Aggiornamenti recenti Ottobre 14th, 2024 2:00 PM
Dic 09, 2021 Marco Schiaffino In evidenza, News, Scenario, Tecnologia 0
Prima regola: passare inosservati. Per i pirati informatici l’uso di sistemi di offuscamento nella trasmissione dei dati tra i malware e i server Command and Control (C2) che permettono loro di inviare comandi e istruzioni è da sempre una priorità.
Da quando i cyber criminali si sono concentrati sugli attacchi alle aziende, questi sforzi si sono moltiplicati e gli esperti di sicurezza registrano ogni giorno “variazioni sul tema” che puntano ad aggirare controlli e rilevamenti.
Come si spiega in un articolo comparso su Threatpost a firma del CTO di Prevalion Nate Warfield, le nuove strategie adottate dai pirati mirano a utilizzare canali di comunicazione estremamente inusuali e risultano spesso difficili da individuare.
In alcuni casi, i criminali abusano di funzionalità pensate per la sicurezza e la privacy degli utenti, come DNS over HTTPS, normalmente abbreviato con DoH. Si tratta di un sistema che utilizza un algoritmo di crittografia per “nascondere” le richieste DNS e impedire che la navigazione sia tracciata.
Peccato che il protocollo DNS possa essere usato anche per le comunicazioni verso i server C2 e la protezione crittografica DoH sia in grado, da sola, di impedire a molti strumenti di cyber security di ispezionare le comunicazioni e rilevare quelle potenzialmente pericolose.
Un discorso simile vale anche per TOR (The Onion Router), anche se in questo caso il rilevamento di un collegamento diretto alla “rete nascosta” che offre anche l’accesso al famigerato Dark Web è decisamente più agevole.
Più complicato invece individuare le comunicazioni gestite da WebSocket, che di solito vengono implementati sotto forma di API sui Web Server della vittima. Il problema, a differenza di quanto avviene con TOR, è che in questo caso la presenza di un WebSocket non è necessariamente sospetta, anzi: è piuttosto comune in un network aziendale. Individuare quello malevolo diventa molto difficile.
Se i veri mal di testa li provoca uno strumento specializzato come Malleable C2, integrato nel pacchetto di strumenti di pen testing Cobalt Strike, una nota particolare la meritano software che riescono a mimetizzarsi nel traffico grazie al fatto che vengono considerati di uso comune. Quello più gettonato, negli ultimi mesi, è Telegram.
Insomma: il quadro per gli esperti di cyber security si fa sempre più intricato e le soluzioni sempre più complicate.
Lug 04, 2023 0
Feb 16, 2023 0
Gen 11, 2023 0
Ott 27, 2022 0
Ott 14, 2024 0
Ott 14, 2024 0
Ott 11, 2024 0
Ott 10, 2024 0
Ott 10, 2024 0
Negli ultimi anni il numero di campagne di business email...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 09, 2024 0
Acronis ha rilasciato il suo report “Acronis...Ott 03, 2024 0
Dopo essere entrata in vigora il 17 gennaio 2023, la NIS2...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Ott 14, 2024 0
Lo scorso mercoledì la CISA (Cybersecurity &...Ott 14, 2024 0
Nell’ultima settimana, il CERT-AGID (Computer...Ott 11, 2024 0
Mercoledì Google ha annunciato Global Signal Exchange,...Ott 10, 2024 0
I ricercatori di Jscrambler hanno individuato peculiare...Ott 10, 2024 0
Negli ultimi anni il numero di campagne di business