Yet another security blog
Prefazione In questa analisi esaminerò nel dettaglio tutti i passaggi di un’infezione reale che ho gestito per conto di un cliente. L’attacco ha avuto origine da un’email di phishing inviata da un mittente noto, che faceva riferimento a conversazioni precedenti per conferire credibilità al messaggio. L’email conteneva un link a un file ospitato su MediaFire, … Leggi tutto
Brevissimo aggiornamento: la lista degli IOC è stata aggiornata andando ad aggiungere nuove fonti ai feed! Feed list aggiornata
Prefazione Con il recente aggiornamento dell’home page di lobsec.com, ho introdotto un nuovo servizio pensato per aiutare chiunque voglia migliorare le proprie regole di detection. L’idea alla base è quella di creare oggetti a partire da feed pubblici che metto a disposizione, per poi utilizzarli in regole specifiche con l’obiettivo di intercettare il traffico in … Leggi tutto
Prefazione Il processo LSASS (Local Security Authority Subsystem Service) è un componente fondamentale di Windows in quanto responsabile della gestione delle politiche di sicurezza locali, dell’autenticazione degli utenti e della generazione dei token di accesso. LSASS memorizza e processa informazioni critiche come le credenziali degli utenti (password o hash delle password), i certificati di sicurezza … Leggi tutto
Preambolo La sicurezza informatica è diventata una delle priorità principali per le aziende di tutto il mondo, dato l’aumento esponenziale delle minacce online. Tra gli strumenti essenziali per proteggere le reti informatiche, troviamo i sistemi di rilevamento delle intrusioni (IDS, Intrusion Detection System) e i sistemi di prevenzione delle intrusioni (IPS, Intrusion Prevention System). Ma … Leggi tutto
Introduzione La sicurezza dei server Linux è fondamentale per la protezione dei dati e la continuità del business. Auditd rappresenta un potente strumento per aumentare la visibilità e la profondità dei log di sistema, fornendo informazioni dettagliate sulle attività svolte sul server. In questo articolo, esploreremo il funzionamento di auditd e come utilizzarlo per rafforzare … Leggi tutto
Questo è quanto si legge nelle ultime 24 ore su tutti i siti di informazione Fortinet sta avvisando gli utenti di una nuova e critica vulnerabilità di esecuzione remota di codice (RCE) in FortiOS. Questa vulnerabilità potrebbe già essere sfruttata attivamente. Se sfruttata con successo, l’esecuzione remota di codice può compromettere l’integrità di dati e … Leggi tutto
Preambolo Da qualche giorno a questa parte sto notando un incremento esponenziale da parte di threat actors di sfruttare la vulnerabilità legata a Log4J. Sebbene non vi siano stati impatti ai sistemi è bene ricordare che, un modus operandi dei gruppi criminali, consiste nello scansionare periodicamente le risorse liberamente accessibili su internet, alla ricerca di … Leggi tutto
Prefazione Oggi vedremo cos’è sysdig, per cosa serve e perché è un alleato fenomenale se ti occupi di amministrazione server e/o di cybersecurity. Prima di addentrarci però nel dettaglio è bene avere ben chiaro un po’ di termini che andremo ad usare. Glossario MOK file I file MOK (Machine Owner Key) sono utilizzati in Linux … Leggi tutto
Qualche tempo fa scrissi un articolo su come creare regole per il blocco del traffico sui firewall Fortigate prendendo come sorgente una lista di feed pubblici. Disclaimer Lo script che segue è uno scraper da varie fonti autorevoli e liberamente accessibili tuttavia, per ovvie ragioni, non mi prendo la responsabilità di eventuali falsi positivi che … Leggi tutto