Aggiornamenti recenti Settembre 20th, 2024 9:00 AM
Dic 09, 2021 Marco Schiaffino In evidenza, News, Scenario, Tecnologia 0
Prima regola: passare inosservati. Per i pirati informatici l’uso di sistemi di offuscamento nella trasmissione dei dati tra i malware e i server Command and Control (C2) che permettono loro di inviare comandi e istruzioni è da sempre una priorità.
Da quando i cyber criminali si sono concentrati sugli attacchi alle aziende, questi sforzi si sono moltiplicati e gli esperti di sicurezza registrano ogni giorno “variazioni sul tema” che puntano ad aggirare controlli e rilevamenti.
Come si spiega in un articolo comparso su Threatpost a firma del CTO di Prevalion Nate Warfield, le nuove strategie adottate dai pirati mirano a utilizzare canali di comunicazione estremamente inusuali e risultano spesso difficili da individuare.
In alcuni casi, i criminali abusano di funzionalità pensate per la sicurezza e la privacy degli utenti, come DNS over HTTPS, normalmente abbreviato con DoH. Si tratta di un sistema che utilizza un algoritmo di crittografia per “nascondere” le richieste DNS e impedire che la navigazione sia tracciata.
Peccato che il protocollo DNS possa essere usato anche per le comunicazioni verso i server C2 e la protezione crittografica DoH sia in grado, da sola, di impedire a molti strumenti di cyber security di ispezionare le comunicazioni e rilevare quelle potenzialmente pericolose.
Un discorso simile vale anche per TOR (The Onion Router), anche se in questo caso il rilevamento di un collegamento diretto alla “rete nascosta” che offre anche l’accesso al famigerato Dark Web è decisamente più agevole.
Più complicato invece individuare le comunicazioni gestite da WebSocket, che di solito vengono implementati sotto forma di API sui Web Server della vittima. Il problema, a differenza di quanto avviene con TOR, è che in questo caso la presenza di un WebSocket non è necessariamente sospetta, anzi: è piuttosto comune in un network aziendale. Individuare quello malevolo diventa molto difficile.
Se i veri mal di testa li provoca uno strumento specializzato come Malleable C2, integrato nel pacchetto di strumenti di pen testing Cobalt Strike, una nota particolare la meritano software che riescono a mimetizzarsi nel traffico grazie al fatto che vengono considerati di uso comune. Quello più gettonato, negli ultimi mesi, è Telegram.
Insomma: il quadro per gli esperti di cyber security si fa sempre più intricato e le soluzioni sempre più complicate.
Lug 04, 2023 0
Feb 16, 2023 0
Gen 11, 2023 0
Ott 27, 2022 0
Set 20, 2024 0
Set 19, 2024 0
Set 18, 2024 0
Set 17, 2024 0
Set 20, 2024 0
Secondo il report del primo trimestre 2024 di Cisco Talos...Set 19, 2024 0
Ora più che mai le aziende si trovano nel mirino dei...Set 18, 2024 0
Negli ultimi tempi gli abusi “transitivi” di...Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...Set 06, 2024 0
Il quishing non è una minaccia nuova, ma negli ultimi...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Set 20, 2024 0
Secondo il report del primo trimestre 2024 di CiscoSet 17, 2024 0
Pochi giorni fa il Port of Seattle, l’agenzia...Set 16, 2024 0
I ricercatori di Doctor Web hanno scoperto Vo1d, unSet 16, 2024 0
Nel corso dell’ultima settimana, il CERT-AGID ha...Set 13, 2024 0
I ricercatori di Aqua Nautilus hanno individuato un nuovo...