~/docs/privesc-with-xUIDS

La teoria In Linux tutto è un file, comprese directory e dispositivi. Ogni file ha i permessi per consentire o limitare tre operazioni: lettura/scrittura/esecuzione. Quando si impostano le autorizzazioni per qualsiasi file si deve essere a conoscenza degli utenti a cui si consente (o limita) tutte e tre le autorizzazioni. Ne vien da se che … Leggi tutto

~/docs/follina.docx

Preambolo In questi giorni tutta la community di ricercatori in ambito cyber parla di questa nuova vulnerabilità denominata Follina (CVE-2022-30190). Come è noto a chi è del settore la vulnerabilità sfrutta lo strumento di diagnostica del supporto di Microsoft Windows (MSDT – Microsoft Support Diagnostic Tool) e, per via della sua implementazione, questa può essere … Leggi tutto

~/pills/emotet.md

Disclaimer File ricevuto per posta in data 24/05/2022Analisi effettuata in data 24/05/2022 Pattern Doc 2405.zip > Doc 2405.xls > download DLLs > regsvr32 URLs https://bosny.com/aspnet_client/NGTx1FUzq – ONLINE https://www.berekethaber.com/hatax/c7crGdejW4380ORuxqR – OFFLINE https://bulldogironworksllc.com/temp/BBh5HHpei – ONLINE Out file d97a7ad99d03d6e71460ea1d070aabc6 dxKhiFyiYY.dll NONE 40d36d444e78be05e5aa2d642bea40bf cOdKQViudamr.dll C2 37.44.244.177:8080 – OFFLINE 160.16.143.191:7080 – OFFLINE 165.22.73.229:8080 – ONLINE 196.44.98.190:8080 – ONLINE

~/docs/DNS_amplification.pcap

Disclaimer Questo vuole essere una serie di articoli su un argomento particolarmente articolato che, per non renderlo oltremodo prolisso, vorrei dividere in “puntate”. Questa è la puntata numero uno. Cos’è Quando di parla di DNS amplification si fa riferimento a un attacco di tipo DDoS volumetrico dove un aggressore sfrutta una funzionalità dei resolver DNS … Leggi tutto

~/htb/backdoor.dat

Disclaimer Questo articolo non vuole essere una guida passo passo sulle operazioni da effettuare per terminare con successo la CTF anche se, tuttavia, sarò obbligato a spoilerare certi passaggi fatti. Come ho già scritto in passato Internet è pieno di tutorial, guide e video sicuramente meglio fatti di quanto potrei fare io. Lo scopo di … Leggi tutto

~/tips/powerShell_transcription_log

Disclaimer Questo post è nato dall’ispirazione che mi è venuta dopo la lettura di questo articolo (PowerShell ♥ the Blue Team) e di quest’altro (Hunting for Malicious PowerShell using Script Block Logging) del quale consiglio caldamente la lettura per contestualizzare maggiormente il focus. TL;DR Per abilitare la trascrizione dei comandi powershell aprire la console delle … Leggi tutto

Emotet & Epoch5. Analisi malware

Preambolo La prima versione di Emotet risale al 2014. Il trojan era originariamente progettato come un malware bancario con lo scopo di intrufolarsi nei sistemi della vittima e rubare informazioni sensibili. Emotet ha avuto il suo periodo d’oro fra il 2018 e il 2019 fino all’inizio del 2020 dove, anche grazie a un kill switch … Leggi tutto

~/docs/kill_chain.dat

Il termine kill chain si fa riferimento alla struttura con la quale un attacco informatico viene eseguito. Le fasi sono: Ricognizione / Reconnaissance Armamento / Weaponization Consegna / Delivery Sfruttamento / Exploiting Installazione / Installation Comando e controllo / C2 o C&C Lateral moving & Pivoting Ricognizione Credential Dumping & Privilege Escalation Gaining Access Azione … Leggi tutto

IcedID, analisi di un caso reale

Preludio Tutto parte da un’email di phishing contenente un allegato .zip.La mail riporta i seguenti dati Da: mario.rossi@dominio_conosciuto.com Date: mer 29 dic 2021 alle ore 14:17 Subject: Re: Re: richiesta di quotazione To: destinatario@nomeazienda.com Hello, Important information for you. Please, see the attachment. Password – 4y45h Thanks Best regards Mario Rossi Inviato da Mario Il … Leggi tutto

Qbot: (tentata) analisi di uno sventato attacco

Disclaimer e precisazioni L’analisi è di un caso reale accaduto e non è completa al 100%.Sfortunatamente, come accade spesso in questi casi, il vettore di attacco rimane sconosciuto. Posso tuttavia presumere con un buon grado di certezza che possa essere stato veicolato da una mail di phishing, ma non ho elementi per confermarlo in quanto … Leggi tutto