~/docs/kill_chain.dat

Il termine kill chain si fa riferimento alla struttura con la quale un attacco informatico viene eseguito. Le fasi sono: Ricognizione / Reconnaissance Armamento / Weaponization Consegna / Delivery Sfruttamento / Exploiting Installazione / Installation Comando e controllo / C2 o C&C Lateral moving & Pivoting Ricognizione Credential Dumping & Privilege Escalation Gaining Access Azione … Leggi tutto

IcedID, analisi di un caso reale

Preludio Tutto parte da un’email di phishing contenente un allegato .zip.La mail riporta i seguenti dati Da: mario.rossi@dominio_conosciuto.com Date: mer 29 dic 2021 alle ore 14:17 Subject: Re: Re: richiesta di quotazione To: destinatario@nomeazienda.com Hello, Important information for you. Please, see the attachment. Password – 4y45h Thanks Best regards Mario Rossi Inviato da Mario Il … Leggi tutto

Qbot: (tentata) analisi di uno sventato attacco

Disclaimer e precisazioni L’analisi è di un caso reale accaduto e non è completa al 100%.Sfortunatamente, come accade spesso in questi casi, il vettore di attacco rimane sconosciuto. Posso tuttavia presumere con un buon grado di certezza che possa essere stato veicolato da una mail di phishing, ma non ho elementi per confermarlo in quanto … Leggi tutto

CentOS, who’s next?

Disclaimer Questo è un post off topic. Rispetto al trend del blog, l’intento è quello di raccontare la mia “relazione” con Red Hat e i miei dubbi sul futuro, senza soffermarmi sugli aspetti narrativi o cronologici della faccenda (quelli si possono reperire dalle fonti ufficiali). Tutti i pareri scritti in quest’articolo sono strettamente personali. Back … Leggi tutto

~/tips/apache_security_n_tips

Oggi parlo di Apache web server. Dopo l’attacco subito a Giugno ho imparato sulla mia pelle che tutto ciò che è esposto su internet deve essere trattato con un occhio di riguardo. Per quanto questa affermazione possa risultare a tutti gli addetti ai lavori scontata mi sono reso conto che i server Apache esposti, sebbene … Leggi tutto

~/tips/4625-logon_failure

Una delle componenti più complesse quando si implementa un SIEM è la gestione dei falsi positivi, specialmente quando questi si celano dietro a meccanismi che si danno per conosciuti come l’autenticazione. Da qualche tempo a questa parte avevo delle segnalazioni di questo tipo A prima vista la gestione errori di Windows server ha segnalato che … Leggi tutto

Do I need SSL inspection?

TL;DR – how to Yes, you do. In order to do that you’ve to generate an RSA key with $ openssl genrsa -aes256 -out private-key.pem 2048 and, when prompted, enter a passphrase for encrypting the private key. $ openssl req -new -x509 -days 3650 -extensions v3_ca -key private-key.pem -out certificate.pem and, when prompted, type the … Leggi tutto

Log4Shell

Preambolo In data 10 Dicembre 2021 in Apache Log4j2 è apparsa una vulnerabilità di tipo RCE (Remote Code Execution).Grazie a questa vulnerabilità classificata come 0-day un utente malintenzionato può inviare una richiesta HTTP, modificando opportunamente lo user-agent (AGGIORNAMENTO del 12-12-2021: o qualsiasi altro verbo HTTP) della stessa, al fine di eseguire codice arbitrario caricato su … Leggi tutto

~/docs/SIEM.log

Prefazione SIEM è l’acronimo inglese di Security Information and Event Management ed ha lo scopo di collezionare, analizzare, correlare e visualizzare tutti gli eventi di sistema generati dalle varie piattaforme installate nel nostro parco macchine.Inoltre il SIEM aiuta a chi si occupa di sicurezza a mettere in evidenza gli ambiti nei quali è necessario intervenire … Leggi tutto

Security Posture Assessment

Security architecture reviews are non-disruptive studies that uncover systemic security issues in the assessed environment. They are ideally suited for organizations wanting to maximize their return on any security technology investment by evaluating their needs and validating the security of their existing deployments. The result is an actionable roadmap to help remediate identified security deficiencies. … Leggi tutto