Aggiornamenti recenti Gennaio 26th, 2026 3:15 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- C’è Sandworm dietro l’attacco contro il settore energetico polacco
- Zendesk, sfruttato il sistema di ticketing per una campagna di spam massiva
- Sfruttate 37 vulnerabilità zero-day nel primo giorno di Pwn2Own Automotive
- StackWarp: scoperta una nuova vulnerabilità nei processori AMD
- CERT-AGID 10-16 gennaio: ancora phishing PagoPA e nuovi malware bancari
Pirati sempre più scaltri: ecco le tecniche per collegarsi ai server C2
Per evitare il rilevamento delle connessioni dirette ai server Command and Control i cyber criminali utilizzano stratagemmi sempre più complessi.
Prima regola: passare inosservati. Per i pirati informatici l’uso di sistemi di offuscamento nella trasmissione dei dati tra i malware e i server Command and Control (C2) che permettono loro di inviare comandi e istruzioni è da sempre una priorità.
Da quando i cyber criminali si sono concentrati sugli attacchi alle aziende, questi sforzi si sono moltiplicati e gli esperti di sicurezza registrano ogni giorno “variazioni sul tema” che puntano ad aggirare controlli e rilevamenti.
Come si spiega in un articolo comparso su Threatpost a firma del CTO di Prevalion Nate Warfield, le nuove strategie adottate dai pirati mirano a utilizzare canali di comunicazione estremamente inusuali e risultano spesso difficili da individuare.
In alcuni casi, i criminali abusano di funzionalità pensate per la sicurezza e la privacy degli utenti, come DNS over HTTPS, normalmente abbreviato con DoH. Si tratta di un sistema che utilizza un algoritmo di crittografia per “nascondere” le richieste DNS e impedire che la navigazione sia tracciata.
Peccato che il protocollo DNS possa essere usato anche per le comunicazioni verso i server C2 e la protezione crittografica DoH sia in grado, da sola, di impedire a molti strumenti di cyber security di ispezionare le comunicazioni e rilevare quelle potenzialmente pericolose.
Un discorso simile vale anche per TOR (The Onion Router), anche se in questo caso il rilevamento di un collegamento diretto alla “rete nascosta” che offre anche l’accesso al famigerato Dark Web è decisamente più agevole.
Più complicato invece individuare le comunicazioni gestite da WebSocket, che di solito vengono implementati sotto forma di API sui Web Server della vittima. Il problema, a differenza di quanto avviene con TOR, è che in questo caso la presenza di un WebSocket non è necessariamente sospetta, anzi: è piuttosto comune in un network aziendale. Individuare quello malevolo diventa molto difficile.
Se i veri mal di testa li provoca uno strumento specializzato come Malleable C2, integrato nel pacchetto di strumenti di pen testing Cobalt Strike, una nota particolare la meritano software che riescono a mimetizzarsi nel traffico grazie al fatto che vengono considerati di uso comune. Quello più gettonato, negli ultimi mesi, è Telegram.
Insomma: il quadro per gli esperti di cyber security si fa sempre più intricato e le soluzioni sempre più complicate.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Il 64% delle app di terze parti accede a dati sensibili... Dall’ultima ricerca di Reflectiz, “The State of... -
Microsoft smantella RedVDS, rete globale di... Microsoft ha annunciato di aver smantellato RedVDS, una... -
Allarme password aziendali deboli: più del 40% è... Gli utenti aziendali utilizzano ancora password deboli,... -
Nel 2026 sempre più attacchi autonomi AI-driven e... Il mondo della cybersecurity si appresta a vivere un 2026... -
Kaspersky: così funziona il mercato del lavoro nel dark Il dark web non è più soltanto un luogo di scambio di...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
C’è Sandworm dietro l’attacco contro il... I ricercatori di ESET hanno scoperto che il tentativo di... -
Zendesk, sfruttato il sistema di ticketing per una campagna... Zendesk, nota piattaforma di ticketing, sta venendo... -
Sfruttate 37 vulnerabilità zero-day nel primo giorno di... Dopo l’ultima edizione tenutasi in Irlanda lo scorso... -
StackWarp: scoperta una nuova vulnerabilità nei processori... I ricercatori del CISPA Helmholtz Center for Information... -
CERT-AGID 10-16 gennaio: ancora phishing PagoPA e nuovi... Nel periodo compreso tra il 10 e il 16 gennaio,...
Ransomware: la serie
No posts found.