Intelligence… con intelligenza

imagesQuesto post sarebbe troppo lungo per trattarlo in modo esaustivo… ed anche volendo farne un riassunto l’argomento risulterebbe non sufficientemente abbozzato.

Recentemente però ho scritto un pezzo per la società per cui lavoro, con l’obiettivo di divulgare in italiano alcuni concetti importanti proprio sull’argomento Intelligence.

Buzzword ormai stra-inflazionata, troppo utilizzata (spesso a sproposito), presa come catalizzatore di campagne di marketing… e purtroppo elemento molto assente anche in realtà aziendali grandi come processo e strumento che aumenta le capacità di difesa dai cybercriminali.

Da qui la decisione di condividere questo pezzo con voi tutti… sperando serva a fare un pochino di chiarezza tra molte idee.

Intelligence con… intelligenza

Buona lettura!

Visibilità orizzontale con i Security Analytics

CorrelazioneQuesto sembra uno dei concetti più interessanti quando si parla di difesa dagli attacchi avanzati.

Mentre una pletora crescente di vendor continua a proporre vagonate di soluzioni che promettono intelligenze artificiali sempre più sofisticate che mirano a identificare il malware più avanzato, proprio ieri ho sentito la miglior opinione di un cliente in merito.

“Si cerca di implementare tantissime soluzioni… al problema sbagliato!”

Quello che insegnano report recenti sugli attacchi avanzati è che sarebbe un’idea quantomeno discreta cercare di capire le intenzioni dell’attaccante!

A prescindere da quali strumenti sono stati utilizzati nell’attacco… visto che una volta compromessa la macchina ponte quello che si osserva è l’uso di strumenti e comandi standard del sistema operativo ospite.

Specialmente parlando di Windows (ma non solo), la ricchezza e potenza di comandi quali Powershell, Net.exe, At.exe e Cmd.exe offre all’attaccante tutto quello di cui ha bisogno per continuare le proprie operazioni senza bisogno alcuno di malware, avanzato o meno.

Come capire “cosa è successo”, “quali macchine sono state compromesse”, “è stato portato via qualcosa”, “quando possiamo ricominciare ad operare in sicurezza” e tutte le altre domande difficili a cui i CISO devono rispondere in caso di attacco?

La risposta sembra quasi banale: tramite una visibilità accurata sugli eventi.

Il contesto della risposta è quello a cui ogni azienda dovrebbe tendere…

Il proliferare degli strumenti di difesa puntuali (oggi denigrate con il termine anglosassone “point solutions”) negli anni scorsi è stato quantomeno selvaggio. Ma questi investimenti frenetici sono tutt’altro che da buttare!

Firewall, IPS, Proxy, Active Directory, Antivirus, Antispam e compagnia cantante, quand’anche non servissero per garantire una difesa totale hanno una funzione preziosissima: producono INFORMAZIONI!

Continue reading

Ransom32 e il Malware as a Service

Screen Shot 2016-01-04 at 17.39.25Buon anno! Auguri a parte, questo inizio di 2016 è macchiato da una pessima notizia per quanto riguarda il malware: l’arrivo di Ransom32.

L’aspetto interessante di quello che appare come un’ennesima variante del concetto di ransomware è duplice.

Da un punto di vista più tecnico, il software è basato su librerie JavaScript tipo NW.js. NW.js è un insieme di primitive di sviluppo che permette la creazione di applicazioni desktop per i mondi Windows ma anche Linux e Mac OSX.
Applicazioni lecite, che possono da un qualsiasi browser accedere al sistema operativo sottostante e ai file per compiere svariate azioni.
Utilizzato per scopi illeciti, questo framework avrebbe quindi effetti devastanti.

Da un punto di vista più operativo, il modo in cui Ransom32 viene proposto al “mercato degli interessati” è tramite un servizio di produzione malware con condivisione dei guadagni.

Secondo i ricercatori che hanno identificato il sistema, i produttori del malware Ransom32 sono raggiungibili attraverso un portale sulla rete anonimizzata TOR in cui è possibile inserire il proprio indirizzo per ricevere il pagamento in bitcoin, monitorare le statistiche di quanti sistemi sono stati infettati, quanti hanno pagato e persino personalizzare la propria versione del malware:

ransom32_generate

…con tanto di consigli dei produttori del malware stesso che suggeriscono di non essere troppo avidi nel chiedere il riscatto oppure gli utenti non pagheranno!!!

Produttori che hanno ideato questo sistema di catena del valore proprio per poter condividere parte dei guadagni degli attaccanti, che non devono fare sforzi per avere la loro versione personalizzata del malware.

Elemento del tutto particolare e a cui fare attenzione è la dimensione di questo malware: il file prodotto dal sito è di oltre 20 MB, si presenta come un file compresso che contiene una copia infettata del browser Chrome di Google. Questa copia, se eseguita, contatta il server C2 (Comando e Controllo) e recupera la chiave che servirà ahimè per iniziare il lavoro di cifratura dei file dell’utente.

Riporto di seguito alcune risorse in italiano e in inglese per approfondire l’argomento:

Post del blog dei ricercatori di Eminsoft: link.

Articolo di The Hackers News: link.

Articolo di VilmaTech con consigli per la rimozione del malware: link.

E poi c’è il Social Engineering

Si dice che la forza di una catena sia pari al più debole dei suoi anelli.

Quindi anche la forza della catena di difesa dagli attacchi informatici avanzati presenta la stessa caratteristica… dove l’anello debole non si può, o non è proprio conveniente :), eliminare.

Perchè l’anello debole è l’essere umano. Diventa quindi necessario e prioritario rinforzarlo, cioè creare nell’essere umano la consapevolezza di essere l’anello debole e di essere esposto ad attacchi mirati a carpire quei dati speciali e potentissimi che conserva: credenziali valide per accedere a sistemi dell’azienda per cui lavora.

Troppo spesso non ci rendiamo conto di quante informazioni esponiamo su noi, sui nostri spostamenti, su chi siamo, dove lavoriamo, quando siamo in un posto… tutto questo avviene a volte inconsciamente, nella nostra interazione con il mondo social. E sovente il pensiero di “chi può essere interessato a me” giustifica un atteggiamento troppo superficiale nel fornire queste informazioni.

Consapevolezza significa elevare quel poco il livello di paranoia per prendere coscienza di quanto semplice sia per un attaccante interessato correlare le informazioni per pianificare un attacco mirato.

Ho immaginato che ciò avvenisse per un ladro che decidesse di derubare un appartamento. Ecco una lettera con cui potrebbe (peccato non voglia mai) informare la vittima dei suoi intenti malevoli; che a quanto pare metterà in atto presto… grazie a preziose informazioni ottenute con tecniche di ingegneria sociale…

Slide13

Meditate ora su quanto può essere facile per chi sa che avete informazioni utili trovarvi, o inviarvi una di quelle strane mail con allegati altrettanto strani…

Urrà abbiamo tirato giù la Botnet di Dridex…

Screen Shot 2015-10-28 at 18.55.04Questa notizia, vera e diffusa nei giorni scorsi, potrebbe essere benissimo la frase di chi ancora associa attacco a malware. Sbagliato!

Come detto tante tante volte, quando parliamo di attacchi avanzati parliamo di attaccanti che non sono masse di bit apatiche ma esseri umani. Senzienti. Con una strategia e un obiettivo: i privilegi dell’utente dell’azienda che vogliono attaccare. Seguendo questa prospettiva, Dridex non è altro che uno strumento come tanti altri che si chiamano ad esempio Banload, Dyre, ecc.

Quello che veramente importa e che dovremmo continuare a tenere sotto osservazione quando ci sono eventi di “takedown” sono le tecniche di social engineering e di compromissione utilizzate dagli attaccanti che stavano dietro alla botnet. Perché quelle tecniche sono verosimilmente ciò che gli attaccanti riutilizzeranno per studiare una nuova strategia di attacco.

Un esempio è l’infiltrazione di macro downloader nascosti ed offuscati in documenti Office. Tali documenti, scritti e confezionati in modi a volte molto convincenti e in base ai destinatari a cui vanno, contengono sequenze di operazioni malevole codificate in VBScript, Visual Basic for Applications oppure VBE (Visual Basic Encoded).

Quando il documento viene aperto il codice contenuto inizia ad eseguire operazioni come contatto di un server su Internet, trasferimento di malware aggiuntivi su canali più o meno cifrati e “chiamata a casa” all’attaccante per sapere quali sono le nuove istruzioni per proseguire la compromissione.

Ancora una volta la difesa deve partire da una forma mentale dell’utente:

  1. Assicuratevi di conoscere SEMPRE il mittente o la fonte della mail ricevuta. Nel dubbio, cestinatela.
  2. Cercate di capire se l’estensione del file allegato sia effettivamente quella attesa. Nel dubbio, chiedete una mano a chi in azienda si occupa di sicurezza informatica.
  3. Se un documento Office vi chiede di eseguire una macro, fatelo soltanto se il mittente è assolutamente attendibile e magari contattatelo per verificare che il documento sia stato effettivamente mandato di proposito. Nel dubbio, negate i permessi di esecuzione macro. Un documento Office infetto con Macro Downloader è innocuo se non sono attivate le macro.
  4. Se siete responsabili della Cyber-Difesa aziendale, analizzate soluzioni avanzate che possano difendervi da attacchi multi-stage e avanzati. Non fidatevi di misure “tradizionali” quali anti-spam e antivirus: troppo spesso questi sistemi si rivelano inefficaci quando si tratta di minacce avanzate.

Ricordate infine che per quanto dispiaccia ammetterlo, l’anello debole della catena di Cyber-Difesa continua ad essere l’essere umano.

Da cosa stiamo cercando di proteggerci?

furtoQuando parliamo di cyber-attacchi, APT e attacchi avanzati, molto spesso la confusione regna sovrana.
Complice il marketing di una serie di vendor di “security tradizionale”, la focalizzazione e l’obiettivo sembra essere neutralizzare il malware, non importa quanto avanzato. In un paio di articoli recenti ho cercato di chiarire come dietro ad un attacco ci siano essere umani, non bit.

Di conseguenza, l’obiettivo dovrebbe essere concentrarsi sulla breccia e NON sul malware! Che continua a rappresentare solo uno strumento, che anche se neutralizzato viene rapidamente sostituito da un altro.

Perché dietro c’è una strategia di attacco.

L’atteggiamento di moltissimi reparti  di Security nei confronti di un allarme di compromissione continua ad essere:

  1. Viene elevato un allarme dai sistemi di difesa preposti
  2. Si cerca di identificare la macchina infetta
  3. La macchina infetta viene spianata o disinfettata grazie a un aggiornamento di strumenti (antivirus, ecc)

Facciamo un paragone: immaginate di rientrare a casa dall’ufficio e trovare la porta di casa socchiusa… all’interno, per terra un grimaldello e alcune impronte che conducono alle stanze.

La reazione immediata potrebbe essere quella di dare l’allarme chiamando la Polizia.
Immaginate ora che la Polizia arrivi rapidamente, raccolga il grimaldello, pulisca le impronte, saluti e se ne vada.

Non ci rimarreste un pochino male? Potrebbe darsi che l’intruso sia ancora in casa… ad aspettare il momento per filarsela con qualcosa che vi appartiene…

Certo che è strano! Eppure non è simile alla reazione all’infezione che ho descritto poco sopra?

Spero questa metafora aiuti a riflettere sulla necessità di focalizzare le difese sulla breccia e non sul malware, sulla strategia di attacco e non sugli strumenti utilizzati.

Solo così diventa possibile una comprensione di cosa sta accadendo e una pianificazione attenta della risposta.
Pianificazione che consideri l’analisi dell’accaduto, la comprensione della tattica e l’azione per neutralizzare l’attacco intero evitando furto di dati.

In due parole: detection (precisa) and response (rapida ed efficace).

Attacchi mirati e APT

IMG_0247.JPGPost tardivo rispetto alla cadenza mensile che mi sono imposto, ma il rush finale prevacanza mi ha impedito di trovare quel misto di ispirazione, argomento e dedizione utile.

Sdraiato sotto un salice piangente valdostano, penso di avere tutti e tre gli elementi quindi procedo 🙂

Per tentare di spiegare la sottile linea rossa che separa un attacco mirato da una APT (minacce avanzate persistenti).

L’obiettivo importante è sottolineare come i cyberattacchi avanzati non siano solo appannaggio di stati che attaccano grandi corporation o altri stati, ma possano riguardare anche entità di dimensioni inferiori… se di valore per gli attaccanti.

Le tattiche standard per l’inganno e la compromissione iniziale (exploit) sono molto simili o talvolta identiche, ma gli attacchi sono differenziati sulla base del modello di esecuzione e la persistenza (insistenza alla resistenza) degli attori coinvolti.

Provo quindi ad analizzare le due categorie di cyberattacchi, distinguendo undici caratteristiche tattiche ed evidenziando le differenze.

Tattica Attacco Mirato APT
Utilizzo Inganno
Invisibilità
Utilizzo Exploit sia noti che non noti principalmente exploit zero-day non noti
Persistenza Dipende da strategia Sempre
Trafugamento dati
Mantenimento accesso Sì tramite Remote Acees Toolkit (RAT) Sì tramite RAT
Riutilizzo di Intelligence
Spostamento Laterale
Organizzazione in campagne Dipende da Strategia Organizzate in Campagne
Sponsorizzate da Stati Possibile Possibile
Attori Individui o Gruppi Gruppi


Come dicevo, una sottile (ma importante per definire la reazione e la tecnica di risposta) linea rossa, quando invece la procedura resta pressochè identica in entrambi i casi:

Riconoscimento e analisi => infezione obiettivo => compromissione sistema => trafugamento dati => mantenimento controllo/accesso di rete

Radiografia di un attacco: dietro ai bit, esseri umani

Il lavoro che faccio mi permette un punto di osservazione privilegiato su alcuni eventi, spesso rilevati grazie a attività di test tecnologici presso clienti.

Proprio durante uno di questi test ho “incontrato” la storia che voglio raccontarvi, anonimizzata al punto giusto, per trasmettere un messaggio importante: dietro un attacco avanzato non c’è un “colpo di sfiga” che mi ha fatto prendere un virus… bensì esseri umani con in mente una strategia di attacco!

Ringrazio il mio collega Stefano Lamonato che mi ha aiutato nella raccolta di informazioni utilissime per questo racconto.

Che significa assistere ad un’escalation di eventi con l’obiettivo finale di completare una missione: entrare in possesso di credenziali che puntano al furto di dati.

Se pensate che la cosa non vi riguardi, provate a leggere quanto segue, per capire se siete parte (volontaria o meno) della “catena del valore” di un cybercriminale.

Continue reading

Perchè si chiamano attacchi avanzati

CSI Cyber.png

Il cybercrimine è diventato così popolare e tristemente famoso da meritare addirittura una serie TV. A parte alcuni scenari palesemente non plausibili che la serie propone, mi pare un ottimo indicatore della presa di coscienza di una nuova realtà di pericolo, legata appunto al dominio Cyber.

Una realtà fatta spesso di attacchi mirati o avanzati… e qui sorge la domanda: perchè avanzati?

Si tratta di attacchi dietro cui si celano spesso tattiche, tecniche, procedure e strumenti degni di una vera e propria azione militare.  Che causano danni spesso importanti… parliamo su scala mondiale di una media per intrusione con furto di dati passata da circa 3 milioni di dollari nel 2013 a mezzo milione di dollari in più per il 2014!

Le misure di sicurezza tradizionali, quelle per intenderci basati su firme e motivi digitali come ad esempio firewall, ips, antivirus e compagnia cantante, non bastano più. Servono, certo, da deterrente contro attacchi meno sofisticati… quindi non vanno certamente buttati via. Ma nulla possono contro i nuovi attori, che spesso (70-90% dei casi) usano malware non noto, offuscato, mascherato per essere irriconoscibile!

Ecco una breve descrizione di queste pericolosissime tecniche, alcune recenti altre meno, che richiedono soluzioni di difesa di assoluta avanguardia.

Polimorfismo: è la capacità di un oggetto malevolo di mutare continuamente, per rendere i sistemi basati su firme digitali inefficaci al rilevamento.

Riqualificazione binaria: stesso obiettivo della tattica precedente, raggiunto modificando la struttura binaria dell’oggetto mantenendone invariate le funzionalità malevole.

Ricodifica con mascheramento: l’oggetto eseguibile malevolo viene nascosto all’interno di tipi di file comunemente utilizzati, per spingere l’utente ignaro ad eseguire il codice malevolo. Questi tipi di file sono, ad esempio, i PDF o i file di Microsoft Office.

Incapsulamento malware: il codice malevolo viene nascosto estendendo quello di file legittimi, comunemente utilizzati dagli utenti. Ad esempio, una nuova versione di un popolare editor di testo o di un gioco potrebbe nascondere insidie letali.

Attacchi multi-flusso: l’attacco viene frammentato su più flussi di informazioni, in modo da confondere anche gli strumenti di sandboxing moderni che però eseguono analisi di oggetti singolarmente. Tali oggetti verranno etichettati come innocui, perché sono solo parte della big picture.

Attacchi multi-vettore: l’attacco viene perpetrato con una logica che integra componenti inoculati su più vettori (web, mail, file) della superficie di intrusione allo scopo di celare l’attività a soluzioni puntuali che monitorano soltanto un vettore (es, mail gateway).

Evasione di sandbox avanzata: il codice del malware controlla l’ambiente in cui viene eseguito alla ricerca di segni di monitoraggio tipici di ambienti virtuali di detonazione (sandbox), restando innocuo o non operativo per ingannare tali sistemi.

Questo elenco non è purtroppo esaustivo, ma spero serva a elevare la vostra soglia di attenzione nella selezione di sistemi di difesa appropriati.

Se avete dubbi o domande, usate i commenti e cercherò di diradare la nebbia 🙂

 

La medaglia ha sempre due lati…

Nei giorni scorsi ho ripreso in mano dopo un po’ di tempo il caro buon vecchio Metasploit, incuriosito da un articolo che ho letto sulla nuova feature msfvenom.

Con l’occasione ho fatto qualche prova anche con un paio di altri framework per penetration testers, Veil e Social Engineering Toolkit.

Sono rimasto molto colpito da come strumenti e tecniche che qualche anno fa erano dominio di pochi ed esperti tecnici siano state semplificate e rese usabili in modo davvero notevole. E pericoloso.

Da un lato è normale ed auspicabile che chi a livello professionale verifica l’assenza di punti di entrata nelle reti aziendali miri ad avere strumenti che accelerino l’attività rendendola più efficace; dall’altro però gli stessi strumenti diventano alla portata di aspiranti hacker ed emuli che poco o nulla capiscono di cosa stanno facendo, forti di un paio di tutorial visti e quasi compresi su YouTube.

E ripeto, questo è pericoloso.

Pericoloso per il tessuto di piccole aziende, studi professionali, società di fatto che rappresentano ancora tanto dell’economia nazionale… e che assolutamente non possono permettersi personale IT, tantomeno esperto di sicurezza; quindi non in grado di difendersi da attacchi potenzialmente gravi.

Per una volta non parlo di gruppi cybercriminali che prendono di mira grandi e potenti aziende allo scopo di rubare proprietà intellettuali… ma di chi sta all’esatto opposto: ragazzi, curiosi e spesso incompetenti alla ricerca di sensazioni hacker ai danni di chi non può difendersi.

Mi piacerebbe, insomma, che ci fosse una qualche discriminante che prevenga l’accesso a questi strumenti professionali e potenzialmente letali a chi non ha le competenze minime o il ruolo per utilizzarli. Oppure un sistema che permetta un tracciamento di questi utilizzatori, per minimizzare il rischio di un utilizzo per scopi diversi da quelli per cui questi strumenti sono nati.

Non credo sia utopia… voi che ne pensate?