con implementazioni custom. Ho cercato di pensare un tool che potesse raggruppare i tre principali punti per la sicurezza degli utenti:

  • malware detection
  • attività anomale a livello networking
  • IOC detections

Perché Anubi?

La domanda che mi sono posto prima di affrontare questo tema è stata semplicemente: cosa vorrei che facesse un prodotto per aiutarmi nella mia protezione? In prima battuta dovrebbe essere semplice da usare per tutti, leggero, portabile tra PC diversi e dinamico; dovrebbe inoltre avere un insieme di regole per le detection aggiornato e customizzabile.

Alla scoperta di Anubi

Anubi (https://github.com/kavat/anubi) è la mia implementazione come soluzione EDR; è sviluppato in Python ed è disponibile per Linux e Mac (Windows lo sarà a breve); l’installazione è descritta direttamente nel repository e può essere riassunta in:

  • download del repository
  • installazione delle dipendenze
  • esecuzione come utente privilegiato di Anubi con il parametro –start-full per il download delle ultime definizioni dal repository ufficiale (https://github.com/kavat/anubi-signatures), costruendo inoltre la struttura delle directory necessarie automaticamente

Durante il primo avvio, sarà chiesto l’inserimento della prima configurazione per:

  • configurazione delle scansioni periodiche di IOC e malwares
  • abilitazione della modalità di detection a livello networkink
  • impostazione degli hooks su particolari directory ai quali le scansioni per IOC e malwares saranno applicate a ogni evento di creazione o modifica dei singoli file

Anubi è fondamentalmente un ciclo dove le azioni sono distribuite mediante thread specifici, permettendo quindi l’esecuzione parallela dei controlli eseguiti.

Report e API

Anubi salva i risultati dei propri controlli in modo diretto nei file di logs o nella directory dedicata ai reports. Mette a disposizione anche il proprio sistema di API, usato per garantire l’interazione diretta con il tool senza riavvii superflui e la WebUI aiuta a semplificare la richiesta e il conseguente avvio delle operazioni on-demand.

Il tool si presta ad aiutare dai meno specializzati ai più skillati grazie alla sua dinamicità e personabilità, applicativa e di triggering delle detection mediante regole aggiuntive; risulta leggero, trasportabile tra sistemi ed è una soluzione completamente made in Italy.

Happy hack!

Andrea Cavallini
Da sempre appassionato di Cybersecurity e di hacking in generale, ha iniziato il proprio percorso nell'IT per poi approdare alla parte di sviluppo applicativo e di sistemi di controllo; si occupa principalmente di fornire soluzioni per infrastrutture critiche, è autore di articoli digitali in chiave Red Team e Blue Team e sviluppa soluzioni open source legate al mondo della sicurezza informatica.