~/blueteam/win_audit_policy.gpo

Prefazione Raccogliere tutti i log necessari per fare auditing su server e workstation Windows è un processo necessario per la gestione di una corretta postura delle nostre infrastrutture e passa da un processo di configurazione mediante le Group Policy (o i criteri di gruppo locali se la macchina non fosse membro di un dominio) andando … Leggi tutto

~/tips/fortigate_feed.ip

In questi giorni ho deciso di implementare delle nuove policy di sicurezza sui firewall che ho in gestione. L’idea di fondo consiste nel creare degli oggetti partendo da dei feed pubblici, utilizzarli in specifiche regole per intercettare eventuale traffico in uscita (ma ovviamente si possono usare anche per il traffico in ingresso) ed infine loggare … Leggi tutto

~/docs/ELK-segmentation.ps

Prima di addentrarci nel dettaglio tecnico è bene avere chiaro in mente cos’è la segmentazione di rete e perché è indispensabile implementarla. La segmentazione della rete è una tecnica di sicurezza che consiste nel dividere una rete in sotto reti più piccole e distinte. Il processo di segmentazione della rete comporta il partizionamento di una … Leggi tutto

~/docs/elk_install.ods

Premessa Per chi mi segue su twitter sa quante volte io abbia scritto che su questo blog non avrei mai pubblicato alcun tutorial. I motivi sono semplici: in rete, con una buona ricerca su Google, si possono trovare fior fiore di documentazione ben scritta su qualsiasi argomento quindi ho sempre trovato inutile dover aggiungere ulteriore … Leggi tutto

~/docs/llmnr_poisoning.pcap

LLMNR sta per Local-Link Multicast Name Resolution, mentre che NBT-NS sta per NetBIOS Name Service.

Questi due protocolli sono di default abilitati su Windows (a partire da Windows Vista) e il loro scopo è quello di intervenire a supporto del sistema operativo quando non è in grado di risolvere un nome host tramite il servizio DNS o via il suo file host locale.

~/docs/windows_logon_type.sam

Cos’è il logon In breve: il logon è un processo per ottenere l’accesso a sistemi locali o remoti utilizzando un set di credenziali valide. Le informazioni sull’utente vengono convalidate dall’autorità di sicurezza locale (LSA) nel caso di un account locale mentre che, nel caso di un account di dominio, il Security Accounts Manager (SAM) sarà … Leggi tutto

~/docs/privesc-with-xUIDS

La teoria In Linux tutto è un file, comprese directory e dispositivi. Ogni file ha i permessi per consentire o limitare tre operazioni: lettura/scrittura/esecuzione. Quando si impostano le autorizzazioni per qualsiasi file si deve essere a conoscenza degli utenti a cui si consente (o limita) tutte e tre le autorizzazioni. Ne vien da se che … Leggi tutto

~/tips/powerShell_transcription_log

Disclaimer Questo post è nato dall’ispirazione che mi è venuta dopo la lettura di questo articolo (PowerShell ♥ the Blue Team) e di quest’altro (Hunting for Malicious PowerShell using Script Block Logging) del quale consiglio caldamente la lettura per contestualizzare maggiormente il focus. TL;DR Per abilitare la trascrizione dei comandi powershell aprire la console delle … Leggi tutto

~/tips/apache_security_n_tips

Oggi parlo di Apache web server. Dopo l’attacco subito a Giugno ho imparato sulla mia pelle che tutto ciò che è esposto su internet deve essere trattato con un occhio di riguardo. Per quanto questa affermazione possa risultare a tutti gli addetti ai lavori scontata mi sono reso conto che i server Apache esposti, sebbene … Leggi tutto

~/tips/4625-logon_failure

Una delle componenti più complesse quando si implementa un SIEM è la gestione dei falsi positivi, specialmente quando questi si celano dietro a meccanismi che si danno per conosciuti come l’autenticazione. Da qualche tempo a questa parte avevo delle segnalazioni di questo tipo A prima vista la gestione errori di Windows server ha segnalato che … Leggi tutto