Yet another security blog
Prefazione In questa analisi esaminerò nel dettaglio tutti i passaggi di un’infezione reale che ho gestito per conto di un cliente. L’attacco ha avuto origine da un’email di phishing inviata da un mittente noto, che faceva riferimento a conversazioni precedenti per conferire credibilità al messaggio. L’email conteneva un link a un file ospitato su MediaFire, … Leggi tutto
Brevissimo aggiornamento: la lista degli IOC è stata aggiornata andando ad aggiungere nuove fonti ai feed! Feed list aggiornata
Prefazione Con il recente aggiornamento dell’home page di lobsec.com, ho introdotto un nuovo servizio pensato per aiutare chiunque voglia migliorare le proprie regole di detection. L’idea alla base è quella di creare oggetti a partire da feed pubblici che metto a disposizione, per poi utilizzarli in regole specifiche con l’obiettivo di intercettare il traffico in … Leggi tutto
Preambolo La sicurezza informatica è diventata una delle priorità principali per le aziende di tutto il mondo, dato l’aumento esponenziale delle minacce online. Tra gli strumenti essenziali per proteggere le reti informatiche, troviamo i sistemi di rilevamento delle intrusioni (IDS, Intrusion Detection System) e i sistemi di prevenzione delle intrusioni (IPS, Intrusion Prevention System). Ma … Leggi tutto
Introduzione La sicurezza dei server Linux è fondamentale per la protezione dei dati e la continuità del business. Auditd rappresenta un potente strumento per aumentare la visibilità e la profondità dei log di sistema, fornendo informazioni dettagliate sulle attività svolte sul server. In questo articolo, esploreremo il funzionamento di auditd e come utilizzarlo per rafforzare … Leggi tutto
Premessa Gli HTTP favicon sono spesso utilizzati da bug bounty hunter e red teamer per individuare servizi fraudolenti. Sebbene l’utilizzo di favicon hash sia comune nella comunità “red”, un numero significativo di blue teamer non li utilizza affatto e questo è un peccato in quanto, tra le loro altre funzioni, possono fornirci un modo semplice … Leggi tutto
Premessa Lo User-Agent è una riga di testo che un browser o un’applicazione invia a un server web per identificarsi. In genere include il nome e la versione del browser/applicazione, il sistema operativo e la lingua. La struttura è formata da un elenco di parole chiave, con commenti facoltativi, che forniscono ulteriori dettagli. Questi token … Leggi tutto
Prefazione Oggi vedremo cos’è sysdig, per cosa serve e perché è un alleato fenomenale se ti occupi di amministrazione server e/o di cybersecurity. Prima di addentrarci però nel dettaglio è bene avere ben chiaro un po’ di termini che andremo ad usare. Glossario MOK file I file MOK (Machine Owner Key) sono utilizzati in Linux … Leggi tutto
Premessa Nel corso del tempo abbiamo parlato tanto di hardening su sistemi Windows Server, un po’ meno di quello su sistemi Linux. Come ben sappiamo il concetto di hardening indica l’insieme di operazioni mirate sulla configurazione di un dato sistema informatico (e dei suoi componenti) che mirano a minimizzare l’impatto di possibili attacchi informatici. Pertanto, … Leggi tutto
Enumeration Quando si parla di enumerazione (enumeration) si parla di tutte quelle operazioni eseguite sui sistemi atte a restiture informazioni relative al contesto per il quale si sta interrogando. Nel caso specifico di oggi parleremo di enumerazione del servizio LDAP. Event 1644 L’evento in questione registra un log sull’event viewer per ogni ricerca LDAP effettuata … Leggi tutto