~/docs/favicon_Threat-Hunting

Premessa Gli HTTP favicon sono spesso utilizzati da bug bounty hunter e red teamer per individuare servizi fraudolenti. Sebbene l’utilizzo di favicon hash sia comune nella comunità “red”, un numero significativo di blue teamer non li utilizza affatto e questo è un peccato in quanto, tra le loro altre funzioni, possono fornirci un modo semplice … Leggi tutto

~/docs/User-Agent_Hunting

Premessa Lo User-Agent è una riga di testo che un browser o un’applicazione invia a un server web per identificarsi. In genere include il nome e la versione del browser/applicazione, il sistema operativo e la lingua. La struttura è formata da un elenco di parole chiave, con commenti facoltativi, che forniscono ulteriori dettagli. Questi token … Leggi tutto

~/docs/sysdig.howto

Prefazione Oggi vedremo cos’è sysdig, per cosa serve e perché è un alleato fenomenale se ti occupi di amministrazione server e/o di cybersecurity. Prima di addentrarci però nel dettaglio è bene avere ben chiaro un po’ di termini che andremo ad usare. Glossario MOK file I file MOK (Machine Owner Key) sono utilizzati in Linux … Leggi tutto

~/tips/linux_hardening_pt1.sh

Premessa Nel corso del tempo abbiamo parlato tanto di hardening su sistemi Windows Server, un po’ meno di quello su sistemi Linux. Come ben sappiamo il concetto di hardening indica l’insieme di operazioni mirate sulla configurazione di un dato sistema informatico (e dei suoi componenti) che mirano a minimizzare l’impatto di possibili attacchi informatici. Pertanto, … Leggi tutto

~/docs/ldap_enumeration.check

Enumeration Quando si parla di enumerazione (enumeration) si parla di tutte quelle operazioni eseguite sui sistemi atte a restiture informazioni relative al contesto per il quale si sta interrogando. Nel caso specifico di oggi parleremo di enumerazione del servizio LDAP. Event 1644 L’evento in questione registra un log sull’event viewer per ogni ricerca LDAP effettuata … Leggi tutto

~/docs/golden-ticket.krbtgt

Il Golden Ticket in Active Directory, proprio come ne la fabbrica di cioccolato di Willy Wonka, garantisce al portatore un accesso illimitato a tutte le risorse della nostra Active Directory. Un attacco Golden Ticket abusa del protocollo Kerberos il quale usa sistemi per crittografare e firmare i messaggi. Uno di questi è l’hash della password … Leggi tutto

~/docs/stop_DNS-hijacking

Con questo articolo vorrei portare in cattedra qualche piccola tecnica di hardening che personalmente implemento sempre su tutte le infrastrutture che gestisco. Lo scopo è quello di monitorare, gestire, bloccare (o mitigare) tutto il traffico DNS che circola sulla nostra infrastruttura per eliminare (o ridurre) il fenomeno del DNS hijacking. One step backward Ponendo ad … Leggi tutto

VMWare ESXi CVE-2021–21974

Premessa Nel marasma delle (dis)informazioni mediatiche sull’argomento ho notato come spesso si parla del problema e meno spesso di come questo funziona. Con questo articolo andrò, nella maniera più sintetica possibile, ad elencare come questo bug ad oggi viene sfruttato, calandoci il più possibile nelle fasi dell’attacco e quali sono le azioni di remediation che … Leggi tutto

~/blueteam/win_audit_policy.gpo

Prefazione Raccogliere tutti i log necessari per fare auditing su server e workstation Windows è un processo necessario per la gestione di una corretta postura delle nostre infrastrutture e passa da un processo di configurazione mediante le Group Policy (o i criteri di gruppo locali se la macchina non fosse membro di un dominio) andando … Leggi tutto

~/tips/fortigate_feed.ip

In questi giorni ho deciso di implementare delle nuove policy di sicurezza sui firewall che ho in gestione. L’idea di fondo consiste nel creare degli oggetti partendo da dei feed pubblici, utilizzarli in specifiche regole per intercettare eventuale traffico in uscita (ma ovviamente si possono usare anche per il traffico in ingresso) ed infine loggare … Leggi tutto