Articoli

The Neo Good Twitter 1

Lunedì 19 Ottobre l’utente @theneogod ha annunciato su Twitter che lui e la sua Crew hanno sottratto attraverso il dump di un dabatase 100 mila carte di credito di utenti Italiani, poche ore dopo un nuovo Tweet annunciava la disponibilità del pacchetto da scaricare attraverso Mega.nz! Il download è protetto da una password resa disponibile solo stamattina, pubblicata sempre tramite il social network. Per chi fosse interessato al download dovrà usare la seguente password: !juiKuTcwzN4sTGG6jdXsLdVFmjRAaKvGfz7EnLErz5k

The Neo God Tweet 2

 

Assieme a Denis Frati del D3Lab ho condotto un’attenta analisi dei database per confermare o meno l’autenticità dei dati, il D3Lab effettua operazioni di contrasto al Phishing e di recupero delle carte di credito sottratte a diversi istituti di credito nostrani per arginare il sempre più crescente fenomeno delle truffe di Ingegneria Sociale basate sul Phishing. Nell’anno incorso, spiega Denis, stimiamo il recupero di circa 7mila carte di credito di utenti caduti nella trappola di Phisher, recuperando le carte di credito in tempi brevi permettiamo all’istituto di credito di bloccare la carta in maniera preventiva e l’utente finale sarà contento di non vedere il proprio plafond azzerato.

Analisi Archivio

L’archivio scaricato da Mega.nz ha le seguenti caratteristiche:

  • Nome file: 53030_db.zip
  • Dimensione: 4,2MB
  • Hash Sha256: 4C4B0E2399F6C91BB6C22B44FA182CEF1902573DF481985E7C5DC0886E5C127A
  • Hash Sha1: 85B1DD39475834C6ED3DDEF384A08AC21CFE8781
  • Hash MD5: 16249270459F2F4A8D1248232EA2F939

L’archivio contiene tre file:

  • readme.txt, creato il 19 Ottobre 2015 alle 14:49
  • 53031_db.sql, creato il 19 Ottobre 2015 alle 13:28
  • 53030_db.sql, creato il 19 Ottobre 2015 alle 12:00

Il file readme.txt specifica che i due database contengono ciascuno 50.000 conti italiani di Visa/Mastercad, per un totale di 100.000 classificati in tabelle:

  • indirizzo_mail
  • password
  • data_scadenza
  • tipocarta
  • ccnumber
  • CVV2
  • telefono
  • browseruseragent

Infine consigliano di utilizzare un Proxy e di non farsi recapitare a casa gli eventuali acquisti.

Analisi dei Database

Aprendo i due database in formato .sql salta subito all’occhio la dichiarazione CREATE TABLE in formato SQL:

CREATE TABLE `53031_db` (
`indirizzo_mail` varchar(100) NOT NULL,
`password` varchar(25) NOT NULL,
`data_scadenza` varchar(10) NOT NULL,
`tipocarta` varchar(10) NOT NULL,
`ccnumber` varchar(16) NOT NULL,
`CVV2` varchar(3) NOT NULL,
`telefono` tinytext NOT NULL,
`browseruseragent` varchar(255) NOT NULL
);

le righe successive invece contengo la dichiarazione INSERT TO seguita dai dati delle “vittime”, ecco un breve estratto:

insert into 53031_db values(‘[email protected]’,’sohRae9ae’,’1/2016′,’Visa’,’4532416359404396′,’872′,’0374 5404526′,’Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36′);
insert into 53031_db values(‘[email protected]’,’Choo6noon’,’2/2019′,’MasterCard’,’5150464089044049′,’994′,’0398 2738251′,’Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.85 Safari/537.36′);
insert into 53031_db values(‘[email protected]’,’imoraed4Ai’,’1/2016′,’MasterCard’,’5532742505727399′,’864′,’0332 4429040′,’Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36′);
insert into 53031_db values(‘[email protected]’,’Aol5yaeh’,’5/2017′,’Visa’,’4716687395227086′,’493′,’0367 5691515′,’Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_5) AppleWebKit/600.8.9 (KHTML, like Gecko) Version/7.1.8 Safari/537.85.17′);
insert into 53031_db values(‘[email protected]’,’cheepieNg3′,’12/2018′,’MasterCard’,’5472781920701052′,’593′,’0352 7178140′,’Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36′);

Gli indirizzi eMail li ho volutamente oscurati parzialmente introducendo le doppie X alla fine del nome e del cognome.

eMail e NickName

Ad un primo sguardo ci accorgiamo subito di un’anomalia, le eMail sembrano create da uno script automatico. Deduciamo questa ipotesi dai seguenti fattori:

  • Tutte le eMail contengono nomi propri di persona e cognomi Italiani;
  • Non vi è alcuna eMail con un NickName (es. papero23, pluto85, kikka78, ecc);
  • Le iniziali dei Nomi e dei Cognomi sono rigorosamente in maiuscolo, in tutti i cento mila records.

Analizzando questi tre punti abbiamo iniziato a storcere il naso e a credere che i dati non siano proprio così reali, ma non ci siamo fermati volevamo essere sicuri della nostra ipotesi.

Abbiamo quindi estratto i provider eMail contenuti nel dump, scoprendo:

  • 1 eMail di: agenzialillo.com
  • 1 eMail di: calzaturerossi.it
  • 1 eMail di: cmsit.com
  • 1 eMail di: deboraprofumi.it
  • 10013 eMail di: fastweb.it
  • 24974 eMail di: gmail.com
  • 9959 eMail di: hotmail.com
  • 5055 eMail di: hotmail.it
  • 1 eMail di: impresaedilecassari.it
  • 10011 eMail di: libero.it
  • 9933 eMail di: live.it
  • 10045 eMail di: outlook.com
  • 9905 eMail di: vodafone.it
  • 10100 eMail di: yhaoo.com

Prima di tutto parliamo dei grandi assenti, è un dump Italiano è difficilmente ci immaginiamo che tra 100mila utenti non ve ne sia almeno uno con una eMail di @virgilio.it o @tiscali.it o la più gettonata @alice.it.

Poi ci casca l’occhio su @yhaoo.com (non lo abbiamo scritto male, nel database ci sono 10100 eMail @yhaoo.com e non @yahoo.com), crediamo fin da subito che ci sia stato un errore di digitazione in fase di generazione dei dati ma per sicurezza simuliamo la creazione di una nuova eMail sul portale di Yahoo.

Registrazione eMail Yahoo

Il sito di Yahoo ci conferma che non è possibile creare una eMail gratuita con il dominio @yhaoo.com, anche simulando la creazione in un’altra lingua diversa dall’Italiana.

Per ultimo voliamo analizzare i 5 domini privati che risultano nel dump con una sola eMail per dominio, “casualmente” i domini risultano disponibili alla registrazione.

Ma giusto per essere stra sicuri che queste eMail siano state generate casualmente decidiamo di scrivere a 10 eMail, per capire se ci ritorna indietro il classico messaggio di User Unknown oppure il recapito va a buon fine. Abbiamo quindi estrapolato casualmente 10 indirizzi dal database e 8 eMail non sono state recapitate per inesistenza dell’account.

Già dall’eMail potevamo dedurre che questo dump non è veritiero, ma abbiamo proseguito.

Password

Un dump che si rispetti deve contenere le password degli utenti, meglio ancora se sono in chiaro proprio come in questo caso. Ma qualcosa non torna…con un semplice grep da linea di comando non abbiamo trovato alcuna password debole/semplice:

  • 0 – password
  • 0 – 123456
  • 0 – 111111
  • 0 – qwerty
  • 0 – 000000
  • 0 – 987654

Che 100mila utenti siano diventati così diligenti da usare password non deboli/semplici ci sembra un miracolo, avranno usato allora nomi comuni? No, il successivo test che abbiamo intrapreso è stato quello di utilizzare un dizionario di parole Italiane più comuni e con grande sorpresa non ne abbiamo trovata nessuna nel campo password. Sì avete capito, non c’è alcuna password che contiene una delle seguenti parole: Andrea, Casa, Anna, Lavoro, Francesca, Denis, Palestra, ecc ecc nessuna!

Infine tutte le password contengono una lettera Maiuscola e un Numero! 100mila utenti un po’ troppo diligenti…

Carte di Credito

In prima battuta abbiamo notato un dettaglio importante, su 100mila carte di credito NESSUNA risulta scaduta! Un archivio così aggiornato, se reale, può solo provenire da un database bancario poiché qualsiasi sito online di eCommerce o sevizi vari avrà in memoria carte di credito scadute di utenti che non comprano beni o servizi da parecchio tempo.

Il passo successivo è stato quello di identificare gli istituti di credito attraverso il BIN (Bank Identification Number) e le prime 6 cifre del PAN (Primary Account Number), ma nel 99% dei casi non siamo riusciti ad associare le carte di credito ad un istituto ben preciso. Abbiamo quindi confrontato i dati delle carte di credito in questione con le carte di credito che il D3Lab ha recuperato in operazioni anti Phishing, ottenendo il seguente grafico.

D3Lab Recupero Carte di Credito

Il grafico evidenzia una eccessiva discrepanza dei dati relativi agli istituti emittenti delle carte dei due campioni.

Ma non ci siamo voluti fermare, abbiamo contattato due nostri partner per effettuare una verifica sui codici PAN delle carte di credito elencate. I numeri delle carte di credito PAN, spiega Denis, sono formalmente validi, rispettano quindi l’algoritmo di Luhn, tuttavia due nostri partner ci hanno confermato che le carte a loro riconducibili attraverso il BIN sono risultate inesistenti.

Numeri Telefono

Per finire abbiamo analizzato i numeri di telefono riportati, in primis non è riportato all’interno del database neanche un numero di cellulare ma soprattutto tutti i numeri fissi appartengo a prefissi telefonici inesistenti.

Conclusioni

Visti tutti i precedenti punti siamo fortemente convinti che questo dump di 100.000 carte di credito sia finto e creato ad-hoc con uno script automatico, non vi è stata alcuna sottrazione di dati reali!

Perché hanno voluto far credere di avere così tante carte di credito? A chi volevano far paura? Cosa si nasconde dietro a questo dump e al profilo di The Neo God con più di 100mila follower?

Queste sono le domande che mi sto facendo da qualche ora e onestamente non riesco a darmi una spiegazione di questa grossa operazione mediatica…falsa!

Ancor prima di pubblicare l’articolo The Neo God ha iniziato a seguirmi su Twitter, sono uno dei pochi fortunati (154 Following su 100.960 Follower)…sarà un caso?! 😀

Schermata 2015-10-20 alle 23.27.09

Phishing-Attack-Launched-from-Android-Market-2

La scorsa settimana i contatti tra il D3Lab e gli istituti di credito hanno permesso il recupero di un complesso sistema di gestione di una Botnet dedicata a carpire le credenziali bancarie degli utenti. Sono stato interpellato durante l’analisi di questo caso con l’incarico di analizzare ogni sfaccettatura dell’attacco, ricevuti i file è stato possibile installarli su una macchina di test che ci permettesse di esaminarne il funzionamento.

Non voglio soffermarmi oltre sugli aspetti tecnici, ma bensì su una tipologia di attacco che i malviventi attuano ai danni degli utenti Android. Trattandosi di un attacco non convenzionale credo che rispecchierà una nuova frontiera per i Phisher ed ho deciso di documentare l’accaduto per sensibilizzare l’attenzione degli utenti.

I malcapitati utenti venivano invitati tramite pagine web dedicate ad hoc o tramite l’invio di SMS ad installare una applicazione dedita alla protezione dei propri dati personali e alla criptazione di essi, ma tale applicazione realmente è stata sviluppata con l’intento di sottrarre le credenziali che gli utenti digitavano sul Browser del proprio Smartphone. Il servizio online AndroTotal ci dimostra come 4 Antivirus su 6 riportano come malevole tale applicativo.

Homepage_Phishing_Android

La precedente immagine, volutamente oscurata in alcune parti, vi riportata l’homepage del pannello online di gestione dei bots Android in cui vengono configurati alcuni servizi fondamentali per il buon esito dell’attacco. Come potrete notare è possibile impostare il servizio Jabber così che l’attaccante possa ricevere istantaneamente la notifica di avvenuta acquisizione di credenziali (username, password e token) e velocemente possa ripetere il login dal suo terminale con un codice token ancora valido. Inoltre è possibile configurare un servizio SMSc per l’invio di SMS, impostare il testo del messaggio di testo e il link per il download dell’applicazione.

Bots_Phishing_Android

L’elenco dei bots/vittime ci riporta le credenziale carpite, l’indirizzo IP, l’eMail, il numero di cellulare e il sistema operativo della vittima oltre alla data di acquisizione delle credenziali.

 

Credenziali_Phishing_Android

Infine per ogni vittima è possibile aprire un pannello dedicato dove poter leggere le credenziali e il sito internet fonte di tali dati.

D3Lab Rapporto Phishing 2013

Denis Frati del D3Lab ha oggi rilasciato il suo rapporto sul mondo del Phishing dello scorso 2013, un ottimo documento realizzato con molta dedizione e la massima volontà di contrastare un fenomeno in continua crescita debito a truffare i navigatori del web! Con grande piacere alcune volte aiuto Denis nell’effettuare analisi sui siti internet compromessi per poter estrarre quanti più dettagli possibili e prevenire futuri attacchi a danno dei clienti del D3Lab, le informazioni raccolte vengono ora pubblicate nelle ventidue pagine del Rapporto D3Lab 2013, documento riassuntivo dell’attività svolta lo scorso anno dall’azienda.

Il documento, pensato per società ed aziende interessate ai servizi proposti da D3Lab e per il law enforcement nazionale, non è disponibile in download ma ne deve essere richiesto via mail aziendale scrivendo a [email protected].

Con molto piacere vi mostro in anteprima alcune pagine del Rapporto per poter rendere partecipi anche i miei lettori nel lavoro che ogni giorno i White Hat effettuato per contrastare l‘abuso dei sistemi informatici!

 Tabnabbing, un caso reale di Phishing

Grazie alla segnalazione di Claudio Rizzo (~Zip~) i primi giorni di Marzo 2014 abbiamo rilevato un particolare attacco di phishing ai danni di Facebook e del portale WhatsApp Hacking, la particolarità di questo attacco è lo sfruttamento della tecnica di Tabnabbing.

Il Tabnabbing è una tecnica di attacco informatico di tipo phishing con un minimo di arguzia in più.
Viene presentato infatti alla vittima un link ad una pagina internet del tutto innocua e con del contenuto interessante. L’utente medio ha ormai l’abitudine di navigare su più tab (schede) all’interno del suo browser e la pagina in questione sfrutta questa abitudine per cambiare d’aspetto nel momento in cui l’utente la lascia aperta per visitare una nuova tab. Il nuovo aspetto rispecchierà in tutto e per tutto quello di una pagina di accesso a dei servizi online in cui vengono chieste username e password (per esempio il sito di posteitaliane, quello di un homebanking oppure la pagina di login di gmail come riportato dal link esterno). La vittima, tornando sulla scheda del sito attaccante, non si ricorderà più che quella deriva da un link non sicuro che ha cliccato, potrà invece pensare che aveva aperto tale pagina senza aver ancora effettuato l’accesso. Ovviamente l’inserimento dei dati in questa pagina verranno inoltrati all’account dell’attaccante e l’utente verrà reinderizzato sul sito reale in modo che non si accorga di essere stato derubato delle credenzialità. {Wikipedia}

Visto il forte interesse a “controllare” le conversazioni altrui di WhatsApp l’utente medio che faceva una ricerca online trovava nei principali risultati il portale “WhatsApp Hacking”, sito ospitato gratuitamente presso un importante provider che offre domini di terzo livello gratuitamente. Il sito in questione è una copia speculare dell’originale http://www.whatsapphack.com ma tradotto in Italiano, il sito civetta era stato costruito per trafugare le credenziali di accesso degli utenti Facebook!

Grazie alla collaborazione del D3Lab siamo riusciti a ricostruire integralmente il portale ed abbiamo riprodotto in locale l’esperienza di navigazione, che vi proponiamo nel seguente video:

Entrando più nello specifico il sito internet era composto da i seguenti file:

  • home.php
  • index.php
  • send.php
  • tabnabbing.js
  • contatti.txt

Il file index.php incorporava questa porzione di codice:

<script language="javascript" src="tabnabbing.js"></script>
<meta charset="UTF-8" />
<title>Whatsapp Hack - Whatsapp Hack Tool</title>

che richiama il file tabnabbing.js che incorpora la seguente porzione di codice:

function createShield(){
div = document.createElement("div");
div.style.position = "fixed";
div.style.top = 0;
div.style.left = 0;
div.style.backgroundColor = "white";
div.style.width = "100%";
div.style.height = "100%";
div.style.textAlign = "center";
document.body.style.overflow = "hidden";

window.location = 'home.php'

var oldTitle = document.title;
var oldFavicon = favicon.get() || "/favicon.ico";

div.appendChild(img);
document.body.appendChild(div);
img.onclick = function(){
div.parentNode.removeChild(div);
document.body.style.overflow = "auto";
setTitle(oldTitle);
favicon.set(oldFavicon)
}

Come è possibile vedere il precedente Java Script crea l’effetto Tabnabbing, una volta che l’utente cambia il focus su un’altra pagina/applicazione automaticamente entra in azione lo script che va a caricare la pagina home.php! Tale pagina emula la pagina di accesso di Facebook con un form che rimanderà al file send.php per il salvataggio delle credenziali:

<form id="login_form" action="send.php" method="post" onsubmit="https://www.facebook.com">

quest’ultimo file send.php contiene invece la seguente porzione di codice che rimanda l’utente sull’autentico portale di Facebook mostrandoli una foto del Concorso Protagoniste della Creatività:

<meta http-equiv="refresh" content="0; url=https://www.facebook.com/photo.php?fbid=539777592726633&set=a.539291452775247.1073741830.539232656114460&type=3&theater">

Il file send.php contiene inoltre lo script di memorizzazione delle credenziali sottratte all’utente, porzione di codice che non riusciamo a mostrarvi perché nidificato all’interno del Hypertext Preprocessor  “<?php” – “?>” ma che abbiamo scoperto salverà le credenziali all’interno del file contatti.txt che al momento della nostra analisi conteneva più di 160 credenziali sottratte come è possibile vedere nel seguente screenshot appositamente oscurato:

Credenziali_Phishing_Web

In conclusione l’utente che cercava online un metodo per leggere le conversazioni di WhatsApp di una terza persona trovava tra i primi risultati di Google il sito internet http://whatsapphack.provider123.com, tale sito era una copia speculare dell’autentico sito www.whatsapphack.com ma tradotto in Italiano e non permetteva il download di alcuna applicazione, ma non appena si cambiava il focus del scheda/pannello del Browser magari per vedere una notifica su Twitter o un altro risultato della ricerca entrava in funzione lo script di Tabnabbing che sostituiva la pagina con un form di autenticazione di Facebook falso debito esclusivamente a sottrarre le credenziali.

Quanto prima provvederò a contattare tutti gli utenti coinvolti e gli avviserò che le loro informazioni sono state trafugate!

Ringrazio Claudio Rizzo per la segnalazione e Denis Frati del D3Lab per il supporto.

d3lab_logo

Gianni Amato il prossimo 22, 23 e 24 Maggio 2013 terrà presso il d3Lab un corso di Malware Analysis, esperto di Sicurezza Informatica e Computer Forensics è da tempo impegnato nella divulgazione attraverso il suo blog personale (gianniamato.it), opera sul campo  attraverso la sua azienda SecuritySide, svolgendo test di penetrazione e dando ausilio a forze dell’ordine e magistratura nell’ambito delle indagini forensi. La sua attività di sviluppatore ha fornito alla comunità digitale validissimi strumenti open source quali HashBot (realizzato insieme a Davide Baglieri) e Knock.

Over Security promuove da sempre le attività del d3Lab vista l’amicizia che ci lega a Gianni e a Denis Frati è in grado di offrirvi un prezioso sconto di 100euro sul prezzo proposto, i nostri lettori che vogliono sfruttare questa grande opportunità dovranno indicare il codice sconto: 0v3r5.

Il corso è rivolto ad amministratori di rete, operatori della sicurezza ICT, personale impiegato in infrastrutture a rischio, consulenti tecnici operanti a supporto di legali, Forze di Polizia e Autorità Giudiziaria.
L’obiettivo del corso è finalizzato a trasmettere competenze, metodologie e procedure atte a consentire il riconoscimenti del codice malevolo, valutarne l’impatto sui sistemi, identificare le modifiche ad essi apportate ed a raccogliere indizi utili ad identificare gli autori ed i distributori.

Continuano gli interessanti corsi in ambito di Sicurezza Informatica offerti dal D3Lab, il nuovo corso di Computer Forensics si terrà ad Ivrea da mercoledì 17 Ottobre a venerdì 19 Ottobre 2012; un mese prima rispetto al corso di Analisi dei siti web compromessi che si terrà da mercoledì 17 Ottobre a venerdì 19 Ottobre 2012.

I partecipanti seguiranno 32 ore di lezione (8.30-12.30 e 14.00-18.00) nell’arco delle quali il docente Antonio Deidda, forte della propria esperienza di Sovrintendente della Polizia Postale, illustrerà le molte tematiche, tecniche e normative, legate ad una disciplina tanto complessa.

D3Lab, conscia delle responsabilità connesse con l’attività di analisi forense, spesso svolta nell’ambito di attività investigative che tante conseguenze possono avere sulla vita delle persone coinvolte, ha scelto di affidarsi ad un docente che, grazie alla propria esperienza investigativa, può avvicinare i partecipanti all’analisi forense non solo dal punto di vista nozionistico, illustrando il funzionamento dei vari strumenti, ma anche illustrando la pianificazione organizzativa dell’attività, mirata all’ottenimento dei risultati richiesti, e le corrette modalità per integrarla proficuamente ed in sinergia Forze dell’Ordine e Magistratura.

Durante il corso verrà illustrato, con prove pratiche, il funzionamento di dispositivi hardware quali i write blocker, i duplicatori, nonché di diversi software di analisi forense, sia open source che commerciali.

I partecipanti al corso fruiranno inoltre di un codice promozione che garantirà uno sconto del 10% sull’acquisto di strumenti hardware e software presso GOV Forensics S.r.l.

Il corso è indirizzato a coloro che già operano all’interno delle Forze dell’Ordine o con esse collaborano quali consulenti tecnici e/o ausiliari di polizia, a legali che vogliano comprendere le modalità con cui tali attività vengono svolte, a personale dei reparti ICT delle aziende pubbliche e private che nell’ambito della propria professione possa essere chiamato ad intervenire per preservare la scena del crimine digitale a tutale degli interessi aziendali, a coloro che desiderano ampliare il proprio bagaglio professionale verso settori lavorativi emergenti.

Il corso è proposto al costo di 990,00 Euro I.V.A. inclusa, per qualsiasi altra informazione potete visitare il sito internet ufficiale.

Dopo il corso tenutosi lo scorso giugno di introduzione all’analisi dei malware, D3Lab si propone per la metà di ottobre (giorni 17, 18 e 19) un corso di introduzione all’analisi dei siti web compromessi.

La compromissione dei siti web è una costante, spesso un anello importante, nella realizzazione di molti crimini digitali. I cyber criminali violano siti web altrui per inserirvi pagine di phishing, sfruttarli per le piattaforme amministrative dei malware, inserire pagine per il download dei malware o trasformarli in veri e propri repository di fake application per i dispositivi mobili.

A fronte di ciò non di rado chi ha sviluppato il sito web, o il personale della società che lo mantiene in hosting, non ha la competenza per intervenire nella determinazioni di come l’incidente informatico è avvenuto. Informazioni importanti possono essere perse o non rilevate e può divenire così impossibile o difficile individuare i responsabili, i mezzi, le vie attraverso cui il crimine si è sviluppato.

Grazie alle competenze di Mario Pascucci, scelto da D3Lab quale docente del corso, i partecipanti al corso familiarizzeranno con i più diffusi cms, comprendendo il funzionamento degli exploit ai quali sono vulnerabili e apprenderanno le metodiche e procedure con le quali esaminare quanto disponibile al fine di individuare tracce relative agli autori del crimine ed a come questo si è realizzato.

Per il programma del corso e maggiori info sul sito ufficiale, il è di 800,00 euro iva inclusa.

Il D3Lab propone per il prossimo 6, 7 e 8 Giugno 2012 a Ivrea un corso di 24h sul Malware Analysis tenuto da Gianni Amato esperto di  Sicurezza Informatica e Computer Forensics.

Il corso è rivolto ad amministratori di rete, operatori della sicurezza ICT, personale impiegato in infrastrutture a rischio, consulenti tecnici operanti a supporto di legali, Forze di Polizia e Autorità Giudiziaria con l’obbiettivo di trasmettere competenze, metodologie e procedure atte a consentire il riconoscimenti del codice malevolo, valutarne l’impatto sui sistemi, identificare le modifiche ad essi apportate ed a raccogliere indizi utili ad identificare gli autori ed i distributori.

Programma:
  1. Introduzione al Malware
    Classificazione
    Metodologie di Analisi
    Identificazione e protezione
    Considerazioni legali
  2. Preparazione di un laboratorio di analisi
    Sistemi virtualizzati
    Malware Analysis tool
    Identificazione del malware da Live system
    Identificazione del malware da Dead system
  3. Analisi Statica
    Gli hash DB
    Data di compilazione
    Estrazione delle stringhe
    Packing e metodi di offuscazione
    API e DLL
    Le dipendenze
    Scansioni locali e online
  4. Analisi Dinamica
    Host Integrity Monitor
    Monitoring dei processi
    Monitoring dei file
    Monitoring delle Porte
    Monitoring dei DNS
    Monitoring e Analisi del Registro
    Monitoring e Analisi del Network
  5. Analisi del Codice
    Strumenti per il malware forensics
    Analisi comportamentale di un eseguibile
    Heap Memory Leaks
    Packing e offuscatori
    Unpacking e Decodificatori
    Debug del codice
    Analisi di documenti maliziosi (pdf)
    Malicious browser script: Javascript e VBScript
  6. Tecniche Anti-Malware-Analysis
    Anti-Debug
    Anti-Forensic
    Contromisure

Costo:

800 Euro I.V.A. inclusa

Prerequisiti:
Conoscenza e capacità uso sistemi operativi Ms WIndows e GNU/Linux, il partecipante deve essere dotato di computer portatile per lo svolgimento degli esercizi.

Partecipazione:
A seguito di un Vostro contratto riceverete conferma della disponibilità dei posti che vi saranno riservati previo versamento, a mezzo bonifico bancario,  di un acconto di Euro 100,00, con saldo il primo giorno di corso.

Dove:
Il corso si tiene ad Ivrea presso l’aula della DTC PAL S.r.l. in Via Torino 50.

Iscrizione:

Per qualsiasi informazione potete consultare il sito ufficiale del D3Lab.