Articoli

Knock 2.0

Knock è uno strumento sviluppato in Python progettato per enumerare i sottodomini di un dominio attraverso un elenco di parole (wordlist), scritto da Gianni Amato ha recentemente raggiunto la seconda versione.

In questa nuova versione troviamo i seguenti cambiamenti:

    • Riscritto il codice del programma e delle opzioni;
    • Rileva gli ALIAS;
    • Bipassa automaticamente le Wildcard;

Risolve un singolo dominio.

Knock è uno strumento OpenSource che trovate integrato in BackBox oppure potete sfruttarlo nella vostra distribuzione scaricandolo attraverso GitHub.

Se come me utilizzate i DNS di OpenDNS oppure Alice potrete riscontrare dei falsi positivi poiché se un sotto dominio non esiste non viene restituito il classico errore “404 – Not Found” ma si viene dirottati al motore di ricerca di OpenDNS/Google che permette di visualizzare i risultanti più attinenti all’indirizzo richiesto.  Il consiglio è quello di usare i DNS di Google editando il file /etc/resolv.conf come segue:

8.8.8.8
8.8.4.4

😉 buona enumerazione!

wp_waf

Gianni Amato ha recentemente rilasciato la seconda versione di WP WAF, un Web Application Firewall per WordPress semplicemente installabile come plugin esterno.

La nuova release mantiene interamente le feature presenti nella precedente versione e introduce un ulteriore layer di sicurezza agendo direttamente sulle direttive del file .htaccess al fine di risolvere il noto problema del directory listing e mitigare gli attacchi ai plugin vulnerabili.

La configurazione iniziale del file .htaccess verrà salvata nella root con nome original.htaccess e ripristinata automaticamente quando il plugin verrà rimosso.

Per il momento potete installare la nuova versione scaricando il file zip da Github, nei prossimi giorni l’aggiornamento sarà disponibile anche sul repository WordPress.

Eventuali bug potete segnalarli attraverso il sito ufficiale di Gianni Amato.

d3lab_logo

Gianni Amato il prossimo 22, 23 e 24 Maggio 2013 terrà presso il d3Lab un corso di Malware Analysis, esperto di Sicurezza Informatica e Computer Forensics è da tempo impegnato nella divulgazione attraverso il suo blog personale (gianniamato.it), opera sul campo  attraverso la sua azienda SecuritySide, svolgendo test di penetrazione e dando ausilio a forze dell’ordine e magistratura nell’ambito delle indagini forensi. La sua attività di sviluppatore ha fornito alla comunità digitale validissimi strumenti open source quali HashBot (realizzato insieme a Davide Baglieri) e Knock.

Over Security promuove da sempre le attività del d3Lab vista l’amicizia che ci lega a Gianni e a Denis Frati è in grado di offrirvi un prezioso sconto di 100euro sul prezzo proposto, i nostri lettori che vogliono sfruttare questa grande opportunità dovranno indicare il codice sconto: 0v3r5.

Il corso è rivolto ad amministratori di rete, operatori della sicurezza ICT, personale impiegato in infrastrutture a rischio, consulenti tecnici operanti a supporto di legali, Forze di Polizia e Autorità Giudiziaria.
L’obiettivo del corso è finalizzato a trasmettere competenze, metodologie e procedure atte a consentire il riconoscimenti del codice malevolo, valutarne l’impatto sui sistemi, identificare le modifiche ad essi apportate ed a raccogliere indizi utili ad identificare gli autori ed i distributori.

Knock

Con grande stupore noto solo ora di non avervi mai parlato di Knock, chiedo venia. Knock un software sviluppato in Python da Gianni Amato progettato per enumerare i sottodomini di un dominio attraverso una wordlist e di bypassare le Wildcard. Il software è incluso anche nella distribuzione BackBox di Penetration Testing e voglio proporvi una video guida realizzata da SecurityTube dove potrete apprendere al meglio il funzionamento di questo software.

Vi ricordo infine che potete scaricare Knock su sito internet ufficiale, dopo il salto vi attende la video guida!

Continua a leggere

PEFrame l’utility scritta da Gianni Amato in grado di effettuare una analisi statica di un Malware, si aggiorna alla versione 0.4 nella quale viene introdotta la funzione di ricerca all’interno di un malware delle firme che gli consentono di distinguere l’ambiente fisico da quello virtuale, dove solitamente vengono sottoposti per le analisi comportamentali.

Alcuni malware, infatti, quando si trovano in un ambiente virtuale appaiono del tutto innocui agli occhi dell’analista. Diversamente, quando vengono eseguiti su una macchina fisica tirano fuori la vera natura. Un po’ come accade con i malware che utilizzano tecniche di anti debug.

Grazie alle signature di Joxean Kore introdotte in peframe possiamo conoscere già dall’analisi statica l’ambiente virtuale in cui – eventualmente – il malware si rifiuta di lavorare.

Di seguito vi riportiamo tutte le funzioni di PEFrame:

  • Auto Analysis
  • Hash MD5 & SHA1
  • PE file attributes
  • Version info & metadata
  • PE Identifier Signature
  • Anti Virtual Machine
  • Anti Debug
  • Section analyzer
  • Imported DLLs & API functions
  • Search for suspicious API (Anti Debug) & sections
  • Dumping all the information
  • Extract all the string
  • Extract all the url
  • Reverse Hex dump
  • List Entry instances

Potete scaricare PEFrame attraverso Google Code oppure è già disponibile all’interno della distribuzione CAINE per la Digital Forensics.

Negli ultimi giorni mi sono pervenute diverse segnalazione di vulnerabilità individuate in siti internet Italiani appartenenti ad istituzione pubbliche, abbiamo così deciso di riportarvi in un articolo tutti i dettagli che ci sono pervenuti.

Camera di Commercio di Lucca

Il sito internet è vulnerabile ad un attacco di tipo SQL Injection, la vulnerabilità è stata individuata da Ciro Ruti Rutigliano, nel dettaglio è possibile estrarre il contenuto dell’intero Database del sito internet compresi i dati di login di cui vi riportiamo uno stralcio:

adminLucenseSCPA     dd80d38ccd1eaxxxxxxxx     Lucense     SCpA     [email protected]
f.sargenti     ccfa5377765c603xxxxxxxx      Francesca     Sargenti
c.bechelli     79a9b25c3e6179dxxxxxxxx     Chiara     Bechelli
[…]
Bruni     96df57e641f83b8a2e9xxxxxxxx      Alessandra     Clu0088
clu0088     33017c172dfc2e9fd4cxxxxxxxx      Alessandra     Bruni
clu0112     87037a4ff4341ebb58xxxxxxxx      Manuela     Salani
[…]
s.marchetti     6cd7180abb78c1d5cxxxxxxxx      Serena     Marchetti
l.barsanti     229ac71d7e94f8e22xxxxxxxx      Lara     Barsanti
elu0332     5482305e36423d7fxxxxxxxx      Salvatore     Pamela

Copriamo gli Hash a tutela dell’ente ma apprendiamo con molto dispiacere che ancora una volta vengono usate password estremamente semplici e di facilissima rilevazione, inoltre non è stato usato alcun Salt crittografico.

CGIL del Trentino

Anche esso è vulnerabile ad un attacco di tipo SQL Injection, la vulnerabilità è stata individuata sempre da Ciro Ruti Rutigliano e nello screenshot di apertura potete notare che è possibile visualizzare i database ed estrarre informazioni confidenziali.

Gazzetta Ufficiale

Sito internet di notevole importanza anche esso vulnerabile ad attacchi di tipo SQL Injection, la vulnerabilità è stata individuata da Gianni Amato, sul suo blog ufficiale è possibile visionare alcuni screenshot.

BigBang Uniroma 1

Concludo con un Deface compiuto dal Team Gr33nRage ai danni di un sotto-dominio dell’UniRoma 1 dedicato al progetto BigBang.

Personalmente disapprovo qualsiasi opera di Deface, preferisco la linea di informazione adottata da Ciro Ruti e Gianni Amato. Sicuri che le vulnerabilità verranno correte vi terremo sicuramente aggiornati sui futuri sviluppi.

PEFrame è una nuova utility scritta da Gianni Amato in grado di effettuare una analisi statica di un Malware. Il software scritto in python e quindi multi-os offre le seguenti opzioni:

  • Hash MD5 & SHA1
  • PE file attributes
  • Version info & metadata
  • PE Identifier Signature
  • Section analyzer
  • Imported DLLs & API functions
  • Search for suspicious API & sections
  • Dumping all the information
  • Extract all the string
  • Extract all the url
  • Reverse Hex dump
  • List Entry instances

Potete scaricare gratuitamente il software attraverso Google Code.

Il D3Lab propone per il prossimo 6, 7 e 8 Giugno 2012 a Ivrea un corso di 24h sul Malware Analysis tenuto da Gianni Amato esperto di  Sicurezza Informatica e Computer Forensics.

Il corso è rivolto ad amministratori di rete, operatori della sicurezza ICT, personale impiegato in infrastrutture a rischio, consulenti tecnici operanti a supporto di legali, Forze di Polizia e Autorità Giudiziaria con l’obbiettivo di trasmettere competenze, metodologie e procedure atte a consentire il riconoscimenti del codice malevolo, valutarne l’impatto sui sistemi, identificare le modifiche ad essi apportate ed a raccogliere indizi utili ad identificare gli autori ed i distributori.

Programma:
  1. Introduzione al Malware
    Classificazione
    Metodologie di Analisi
    Identificazione e protezione
    Considerazioni legali
  2. Preparazione di un laboratorio di analisi
    Sistemi virtualizzati
    Malware Analysis tool
    Identificazione del malware da Live system
    Identificazione del malware da Dead system
  3. Analisi Statica
    Gli hash DB
    Data di compilazione
    Estrazione delle stringhe
    Packing e metodi di offuscazione
    API e DLL
    Le dipendenze
    Scansioni locali e online
  4. Analisi Dinamica
    Host Integrity Monitor
    Monitoring dei processi
    Monitoring dei file
    Monitoring delle Porte
    Monitoring dei DNS
    Monitoring e Analisi del Registro
    Monitoring e Analisi del Network
  5. Analisi del Codice
    Strumenti per il malware forensics
    Analisi comportamentale di un eseguibile
    Heap Memory Leaks
    Packing e offuscatori
    Unpacking e Decodificatori
    Debug del codice
    Analisi di documenti maliziosi (pdf)
    Malicious browser script: Javascript e VBScript
  6. Tecniche Anti-Malware-Analysis
    Anti-Debug
    Anti-Forensic
    Contromisure

Costo:

800 Euro I.V.A. inclusa

Prerequisiti:
Conoscenza e capacità uso sistemi operativi Ms WIndows e GNU/Linux, il partecipante deve essere dotato di computer portatile per lo svolgimento degli esercizi.

Partecipazione:
A seguito di un Vostro contratto riceverete conferma della disponibilità dei posti che vi saranno riservati previo versamento, a mezzo bonifico bancario,  di un acconto di Euro 100,00, con saldo il primo giorno di corso.

Dove:
Il corso si tiene ad Ivrea presso l’aula della DTC PAL S.r.l. in Via Torino 50.

Iscrizione:

Per qualsiasi informazione potete consultare il sito ufficiale del D3Lab.

Come vi avevo anticipato, oggi si è tenuta a Roma una delle più importanti conferenze gratuita nel settore dell’IT Security la Digiconf (Digital Forensics & Security Conference). I temi trattati variano dalla Sicurezza Informatica alla Computer Forensic, Cybercrime e Cyberwar. Vi è stata partecipazione di relatori importanti quali Nanni Bassetti, Gianni Amato,  Denis Frati,  Mario Pascucci, Avv. Francesco Paolo Micozzi e Giovanni Battista Gallus.

Per chi, come me, non ha potuto partecipare di persona alla conferenza gli autori hanno reso disponibili le Slide delle conferenza scaricabili attraverso i seguenti collegamenti:

  • “Casi reali di workaround e problem solving nelle fasi di acquisizione ed analisi” – Nanni Bassetti (Download)
  • “Se il bit diventa strategia: tra Cybercrime, Cyberwar e Battlefield forensic” – Denis Frati (Download)
  • “Come lacrime nella pioggia: cosa rischia di rimanere delle nostre vite digitali” – Mario Pascucci (Download)
  • “Le nuove frontiere del Cybercrime ” – Gianni Amato (Download)
  • “Ripetibilità vs irripetibilità – accertamenti vs attività tecniche – I recenti arresti giurisprudenziali e dottrinali in materia di acquisizione della prova digitale. Il riesame delle misure ablative.Il sequestro dei siti internet” – Francesco Paolo Micozzi (Download) e Giovanni Battista Gallus (Download)