~/blueteam/win_audit_policy.gpo

Prefazione Raccogliere tutti i log necessari per fare auditing su server e workstation Windows è un processo necessario per la gestione di una corretta postura delle nostre infrastrutture e passa da un processo di configurazione mediante le Group Policy (o i criteri di gruppo locali se la macchina non fosse membro di un dominio) andando … Leggi tutto

~/tips/fortigate_feed.ip

In questi giorni ho deciso di implementare delle nuove policy di sicurezza sui firewall che ho in gestione. L’idea di fondo consiste nel creare degli oggetti partendo da dei feed pubblici, utilizzarli in specifiche regole per intercettare eventuale traffico in uscita (ma ovviamente si possono usare anche per il traffico in ingresso) ed infine loggare … Leggi tutto

~/docs/DNS_amplification.pcap

Disclaimer Questo vuole essere una serie di articoli su un argomento particolarmente articolato che, per non renderlo oltremodo prolisso, vorrei dividere in “puntate”. Questa è la puntata numero uno. Cos’è Quando di parla di DNS amplification si fa riferimento a un attacco di tipo DDoS volumetrico dove un aggressore sfrutta una funzionalità dei resolver DNS … Leggi tutto

~/htb/backdoor.dat

Disclaimer Questo articolo non vuole essere una guida passo passo sulle operazioni da effettuare per terminare con successo la CTF anche se, tuttavia, sarò obbligato a spoilerare certi passaggi fatti. Come ho già scritto in passato Internet è pieno di tutorial, guide e video sicuramente meglio fatti di quanto potrei fare io. Lo scopo di … Leggi tutto

Candidati, colloqui e certificazioni

Nel corso di questi mesi ho fatto una nuova esperienza. Dovendo ampliare il personale del dipartimento IT, sono stato coinvolto direttamente dall’ufficio HR per valutare la preparazione dei candidati che si sarebbero presentati.Le posizioni aperte erano due: una per amministratore di sistema in ambiente Windows Server e una per amministratore di rete. Premetto che non … Leggi tutto

~/docs/kill_chain.dat

Il termine kill chain si fa riferimento alla struttura con la quale un attacco informatico viene eseguito. Le fasi sono: Ricognizione / Reconnaissance Armamento / Weaponization Consegna / Delivery Sfruttamento / Exploiting Installazione / Installation Comando e controllo / C2 o C&C Lateral moving & Pivoting Ricognizione Credential Dumping & Privilege Escalation Gaining Access Azione … Leggi tutto

IcedID, analisi di un caso reale

Preludio Tutto parte da un’email di phishing contenente un allegato .zip.La mail riporta i seguenti dati Da: mario.rossi@dominio_conosciuto.com Date: mer 29 dic 2021 alle ore 14:17 Subject: Re: Re: richiesta di quotazione To: destinatario@nomeazienda.com Hello, Important information for you. Please, see the attachment. Password – 4y45h Thanks Best regards Mario Rossi Inviato da Mario Il … Leggi tutto

Qbot: (tentata) analisi di uno sventato attacco

Disclaimer e precisazioni L’analisi è di un caso reale accaduto e non è completa al 100%.Sfortunatamente, come accade spesso in questi casi, il vettore di attacco rimane sconosciuto. Posso tuttavia presumere con un buon grado di certezza che possa essere stato veicolato da una mail di phishing, ma non ho elementi per confermarlo in quanto … Leggi tutto

~/tips/apache_security_n_tips

Oggi parlo di Apache web server. Dopo l’attacco subito a Giugno ho imparato sulla mia pelle che tutto ciò che è esposto su internet deve essere trattato con un occhio di riguardo. Per quanto questa affermazione possa risultare a tutti gli addetti ai lavori scontata mi sono reso conto che i server Apache esposti, sebbene … Leggi tutto

~/tips/4625-logon_failure

Una delle componenti più complesse quando si implementa un SIEM è la gestione dei falsi positivi, specialmente quando questi si celano dietro a meccanismi che si danno per conosciuti come l’autenticazione. Da qualche tempo a questa parte avevo delle segnalazioni di questo tipo A prima vista la gestione errori di Windows server ha segnalato che … Leggi tutto