~/docs/stop_DNS-hijacking

Con questo articolo vorrei portare in cattedra qualche piccola tecnica di hardening che personalmente implemento sempre su tutte le infrastrutture che gestisco. Lo scopo è quello di monitorare, gestire, bloccare (o mitigare) tutto il traffico DNS che circola sulla nostra infrastruttura per eliminare (o ridurre) il fenomeno del DNS hijacking. One step backward Ponendo ad … Leggi tutto

Debunk a fake CVE-2023-23415

Qualche giorno fa è apparso sul NIST una “curiosa” vulnerabilità legata ad una presunta Remote Code Execution del protocollo Internet Control Message Protocol (ICMP). Parliamo di presunta in quanto, come si legge dal sito, attualmente “This vulnerability is currently undergoing analysis and not all information is available.”

~/docs/ELK-segmentation.ps

Prima di addentrarci nel dettaglio tecnico è bene avere chiaro in mente cos’è la segmentazione di rete e perché è indispensabile implementarla. La segmentazione della rete è una tecnica di sicurezza che consiste nel dividere una rete in sotto reti più piccole e distinte. Il processo di segmentazione della rete comporta il partizionamento di una … Leggi tutto

~/docs/filebeat_install.ods

Il presente articolo ha come scopo quello di continuare quanto già fatto nel precedente: oggi andremo ad installare filebeat per l’ingestion dei log dai firewall Fortigate. Installazione Come per tutti i pacchetti precedentemente installati, si inizia con l’importazione della chiave dal repository ufficiale di Elastic Successivamente si andrà a creare il file /etc/yum.repos.d/filebeat.repo contenente le … Leggi tutto

~/docs/elk_install.ods

Premessa Per chi mi segue su twitter sa quante volte io abbia scritto che su questo blog non avrei mai pubblicato alcun tutorial. I motivi sono semplici: in rete, con una buona ricerca su Google, si possono trovare fior fiore di documentazione ben scritta su qualsiasi argomento quindi ho sempre trovato inutile dover aggiungere ulteriore … Leggi tutto

~/docs/kerberos.ht

In questi giorni mi sono imbattuto in una discussione con un gruppo di colleghi sul funzionamento di Kerberos per l’autenticazione delle sessioni su Windows. La cosa interessante che ne è venuta fuori è che, sebbene in generale tutti considerano Kerberos più efficace degli altri metodi di autenticazione (a giusta ragione), ben pochi sanno come funziona. … Leggi tutto

~/docs/follina.docx

Preambolo In questi giorni tutta la community di ricercatori in ambito cyber parla di questa nuova vulnerabilità denominata Follina (CVE-2022-30190). Come è noto a chi è del settore la vulnerabilità sfrutta lo strumento di diagnostica del supporto di Microsoft Windows (MSDT – Microsoft Support Diagnostic Tool) e, per via della sua implementazione, questa può essere … Leggi tutto

~/pills/emotet.md

Disclaimer File ricevuto per posta in data 24/05/2022Analisi effettuata in data 24/05/2022 Pattern Doc 2405.zip > Doc 2405.xls > download DLLs > regsvr32 URLs https://bosny.com/aspnet_client/NGTx1FUzq – ONLINE https://www.berekethaber.com/hatax/c7crGdejW4380ORuxqR – OFFLINE https://bulldogironworksllc.com/temp/BBh5HHpei – ONLINE Out file d97a7ad99d03d6e71460ea1d070aabc6 dxKhiFyiYY.dll NONE 40d36d444e78be05e5aa2d642bea40bf cOdKQViudamr.dll C2 37.44.244.177:8080 – OFFLINE 160.16.143.191:7080 – OFFLINE 165.22.73.229:8080 – ONLINE 196.44.98.190:8080 – ONLINE

~/docs/DNS_amplification.pcap

Disclaimer Questo vuole essere una serie di articoli su un argomento particolarmente articolato che, per non renderlo oltremodo prolisso, vorrei dividere in “puntate”. Questa è la puntata numero uno. Cos’è Quando di parla di DNS amplification si fa riferimento a un attacco di tipo DDoS volumetrico dove un aggressore sfrutta una funzionalità dei resolver DNS … Leggi tutto

Emotet & Epoch5. Analisi malware

Preambolo La prima versione di Emotet risale al 2014. Il trojan era originariamente progettato come un malware bancario con lo scopo di intrufolarsi nei sistemi della vittima e rubare informazioni sensibili. Emotet ha avuto il suo periodo d’oro fra il 2018 e il 2019 fino all’inizio del 2020 dove, anche grazie a un kill switch … Leggi tutto