Una guida attraverso il labirinto di M365: approfondimenti sulle sfide di sicurezza per gli amministratori IT

Una guida attraverso il labirinto di M365: approfondimenti sulle sfide di sicurezza per gli amministratori IT

Microsoft 365 è uno dei marchi più popolari e affidabili. Microsoft 365 non è solo un software, è la spina dorsale delle operazioni aziendali moderne, con strumenti indispensabili come Outlook, Word, Excel e Teams.

Tuttavia, navigare le complessità dell’amministrazione di M365 può essere impegnativo. È qui che interviene TitanHQ. In questo ebook completo, approfondiamo le sfide affrontate dai professionisti IT nella gestione del proprio ambiente M365 e forniamo orientamenti esperti e strategie provate per superarle.

Che tu sia un MSP esperto, un professionista IT, o stia appena iniziando il tuo percorso con M365, non perdere questa risorsa essenziale.

Questa guida esamina:

– Perché M365 rappresenta una sfida per gli amministratori?
– Complessità della configurazione e scarsa igiene dell’autenticazione.
– Strati di protezione necessari per proteggere gli utenti di M365.
– Come recenti exploit di sicurezza evidenziati dagli utenti di M365 dimostrano l’importanza di proteggere M365.
– Attacchi e vettori che mirano a M365.
– Difesa a strati e M365.

Ottieni la Guida

Far rispettare e segnalare la conformità alla PCI DSS v4 con Rapid7

Far rispettare e segnalare la conformità alla PCI DSS v4 con Rapid7

Il PCI Security Standards Council (PCI SSC) è un forum globale che mette in contatto stakeholders del settore dei pagamenti e dell’elaborazione dei pagamenti per facilitare l’adozione di standard di sicurezza dei dati e risorse pertinenti che consentono pagamenti sicuri in tutto il mondo.

Secondo il sito web del PCI SSC, “gli Standard di Sicurezza PCI sono sviluppati specificamente per proteggere i dati del conto di pagamento durante tutto il ciclo di pagamento e per consentire soluzioni tecnologiche che svalutano questi dati e rimuovono l’incentivo per i criminali di rubarli. Essi includono standard per commercianti, fornitori di servizi e istituti finanziari sulle pratiche di sicurezza, le tecnologie e i processi, e standard per sviluppatori e fornitori per la creazione di prodotti e soluzioni di pagamento sicure.”

Forse lo standard più riconoscibile del PCI, il loro Data Security Standard (PCI DSS), è uno standard globale che fornisce un insieme di requisiti tecnici e operativi progettati per proteggere i dati del conto. A marzo 2022, il PCI SSC ha pubblicato la versione v4.0, che sostituisce la versione v3.2.1. Questa versione aggiornata affronta le minacce e le tecnologie emergenti, consentendo metodi innovativi per combattere le nuove minacce. Questo articolo coprirà le modifiche allo standard apportate con la versione 4.0 insieme a una panoramica generale di come Rapid7 aiuta i team a garantire che le loro applicazioni basate su cloud possano implementare ed far rispettare in modo efficace la conformità.

Cosa c’è di nuovo con la versione 4.0 e perché è importante ora?

Allora, perché stiamo parlando del nuovo standard quasi due anni dopo la sua pubblicazione? Questo perché quando lo standard è stato pubblicato le organizzazioni hanno avuto un periodo di transizione di due anni per adottare la nuova versione e implementare le modifiche richieste dalla v4.0. Durante questo periodo di transizione, alle organizzazioni è stata data la possibilità di valutare la conformità rispetto sia alla PCI DSS v4.0 che alla PCI DSS v3.2.1.

Per coloro che non hanno ancora fatto il salto, il momento è adesso. Questo perché il periodo di transizione è terminato il 31 marzo 2024, momento in cui la versione 3.2.1 è stata ritirata e le organizzazioni che cercano la certificazione PCI DSS dovranno attenersi ai nuovi requisiti e alle migliori pratiche. È importante notare che alcuni requisiti sono stati “datati per il futuro”. Per tali requisiti, alle organizzazioni è stato concesso un altro anno completo, con gli aggiornamenti che devono essere implementati entro il 31 marzo 2025.

Le modifiche sono state guidate dai feedback diretti delle organizzazioni di tutto il settore globale dei pagamenti. Secondo il PCI, più di 200 organizzazioni hanno fornito feedback per garantire che lo standard continui a rispondere al complesso e in continua evoluzione panorama della sicurezza dei pagamenti.

Le principali modifiche per questa versione includono:

Flessibilità nel raggiungere la conformità / Approccio personalizzato

Uno degli obiettivi principali della PCI DSS v4.0 era quello di fornire maggiore flessibilità alle organizzazioni nel raggiungere i propri obiettivi di sicurezza. La PCI DSS v4.0 introduce un nuovo metodo – noto come Approccio Personalizzato – mediante il quale le organizzazioni possono implementare e validare i controlli PCI DSS. In precedenza, le organizzazioni avevano l’opzione di implementare controlli compensativi, tuttavia questi sono applicabili solo quando si verifica una situazione in cui vi è un vincolo – come sistemi o processi legacy – che impedisce di soddisfare un requisito.

La PCI DSS v4.0 fornisce ora alle organizzazioni i mezzi per scegliere di soddisfare un requisito utilizzando altri mezzi rispetto a quelli indicati dal requisito stesso. Il Requisito 12.3.2 e gli Allegati D ed E delineano l’approccio personalizzato e come applicarlo. Per supportare i clienti, il nuovo pacchetto di conformità PCI DSS v4.0 di Rapid7 fornisce un numero maggiore di informazioni rispetto alle versioni precedenti. Ciò dovrebbe portare a una maggiore visibilità e precisione nel processo di scelta di mitigare e gestire i requisiti.

Un approccio mirato alla gestione del rischio

Oltre al concetto di approccio personalizzato, uno degli aggiornamenti più significativi è l’introduzione dell’analisi mirata del rischio (TRA). La TRA consente alle organizzazioni di valutare e rispondere ai rischi nel contesto dell’ambiente operativo specifico di un’organizzazione. Il consiglio PCI ha pubblicato il documento “PCI DSS v4 x: Targeted Risk Analysis Guidance“, che descrive i due tipi di TRA che un’entità può utilizzare per la frequenza di esecuzione di un determinato controllo e il secondo affronta qualsiasi requisito PCI DSS quando un’entità utilizza un approccio personalizzato.

Per assistere nell’interpretazione e nell’ottenimento di una visione consolidata dei rischi per la sicurezza nei loro ambienti cloud, i clienti di Rapid7 possono sfruttare il  Layered Context di InsightCloudSec e la funzione di Risk Score recentemente introdotta. Questa funzione combina una varietà di segnali di rischio, assegnando un punteggio di rischio più alto alle risorse che soffrono di combinazioni tossiche o di più vettori di rischio. Il Risk Score analizza in modo olistico i rischi che si accumulano e aumentano la probabilità o l’impatto di compromissione.

Metodi e procedure di validazione potenziati

La PCI DSS v4.0 ha apportato miglioramenti al documento di autovalutazione (SAQ) e al modello di Report on Compliance (RoC), aumentando l’allineamento tra di essi e le informazioni riassunte in un Attestato di Conformità per supportare le organizzazioni nei loro sforzi di auto-attestazione o di lavoro con valutatori al fine di aumentare trasparenza e dettaglio.

Nuovi Requisiti

La PCI DSS v4.0 ha introdotto una serie di nuovi requisiti per affrontare le minacce emergenti. Con la modernizzazione dei controlli di sicurezza della rete, orientamenti espliciti sulla protezione dei dati del titolare della carta e sulla maturità dei processi, lo standard si concentra sull’istituzione di controlli e governance sostenibili. Anche se ci sono diverse novità – che puoi trovare dettagliate qui nel riassunto delle modifiche – vogliamo evidenziare alcune di particolare importanza:

1. L’autenticazione multifattore è ora richiesta per tutti gli accessi al Cardholder Data Environment (CDE) – req. 8.5.1
2. Crittografia dei dati di autenticazione sensibili (SAD) – req. 3.3.3
3. Nuovi requisiti per le password e aggiornamento dei requisiti specifici per la sicurezza delle password: le password devono ora essere composte da 12 caratteri con caratteri speciali, maiuscole e minuscole – reqs. 8.3.6 e 8.6.3
4. I ruoli e i privilegi di accesso si basano sull’accesso con privilegi minimi (LPA), e i componenti di sistema operano utilizzando il rifiuto per impostazione predefinita – req. 7.2.5
5. Le revisioni dei log degli audit vengono effettuate utilizzando meccanismi automatizzati – req. 10.4.1.1

Questi controlli pongono il controllo degli accessi basato sui ruoli, la gestione delle configurazioni, l’analisi del rischio e il monitoraggio continuo come fondamenti, aiutando le organizzazioni a maturare e a raggiungere i loro obiettivi di sicurezza. Rapid7 può aiutare nell’implementazione e nell’applicazione di questi nuovi controlli, con una serie di soluzioni che offrono supporto correlato alla PCI, tutte aggiornate per allinearsi a questi nuovi requisiti.

Come Rapid7 supporta i clienti nel raggiungere la conformità PCI DSS v4.0

InsightCloudSec consente ai team di sicurezza di stabilire, misurare continuamente e illustrare la conformità rispetto alle politiche organizzative. Questo viene realizzato tramite pacchetti di conformità, che sono insiemi di controlli che possono essere utilizzati per valutare continuamente l’intero ambiente cloud, sia che si tratti di un ambiente cloud singolo o multi-cloud. La piattaforma offre di serie dozzine di pacchetti di conformità, tra cui un pacchetto dedicato per la PCI DSS v4.0.

InsightCloudSec valuta in tempo reale i tuoi ambienti cloud per garantire la conformità ai requisiti e alle migliori pratiche indicate dalla PCI. Consente inoltre ai team di individuare, valutare e agire sulle risorse non conformi quando vengono rilevate configurazioni errate. Se lo desideri, puoi utilizzare l’automazione nativa della piattaforma, senza codice, per risolvere immediatamente il problema non appena viene rilevato, che si tratti di avvisare i proprietari delle risorse interessate, aggiustare direttamente la configurazione o le autorizzazioni, o addirittura eliminare completamente la risorsa non conforme senza alcun intervento umano. Dai un’occhiata alla demo per saperne di più su come InsightCloudSec aiuta a far rispettare in modo continuo e automatico gli standard di sicurezza cloud.

Anche InsightAppSec consente di misurare la conformità ai requisiti della PCI v4.0 per aiutarti a ottenere la conformità PCI. Consente agli utenti di creare un rapporto PCI v4.0 per prepararsi a un audit, una valutazione o un questionario sulla conformità PCI. Il rapporto PCI ti dà la possibilità di individuare potenziali problemi che influenzeranno l’esito di queste attività. In modo cruciale, il rapporto ti consente di agire e risolvere le vulnerabilità critiche su qualsiasi asset che gestisce dati delle carte di pagamento. L’audit di conformità PCI è già pronto e semplice da generare una volta completata una scansione su cui eseguire il rapporto.

InsightAppSec raggiunge questa copertura incrociando e quindi mappando la nostra suite di oltre 100 moduli di attacco ai requisiti della PCI, identificando quali attacchi sono rilevanti per particolari requisiti e quindi tentando di sfruttare la tua applicazione per individuare aree in cui potrebbe essere vulnerabile. Queste vulnerabilità vengono quindi raggruppate nel rapporto PCI 4.0. Questo ti fornisce importanti informazioni sulle vulnerabilità che potresti avere, oltre a consentire la gestione di tali vulnerabilità in un formato semplice.

Per i clienti di InsightVM, un cambiamento importante nella revisione è la necessità di eseguire scansioni interne autenticate per le vulnerabilità per il requisito 11.3.1.2. Le versioni precedenti dello standard consentivano scansioni interne senza l’uso di credenziali, il che non è più sufficiente.

Scopri la pagina del vendor sul nostro sito

Articolo originale

Ottenere la massima sicurezza con gli HSM General purpose.

Ottenere la massima sicurezza con gli HSM General purpose.

La crittografia sta diventando sempre più cruciale nelle infrastrutture e nelle organizzazioni delle varie industrie per numerosi casi d’uso aziendali come i requisiti della Public Key Infrastructure, la generazione, lo stoccaggio e l’elaborazione delle chiavi, i servizi di firma digitale, la sicurezza dei sistemi blockchain, l’autenticazione degli abbonati nelle reti mobili, e così via. Di conseguenza, esistono una serie di nuovi obblighi e responsabilità legati al modo in cui questi segreti vengono elaborati, memorizzati e utilizzati, anche in base a regolamenti specifici del paese.

Gli Hardware Security Modules (HSMs)  non sono solo il metodo più sicuro e consolidato per i casi d’uso crittografici, ma hanno anche soddisfatto nuovi obblighi e responsabilità di mercato per decenni. Gli HSM sono dispositivi fisici che eseguono operazioni crittografiche come la generazione e lo stoccaggio delle chiavi, la gestione delle identità e dei database, lo scambio delle chiavi e la crittografia e decrittografia per garantire la sicurezza dei segreti aziendali.

Ottenere la massima sicurezza con gli HSM General purpose.

Gli HSM General purpose di Utilmaco a sono stati progettati per soddisfare le esigenze e gli standard di una vasta gamma di casi d’uso e segmenti di mercato in modo altamente affidabile e sicuro. Clicca qui per una breve panoramica.

Se vuoi saperne di più sugli HSM General purpose come Root of Trust for Connected Environments, dai un’occhiata qui.

Se vuoi saperne di più sugli HSM General purpose come Root of Trust for the Cloud, dai un’occhiata qui.

Con più di 40 anni di esperienza nella sicurezza basata sull’hardware, Utilmaco ha sviluppato e ottimizzato una famiglia di HSM General Purpose, con modelli che affrontano diversi livelli di prestazioni e sicurezza fisica per casi d’uso in imprese, governo, amministrazione pubblica e grandi infrastrutture. Gli HSM soddisfano vari obblighi di conformità e regolamentazioni come

  • eIDAS
  • VS-NfD
  • FIPS
  • GDPR

Articolo originale

Scopri la pagina di Utimaco sul nostro sito.

Come la telemetria del Darknet supporta l’implementazione di Continuous Zero Trust

Come la telemetria del Darknet supporta l’implementazione di Continuous Zero Trust

La maggior parte dei professionisti della sicurezza ha già una comprensione generale dei concetti di Zero Trust, e molte organizzazioni hanno già compiuto passi significativi per implementare pratiche di base di Zero Trust. Spesso, questi primi passi includono l’implementazione di sistemi standard di Identity Access Management (IAM) e l’avvio dell’implementazione di segmentazioni di rete e microsegmentazioni. Tali implementazioni forniscono i primi elementi fondamentali per un programma complessivo robusto.

Purtroppo, le organizzazioni spesso compiono questi primi passi e poi perdono di vista l’obiettivo prima di raggiungere il livello di un’implementazione continua di Zero Trust. Le implementazioni che testano solo la validità degli utenti e dei dispositivi quando accedono inizialmente alla rete, infatti, lasciano le loro organizzazioni aperte a rischi significativi mentre le minacce evolvono e cambiano.

Per raggiungere un’implementazione sufficiente di Zero Trust, è fondamentale valutare continuamente ogni utente e dispositivo, prendendo in considerazione l’intera portata delle informazioni sull’identità, sul dispositivo e sull’accesso che i criminali hanno a disposizione.

In questo articolo, affronteremo:
– Perché hai bisogno di Continuous Zero Trust
– Come definire profili di identità digitale espansi nel tuo modello di Zero Trust
– Proteggere applicazioni e reti dal dirottamento di sessione
– Continuous Zero Trust con telemetria del darknet aiuta a soddisfare i requisiti di conformità

Perché hai bisogno di Continuous Zero Trust

Da SpyCloud, siamo convinti sostenitori del Continuous Zero Trust perché la natura del paesaggio delle minacce moderne lo rende necessario: i criminali informatici lavorano costantemente per infiltrarsi o aggirare le nostre barriere di sicurezza, e dobbiamo adattare i nostri controlli di conseguenza mentre gli avversari modificano le loro tattiche di attacco (TTPs). Per fare ciò in modo efficace, è necessario monitorare e risolvere continuamente le esposizioni dell’identità dei dipendenti che possono aggirare i tuoi sistemi di autenticazione, come MFA e SSO.

Per proteggere adeguatamente il tuo ambiente e aderire ai principi del Zero Trust, devi valutare costantemente se il rischio per uno qualsiasi dei tuoi utenti e dispositivi è aumentato. Ci sono molti input disponibili per supportare questa valutazione, tra cui dettagli come lo stato di un utente all’interno dell’azienda, il loro rispetto dei protocolli di igiene della sicurezza o addirittura la loro posizione geografica attuale. Detto questo, l’input più potente è rappresentato dai dati che i criminali hanno raccolto sui tuoi utenti e sistemi.

Se la tua implementazione di Zero Trust non tiene conto degli input, inclusa la telemetria del darknet, allora non hai fornito una protezione adeguata per la tua azienda.

Come definire profili di identità digitale espansi nel tuo modello di Zero Trust

La maggior parte delle aziende definisce le proprie identità mappando un utente all’interno del proprio sistema di gestione delle identità, come Active Directory. Sebbene ciò crei le basi per l’autenticazione e l’autorizzazione di un utente, può essere limitante se la tua definizione di identità non include una visione sufficientemente ampia della loro identità digitale.

Con l’aggiunta della telemetria sul crimine informatico di SpyCloud al motore delle policy del tuo Zero Trust, puoi ampliare l’identità digitale di ogni utente includendo attributi prelevati da violazioni di terze parti e infezioni da malware, le stesse fonti che gli attori minacciosi utilizzerebbero per mirare a un’identità digitale specifica.

Creare una policy dinamica che risponda a questo profilo di identità digitale espansa è fondamentale per applicare il giusto livello di autorizzazione a ciascuno dei tuoi utenti.

Proteggere applicazioni e reti dal dirottamento di sessione

Nella tua implementazione di Zero Trust, è importante riconoscere che gli attori minacciosi hanno aggiunto un nuovo vettore di attacco alle proprie capacità che consente loro di accedere alle tue applicazioni e reti: dirottare le sessioni autenticate.

Se un attore riesce ad accedere ai cookie di sessione attivi, può prendere il controllo delle sessioni degli utenti dopo che sono stati autenticati, aggirando completamente l’MFA e le implementazioni delle chiavi di accesso. Le implementazioni di Continuous Zero Trust devono anche considerare se il mondo criminale abbia ottenuto accesso ai cookie che potrebbero essere utilizzati per emulare un utente autenticato.

A conferma di ciò, SpyCloud ha recuperato più di 20 miliardi di record di cookie nel solo 2023, con una media di circa 2.000 per dispositivo infetto da malware. Ciò indica che gli attori malintenzionati vedono il valore nel sfruttare i cookie di sessione per il furto di account di nuova generazione, e ci aspettiamo che questo metodo aumenti.

Ecco alcuni esempi recenti del mondo reale di dirottamento di sessioni che sono iniziati con un cookie rubato attivo, dando agli attori malintenzionati accesso agli ambienti aziendali e aumentando i privilegi per lanciare attacchi su vasta scala:

1. Un dipendente di una grande azienda ha sincronizzato il suo profilo Chrome aziendale e personale. Quando l’identità del dipendente è stata compromessa, il cattivo attore è riuscito ad accedere all’account di assistenza clienti del dipendente, a trovare token di sessione per accessi amministrativi e a dirottare diverse sessioni clienti.

2. Un ladro di informazioni ha bypassato il software antivirus e ha rubato con successo un valido cookie di sessione 2FA SSO dal laptop di un dipendente. Un cattivo attore lo ha poi utilizzato per impersonare il dipendente, generare token di accesso alla produzione e rubare dati sensibili.

3. I criminali informatici hanno pagato solo dieci dollari per cookie rubati su Genesis per accedere alle istanze aziendali di Slack e poi hanno ingegnerizzato socialmente nuovi token MFA dall’IT per ottenere accesso alla rete interna dell’azienda.

Poiché gli avversari aggirano le misure di sicurezza tradizionali per impersonare o assumere un’identità valida all’interno della rete, questo conferma la necessità che i team di sicurezza abbiano evidenze definitive di compromissione su cui agire prima che i criminali possano sfruttare le stesse informazioni rubate per compiere attacchi.

Il Continuous Zero Trust aiuta a soddisfare i requisiti di conformità

La telemetria del darknet, fornita da SpyCloud in modo dettagliato e pertinente, fornisce input critici per l’implementazione del tuo Continous Zero Trust. Il tuo motore delle policy è efficace quanto i dati che riceve e con la crescente minaccia del dirottamento di sessioni, significa alimentarlo con informazioni avanzate sulle violazioni e sui malware per prevenire gli attacchi basati sull’identità.

SpyCloud potenzia i tuoi team di sicurezza e identità con un monitoraggio continuo dell’esposizione dell’identità in modo che possano individuare i rischi con le esposizioni conosciute, informare il tuo motore delle policy e bloccare l’accesso con una remediation automatizzata.

La lezione da ricordare

Ci sono molti elementi nel puzzle dello Zero Trust, quindi ricorda: lo Zero Trust è un percorso, non una destinazione finale. Ma aiuterai in modo significativo la tua organizzazione sfruttando la telemetria del darknet per garantire il successo del tuo programma. È una necessità in un mondo in cui i criminali informatici hanno un accesso sempre maggiore a vaste quantità di dati di autenticazione rubati.

Articolo originale

Scopri come funziona e visita la pagina del vendor sul nostro sito

3 nuovi infostealer da tenere d’occhio quest’anno

3 nuovi infostealer da tenere d’occhio quest’anno

Gli Infostealers non sono un argomento nuovo per noi sul nostro blog. In passato, abbiamo affrontato il modo in cui gli attori li utilizzano per rubare informazioni sensibili e come sia sempre più facile per i criminali sfruttare quei dati rubati per creare caos sia per individui che per aziende. Ultimamente, abbiamo anche trattato alcuni dei servizi di abilitazione utilizzati in concomitanza con gli infostealer, come gli install brokers, per diffondere malware su larga scala.

SpyCloud Labs monitora da vicino lo spazio del malware infostealer perché è stato un fattore in crescita nella criminalità informatica dall’adozione diffusa del malware come servizio (MaaS) nel 2018 e nel 2019, che è esploso nell’uso durante la pandemia. Le nostre ultime ricerche evidenziano questa crescita: in media, ogni utente internet ha circa il 20% di probabilità di essere già stato vittima di un’infezione da infostealer. Inoltre, gli infostealer recenti presentano più funzionalità rispetto ai loro predecessori, inclusa la capacità di sconfiggere o aggirare l’autenticazione multi-fattore (MFA), rubare i file degli utenti e catturare informazioni finanziarie.

A tal fine, abbiamo aggiunto tre nuove famiglie di infostealer per Windows al nostro repository di dati recuperati nei mesi scorsi:

– Xehook Stealer
– Meduza Stealer
– Elusive Stealer

Ecco cosa dovresti sapere su ognuno di essi.

Xehook

Il  Xehook Stealer è una minaccia emergente che mira alle informazioni finanziarie, concentrato nel rubare le credenziali bancarie, le chiavi private delle criptovalute e altre informazioni personali. Xehook condivide parte della sua base di codice con il MaaS open-source Cinoshi, e altri ricercatori hanno ipotizzato che possa essere gestito dallo stesso team dietro l’Agniane Stealer. Essendo un nuovo infostealer scoperto nel gennaio 2024, Xehook potrebbe beneficiare della mancanza di capacità di rilevamento, consentendogli di eludere i software anti-malware.

Xehook è notevolmente più economico rispetto a molti dei suoi concorrenti, pubblicizzando una tariffa mensile di soli $50 rispetto ai concorrenti che addebitano più di $150 o $200 per una sottoscrizione mensile.

Introdotto per la prima volta dallo sviluppatore di LummaC2, Xehook afferma di essere dotato della capacità di rigenerare i cookie di autenticazione di Google e supporta altre funzioni comuni, inclusi il completamento automatico e il furto di carte di credito salvate. SpyCloud Labs ha osservato che Xehook viene distribuito in piccole ma costanti quantità attraverso i broker di installazione.

Meduza

Con la crescente popolarità del gioco online, i criminali informatici hanno trovato una nicchia redditizia da sfruttare. Il Meduza Stealer è un altro nuovo infostealer che è stato osservato dai laboratori SpyCloud mentre mirava alle piattaforme di gioco online. Meduza è emerso sulla scena nell’estate del 2023 con diverse campagne che sfruttavano esche legate al gioco, catturando le credenziali di accesso e gli acquisti in-game, che vengono poi venduti sul dark web.

Sulla base dell’analisi dei recenti log effettuata dai laboratori SpyCloud, sembra che Meduza venga comunemente distribuito attraverso cheat, skin online e versioni crackate di giochi popolari come Counter Strike 2 e Fortnite. I canali di distribuzione ufficiali di Meduza sono attivamente mantenuti, con diversi aggiornamenti recenti al malware rilasciati nelle ultime settimane. Questo potrebbe suggerire una vita più lunga per Meduza rispetto ad altri infostealer, poiché il malware che riceve aggiornamenti frequenti tende ad essere preferito dai criminali in quanto è più probabile che si mantenga al passo con le nuove tecniche.

Meduza viene venduto tramite Telegram così come diversi forum hacker di lingua russa come XSS ed Exploit, e offre piani che vanno dai $199 per una sottoscrizione mensile ai $1,199 per l’accesso a vita, al momento della stesura di questo testo.

Elusive

Fedele al suo nome, l’ Elusive Stealer è una minaccia silenziosa che si è dimostrata difficile da individuare e mitigare. Questo infostealer utilizza tecniche avanzate di crittografia per proteggere le sue attività, rendendo difficile per le misure di sicurezza tradizionali individuarlo.

Da notare, Elusive include anche funzioni per rubare foto da un dispositivo infetto, una scelta insolita per uno stealer a causa delle dimensioni delle foto e della mancanza di informazioni facilmente monetizzabili contenute al loro interno. A parte la novità, gli infostealer che mirano alle foto di un utente presentano un rischio aggiuntivo di esposizione per la vittima, dato il carattere spesso personale delle foto salvate sul dispositivo dell’utente.

Dei tre, Elusive è lo stealer nuovo meno attivo rilevato dai laboratori SpyCloud, ed è ancora da vedere se Elusive guadagnerà terreno nella comunità MaaS o si spegnerà come decine di altri stealers di breve durata, come 420Stealer, Collector Project o Coronarecovery.

Riduci il rischio con queste contromisure contro il malware infostealer

Poiché gli infostealer continuano a evolversi e rappresentano rischi significativi, è fondamentale rafforzare le misure di sicurezza informatica che hai in atto per proteggere i dispositivi, le identità digitali e le informazioni sensibili. Ecco alcune contromisure che consigliamo di implementare per prevenire e rimediare alle esposizioni al malware, che proteggeranno la tua organizzazione da attacchi successivi come l’hijacking delle sessioni e il ransomware:

1. Implementa un buon programma antivirus.
2. Applica l’autenticazione avanzata tramite MFA e passkeys.
3. Implementa politiche di scadenza e invalidazione dei cookie.
4. Assicurati di avere un controllo completo sui tuoi dispositivi e reti, inclusa una rigorosa politica di bring-your-own-device (BYOD).
5. Monitora continuamente le esposizioni al malware nel mondo criminale sotterraneo
6. Quando viene rilevata un’esposizione al malware, assicurati di isolare, immagazzinare e formattare il dispositivo, se accessibile, e:
– Reimposta le password e gli username per le applicazioni interessate.
– Invalida le sessioni web dell’utente per prevenire l’hijacking delle sessioni.
– Rivedi tutti i log di attività e accesso dell’utente all’interno delle applicazioni interessate per confermare che l’attività rilevata provenga dalle gamme di indirizzi IP e dalle geografie attese e che tutti i comportamenti corrispondano al profilo previsto dell’utente.

SpyCloud Labs tiene stretto il polso sul mondo criminale e aggiunge nuove famiglie di malware man mano che emergono.

Articolo originale

Richiedi una demo

Annuncio dell’Integrazione dell’IA in Echosec: rendere più rapida l’individuazione di informazioni utili.

Annuncio dell’Integrazione dell’IA in Echosec: rendere più rapida l’individuazione di informazioni utili.

Flashpoint è lieta di annunciare importanti miglioramenti a Echosec, la nostra capacità di intelligence open source geospaziale. Abbiamo integrato un’IA potente nei flussi di lavoro chiave degli analisti, consentendo agli utenti di individuare rapidamente informazioni rilevanti!

Continua a leggere per comprendere le sfide che abbiamo individuato, la promessa dell’IA di risolverle e le specifiche nuove capacità che abbiamo lanciato per aiutare i nostri clienti a elaborare e comprendere le informazioni più rapidamente, al fine di proteggere persone, luoghi e beni.

La sfida dei dati

Con oltre cinque miliardi di utenti di social media che generano contenuti ogni giorno, raccogliere informazioni di intelligence open source è un processo lungo e faticoso che richiede una considerevole forza lavoro umana per essere fatto correttamente. Gli attori minacciosi sono ovunque, comunicano su vari canali online e creano enormi volumi di dati. Anche se ogni pezzo di informazione disponibile pubblicamente è in grado di avere un valore incredibile, è semplicemente impossibile per gli analisti di intelligence catturare tutto.

Anche se ogni organizzazione è unica, gli analisti di intelligence in tutto il mondo si trovano ad affrontare le stesse sfide:

  • Essere sopraffatti dal volume esorbitante di informazioni disponibili pubblicamente
  • Faticare a valutare situazioni quando ci sono migliaia di risultati da esaminare
  • Trovare risposte con i dati rapidamente per far progredire le indagini
  • Creare valutazioni delle minacce tempestive e accurate

Le organizzazioni di sicurezza hanno bisogno di accedere e analizzare i dati open source per generare informazioni utili che permettano loro di proteggere le persone, i luoghi e i beni. Sfogliare grandi quantità di informazioni rende difficile fare ciò in modo tempestivo in un mondo in cui ogni secondo conta. L’IA è un moltiplicatore di forza per i team in praticamente ogni settore, e la sicurezza non fa eccezione.

“L’IA non è solo una parola di moda per noi, è uno strumento utilizzato per generare impatti su una scala mai vista prima. Con strumenti come la nostra raccomandazione dei termini di ricerca, puoi rapidamente trovare posizioni e parole chiave affini rilevanti per la tua indagine. Sviluppare un quadro completo di un evento in corso è semplice, permettendoti di concentrarti sugli aspetti della tua missione che contano di più.”

Zachary O’Dell, Product Manager di Echosec

L’IA è chiaramente una forza in più per i team della sicurezza.

Le più recenti migliorie di IA in Echosec mirano a ottimizzare l’efficienza temporale per gli utenti elaborando e comprendendo rapidamente enormi quantità di informazioni, integrandosi senza soluzione di continuità nei flussi di lavoro degli analisti. Queste capacità consentono agli utenti di riassumere i risultati, analizzare il sentiment e generare raccomandazioni di termini di ricerca in pochi secondi. Le organizzazioni trarranno significativi spunti, filtrando informazioni estranee e portando le intuizioni critiche in primo piano.

Come gli analisti possono utilizzare le più recenti migliorie di IA:

  • Sfruttare i riassunti come punti dati aggiuntivi insieme a una revisione manuale dei risultati
  • Vedere istantaneamente il sentiment positivo e negativo correlato a una posizione, persona, argomento o altra query
  • Confrontare i risultati attraverso vari periodi temporali per vedere come il sentiment è cambiato nel tempo
  • Passare senza soluzione di continuità a ricerche correlate utilizzando le raccomandazioni di ricerca

Esempio
Un utente ha cercato di approfondire l’aumento recente dei furti di auto negli Stati Uniti legati a Hyundai e Kia. L’utente ha eseguito una ricerca in Echosec con la query: (Hyundai AND furto) OR (Kia AND furto).

Dopo aver restituito circa 1700 risultati da social media e app di messaggistica, l’utente ha scelto di analizzare i risultati con la funzione integrata di IA.

Il riassunto dell’IA ha fornito all’utente una visione più completa della situazione, apprendendo le cause, le implicazioni e le azioni intraprese dai marchi automobilistici per riparare le loro reputazioni.

L’utente ha poi utilizzato le raccomandazioni di ricerca generate dall’IA per cambiare la loro ricerca cliccando sul termine “querela Hyundai”. Dopo aver analizzato i risultati conseguenti, l’utente ha appreso rapidamente le numerose cause collettive contro l’azienda che accusavano problemi di motore, problemi di consumo di olio e difetti di sicurezza che hanno portato ad un aumento dei furti di veicoli.

Grazie all’integrazione dell’IA, l’analista è stato in grado di elaborare migliaia di risultati per estrarre spunti chiave e migliorare i propri termini di ricerca in pochi secondi.

“La tempistica è tutto quando si tratta di intelligence, ecco perché sono così entusiasta delle potenzialità che l’IA può offrire. Con i nostri flussi di lavoro integrati, puoi riassumere e rivedere ampie porzioni di dati in una frazione del tempo che normalmente richiederebbe. Comprendere la situazione a un livello elevato, esaminare il sentiment sottostante e arrivare a ciò che conta di più non è mai stato così facile.”

Zachary O’Dell, Product Manager di Echosec

Efficienza operativa e riduzione del rischio

La profonda integrazione dell’IA nelle soluzioni di Flashpoint mira a potenziare significativamente la sicurezza fornendo agli analisti e ai praticanti della sicurezza una comprensione completa e tempestiva del panorama delle minacce. Sfruttando le capacità di elaborazione rapida dell’IA, riduciamo i ritardi nell’identificare e rispondere alle minacce alla sicurezza, consentendo investigazioni più efficienti e una mitigazione proattiva del rischio. Questo approccio non solo rafforza la consapevolezza della situazione, ma permette anche ai professionisti della sicurezza di concentrarsi sulla presa di decisioni strategiche, riducendo in definitiva il rischio complessivo.

L’obiettivo desiderato è un quadro di sicurezza che vada oltre le misure reattive, offrendo un utilizzo efficiente delle risorse per rimanere efficacemente un passo avanti agli avversari. Attraverso la sinergia tra intelligence sulle minacce e IA, le organizzazioni possono anticipare e affrontare le minacce potenziali, favorire la resilienza e garantire la sicurezza di individui, comunità, beni e infrastrutture critiche.

Articolo originale

Ottieni una demo

5 motivi per controllare il codice per vulnerabilità prima della spedizione

5 motivi per controllare il codice per vulnerabilità prima della spedizione

Le vulnerabilità del codice sono tra le principali cause di violazioni dei dati e della sicurezza, insieme agli errori umani. Ciò avviene perché, all’inizio dello sviluppo del software, gli sviluppatori spesso si concentrano più sulla funzionalità e sulla velocità di sviluppo piuttosto che sul controllo del codice per individuare vulnerabilità. È una corsa contro il tempo in un ambiente altamente competitivo, dove ogni ritardo comporta opportunità o quota di mercato perse.

Di conseguenza, le vulnerabilità possono insinuarsi nel codice inosservate, lasciando il software suscettibile di essere sfruttato o hackerato. Queste vulnerabilità possono variare da semplici errori di codifica a complessi difetti architetturali. Indipendentemente dalla dimensione delle vulnerabilità, l’impatto sulla sicurezza e sull’integrità dei dati può essere significativo.

Ecco i cinque principali motivi per cui gli sviluppatori devono controllare il codice per individuare vulnerabilità e dare priorità alla sicurezza prima di distribuire i loro prodotti software.

1. Prevenire violazioni dei dati e incidenti di sicurezza

Il motivo più ovvio per cui gli sviluppatori dovrebbero controllare le vulnerabilità è quello di prevenire violazioni dei dati e incidenti di sicurezza. Gli attori minacciosi sono sempre alla ricerca di punti vulnerabili nei sistemi software che possono sfruttare per ottenere accesso non autorizzato a dati sensibili o causare incidenti di sicurezza. Se pensi di rilasciare un’applicazione nel mondo e farla passare semplicemente sotto il radar degli attaccanti, ripensaci.

Nel 2023, abbiamo assistito a un aumento delle violazioni dei dati e degli incidenti di sicurezza, con aziende come MOVEit, GoAnywhere e Shields Healthcare Group vittime di attacchi informatici a causa di vulnerabilità non corrette. Questi incidenti non solo hanno causato alle aziende danni economici per milioni di dollari e opportunità commerciali perse, ma hanno anche danneggiato la loro reputazione e la fiducia tra i clienti.

Questi esempi evidenziano l’importanza di controllare il codice per individuare vulnerabilità prima della distribuzione e prevenire che tali incidenti si verifichino.

2. Tutti fanno errori

Anche con così tanti sviluppi e molte innovazioni degli ultimi anni, una parte significativa dello sviluppo del software ancora coinvolge la codifica manuale. Anche se l’automazione e gli strumenti hanno reso lo sviluppo più veloce ed efficiente, le possibilità di errore umano sono ancora alte. Questo è particolarmente vero quando gli sviluppatori sono sotto pressione per consegnare un prodotto in un breve periodo. E come dice il proverbio, “Errare è umano”.

Di conseguenza, gli sviluppatori possono trascurare importanti misure di sicurezza, portando a vulnerabilità nel codice. Possono anche introdurre involontariamente vulnerabilità durante la scrittura del codice a causa di una mancanza di conoscenza o supervisione. Anche un piccolo errore può avere conseguenze disastrose quando si tratta di sicurezza del software.

Questo è il motivo per cui è cruciale controllare accuratamente il codice per individuare vulnerabilità prima della distribuzione, poiché anche gli sviluppatori più esperti sono suscettibili agli errori umani.

3. La prevenzione è più semplice della riparazione

Non è solo una misura di sicurezza proattiva, affrontare le vulnerabilità durante la fase di sviluppo, è anche un approccio molto più economico. Ad esempio, pensalo come sistemare una falla in una barca mentre sei ancora a riva piuttosto che farlo in mare aperto. È più facile e significativamente meno dispendioso in termini di risorse. Senza considerare che una volta che il danno è già stato fatto, è molto più difficile correggerlo rispetto a quanto sarebbe stato prevenire i problemi fin dall’inizio.

Può essere molto più costoso e richiedere più tempo risolvere le vulnerabilità dopo la distribuzione rispetto a quando gli sviluppatori le affrontano prima della spedizione. Quando i team di sicurezza scoprono una vulnerabilità nel software in produzione, devono correggere il codice, potenzialmente distribuire patch su più server, testare e verificare la correzione e affrontare eventuali conseguenze potenziali della patch.

Inoltre, non c’è alcuna garanzia che una vulnerabilità possa essere completamente risolta dopo la distribuzione. In alcuni casi, l’unica soluzione potrebbe essere pianificare una revisione completa dell’architettura di sistema e del design del software. Ciò potrebbe comportare un significativo periodo di inattività e perdite finanziarie.

4. Requisiti di conformità e obblighi legali

Oltre alla protezione dei dati sensibili e alla prevenzione degli incidenti di sicurezza, gli obblighi legali e normativi richiedono agli sviluppatori di controllare il codice per individuare vulnerabilità.

Determinati settori, come finanza, sanità e settori governativi, hanno rigorosi requisiti di conformità alla sicurezza del software. Queste normative spesso richiedono che siano in atto regolari valutazioni delle vulnerabilità e misure di mitigazione prima della distribuzione. La mancata conformità può comportare conseguenze legali, multe e danni alla reputazione.

Inoltre, leggi come il Regolamento Generale sulla Protezione dei Dati (GDPR) e il California Consumer Privacy Act (CCPA) hanno anche rigide linee guida sulla protezione dei dati e sulla sicurezza. La mancata conformità a queste leggi può comportare severe sanzioni e rende ancora più cruciale per gli sviluppatori dare priorità al controllo del codice per individuare vulnerabilità prima della spedizione.

5. Agevolare la scalabilità e lo sviluppo futuro

Nella maggior parte dei casi, i prodotti software non sono un’impresa una tantum. Le organizzazioni dovrebbero continuare a aggiornare e migliorare i loro prodotti per stare al passo con i cambiamenti delle tendenze di mercato e le esigenze dei clienti.

Ad esempio, un prodotto software potrebbe dover scalare per ospitare più utenti o introdurre nuove funzionalità. Senza adeguate misure di sicurezza del codice, questi cambiamenti possono diventare molto più complicati e richiedere più tempo.

Le vulnerabilità nel codice esistente possono entrare in conflitto con le nuove funzionalità, rendendo difficile integrarle nel sistema. Ciò non solo ritarda il processo di sviluppo, ma lascia anche il software aperto all’exploit degli attaccanti. Inoltre, risolvere le vulnerabilità dopo la distribuzione richiede risorse che gli sviluppatori avrebbero potuto utilizzare per sviluppare nuove funzionalità o migliorare il prodotto.

Come trovare ed eliminare le vulnerabilità del codice sorgente

Le ragioni discusse sopra dovrebbero essere sufficienti per i team di sviluppo e sicurezza per controllare il codice per le vulnerabilità prima di distribuire o rilasciare un prodotto sul mercato. Tuttavia, con così tante fasi e processi coinvolti nel processo di sviluppo e la necessità di test continui, questo può essere un processo estremamente lungo e noioso, soprattutto se fatto manualmente.

È qui che strumenti come Kiuwan possono aiutare. Kiuwan offre test e analisi completi sulla sicurezza del codice per aiutare gli sviluppatori a individuare e correggere vulnerabilità in ogni fase del processo di sviluppo del software. Con capacità di scansione avanzate e una profonda comprensione dello sviluppo software, Kiuwan può aiutarti a garantire che il tuo codice sia sicuro prima di andare in produzione.

Vuoi portare la sicurezza delle app a un livello ancora più alto? Una volta che il tuo codice è sicuro e il tuo binario compilato, utilizza uno strumento di rafforzamento delle app di PreEmptive per offuscare il codice e proteggerlo dall’essere decodificato al contrario.

Articolo originale

Inizia una prova gratuita di Kiuwan

Come cercare malware UEFI utilizzando Velociraptor

Come cercare malware UEFI utilizzando Velociraptor

Le minacce UEFI sono storicamente limitate in numero e per lo più implementate da attori statali come persistenza furtiva. Tuttavia, la recente proliferazione di Black Lotus sul dark web, il modulo di enumerazione Trickbot (fine 2022) e Glupteba (novembre 2023) indica che questo trend storico potrebbe cambiare.

Con questo contesto, sta diventando importante per i professionisti della sicurezza comprendere le capacità di visibilità e raccolta per le minacce UEFI. Questo post copre alcune di queste aree e presenta diversi artefatti recenti di Velociraptor che possono essere utilizzati sul campo. Rapid7 ha inoltre rilasciato un white paper che fornisce informazioni dettagliate su come funziona il malware UEFI e alcuni dei tipi più comuni.

Background

Unified Extensible Firmware Interface, o UEFI, è l’interfaccia tra l’hardware di un sistema e il suo sistema operativo (OS). La tecnologia può essere vista come una capacità del BIOS aggiornato per migliorare e aggiungere sicurezza al processo di avvio.

I due principali tipi di persistenza UEFI sono:

  • Basato su Serial Peripheral Interface (SPI)
  • Impianto di firmware che è resiliente anche a un formato del disco rigido.
  • Difficile da implementare – ci sono rischi associati all’implementazione e potenzialmente si rischia di bloccare una macchina se ci sono errori con il firmware.
  • Difficile da rilevare su larga scala – i difensori devono estrarre il firmware, il che richiede tipicamente un driver firmato, quindi eseguire strumenti per l’analisi.
  • Tipicamente, un analista eseguirebbe il dump del firmware, quindi estrarrebbe variabili e altri file interessanti come PEs per un’analisi approfondita.

2. EFI System Partition (ESP) based

  • Una partizione FAT speciale che memorizza i bootloader e si trova tardi nel processo di avvio EFI.
  • Molto più facile da implementare, richiedendo solo privilegi di root e bypassare Secure Boot.
  • Non sopravvive a un formato della macchina.

Visibilità API delle EFI Secure Variables 

EFI Secure Variables (o altrimenti conosciute come NVRAM) sono il modo in cui il sistema distribuisce componenti dal firmware durante l’avvio. Da un punto di vista dell’analisi, sebbene il dump del firmware sia difficile e richieda un flusso di lavoro manuale, tutti i sistemi operativi forniscono una certa visibilità dallo spazio utente. Questo blog discuterà dell’API di Windows; tuttavia, per riferimento, Linux e macOS forniscono dati simili.

GetFirmwareEnvironmentVariable (Windows) può raccogliere il nome, il GUID dello spazio dei nomi e il valore delle EFI secure variables. Questa raccolta può essere utilizzata per verificare lo stato attuale, inclusi database chiave/firma e revoca.

Alcuni dei dati che consente di estrarre sono:

  • Platform Key (PK) – chiave di livello superiore.
  • Key Exchange Key (KEK) – utilizzata per firmare gli aggiornamenti del database delle firme e del database delle firme vietate.
  • Database delle firme (db) – contiene chiavi e/o hash di binari EFI consentiti.
  • Database delle firme vietate (dbx) – contiene chiavi e/o hash di binari EFI in lista nera.
  • Altre impostazioni di configurazione dell’avvio.

È importante notare che questa tecnica si basa sull’API di Windows e potrebbe essere elusa da malware in grado, ma la visibilità può fornire indizi per un analista riguardo alla configurazione dell’avvio o alle firme. Ci sono anche variabili NVRAM “solo avvio” che non possono essere accessibili al di fuori dell’avvio, quindi sarebbe necessario raccogliere un dump del chip manualmente.

Velociraptor dispone di una capacità  community contributed:  Generic.System.EfiSignatures. Questo artefatto raccoglie informazioni sulle firme EFI dal client per verificare certificati sconosciuti e hash revocati. Questo è un ottimo artefatto per l’accumulo di dati attraverso macchine ed è costruito analizzando i valori dei dati dal plugin efivariables().
EFI System Partition (ESP) visibility

La ESP è un sistema di file partizionato in FAT che contiene i caricatori di avvio e altri file critici utilizzati durante il processo di avvio che non cambiano regolarmente. Di conseguenza, può essere relativamente semplice individuare anomalie tramite forense.

Ad esempio, analizzando la Tabella di Assegnazione dei File, possiamo esaminare i metadati relativi al percorso, ai timestamp e allo stato di eliminazione che possono fornire indicazioni per l’analisi.

Nella schermata sopra osserviamo diversi file del caricatore di avvio EFI con timestamp non allineati. Tipicamente ci aspetteremmo che questi file abbiano gli stessi timestamp intorno all’installazione del sistema operativo. Possiamo anche osservare file eliminati e l’esistenza di una cartella System32 nell’intervallo temporale di queste voci.

La cartella EFI/ dovrebbe essere l’unica cartella nella radice della ESP, quindi interrogare per qualsiasi percorso che non inizi con EFI/ è una grande ricerca che rileva il nostro indizio sopra. È possibile vedere nella mia schermata sottostante, lo staging di BlackLotus che viene evidenziato aggiungendo un filtro per questo caso d’uso.

Curiosamente, si sapeva che BlackLotus utilizzava l’exploit Baton Drop, quindi possiamo confrontarlo con le informazioni pubblicamente disponibili su Baton Drop e osservare le somiglianze con i file eliminati sulla ESP.
L’ultimo componente della visibilità basata su ESP è controllare i byte dei contenuti dei file. Possiamo eseguire YARA per cercare tratti di malware conosciuti, o ottenere metadati aggiuntivi sui tipi di file che possono fornire indicazioni per l’analisi. La schermata sottostante evidenzia le informazioni ben note del certificato di Black Lotus e il timestamp dell’header PE.
Gli artefatti Velociraptor disponibili per questa visibilità della ESP sono:

1.Windows.Forensics.UEFI — Questo artefatto consente l’analisi del disco su una EFI System Partition  (ESP). L’artefatto interroga il disco fisico specificato, analizza la tabella delle partizioni per individuare la Tabella di Assegnazione dei File (FAT) della ESP. L’artefatto restituisce informazioni sui file e un arricchimento PE poiché i file EFI tipici sono nel formato PE.

2. Windows.Detection.Yara.UEFI — Questo artefatto espande la semplice enumerazione della ESP e consente l’esecuzione di Yara sulla partizione di sistema EFI.

Measured Boot log visibility

La sicurezza del bootkit è sempre stata una “corsa verso il basso”. Se il malware potesse caricarsi prima degli strumenti di sicurezza, un difensore dovrebbe assumere che potrebbe essere sconfitto. Da Windows 8, il Measured Boot è una funzionalità implementata per aiutare a proteggere le macchine dal malware che si avvia presto. Il Measured Boot controlla ogni componente di avvio – dal firmware ai driver di avvio – e memorizza queste informazioni nel Trusted Platform Module (TPM). Viene quindi reso disponibile un registro binario per verificare lo stato di avvio della macchina. La posizione predefinita del registro di Measured Boot è C:\\Windows\\Logs\\MeasuredBoot\\*.log e viene registrato un nuovo file per ogni avvio.

Windows.Forensics.UEFI.BootApplication analizza i TCGLogs di Windows MeasuredBoot per estrarre il PathName degli eventi, il che può aiutare a rilevare potenziali persistenze basate su ESP (EV_EFI_Boot_Services_Application). L’artefatto sfrutta gli strumenti Velociraptor per distribuire ed eseguire l’eccellente modulo powershell di Matt Graeber,  TCGLogTools, per analizzare i TCGLogs su disco e in memoria.

Possiamo vedere che quando viene eseguito su una macchina infetta, il percorso dell’applicazione di BOOT è chiaramente cambiato rispetto al predefinito: \\EFI\\Microsoft\\Boot\\bootmgfw.efi. Pertanto, l’applicazione di Boot è un campo che può essere impilato su tutta la rete.

Possiamo anche produrre valori estesi, inclusi hash digest per la verifica.

Altri artefatti forensi

Ci sono molti altri artefatti forensi generici su cui gli analisti potrebbero concentrarsi per assistere nella rilevazione di una minaccia UEFI. Dall’attività di rete del malware agli errori inattesi nel registro eventi associati agli strumenti Antivirus/Sicurezza sulla macchina.

Ad esempio: BlackLotus ha fatto uno sforzo per sfuggire alla rilevazione cambiando i token di accesso di Windows Defender in SE_PRIVILEGE_REMOVED. Questa tecnica mantiene il servizio Defender in esecuzione ma lo disabilita efficacemente. Anche se Velociraptor potrebbe non avere i privilegi di processo protetti per controllare direttamente i token, possiamo controllare altri indicatori come gli errori associati all’uso.

Analogamente, Memory integrity (HVCI) è una funzionalità della sicurezza basata sulla virtualizzazione (VBS) in Windows. Fornisce un ambiente di virtualizzazione più robusto tramite l’isolamento e le allocazioni di memoria kernel. La funzionalità è correlata a Secure Boot e può essere disabilitata per il malware che necessita di un ambiente di integrità inferiore per essere eseguito. Richiede di impostare il valore della chiave di configurazione del registro su 0.

HKLM\\SYSTEM\\CurrentControlSet\\Control\\DeviceGuard\\Scenarios\\HypervisorEnforcedCodeIntegrity\\Value

0 – disabilitato

1 – abilitato
Windows.Registry.HVCI, disponibile nell’exchange degli artefatti, può essere utilizzato per interrogare questo valore della chiave.

In conclusione

Nonostante le minacce UEFI possiedano capacità intimidatorie, i professionisti della sicurezza possono implementare una certa visibilità con gli strumenti attuali per le indagini remote. Analizzare forensicamente il disco e non fare affidamento sull’API di Windows, o esaminare altri indicatori sistemici che potrebbero segnalare una compromissione, è un modo pratico per individuare componenti di queste minacce. Conoscere le capacità di raccolta, le lacune e come mitigarle è altrettanto importante quanto conoscere la minaccia stessa.

In questo post abbiamo coperto parte della visibilità di Velociraptor per le minacce UEFI. Rapid7 supporta Velociraptor open source, fornendo alla comunità Velociraptor e funzionalità open source non disponibili nemmeno in alcuni strumenti a pagamento.

Articolo originale

Scopri la pagina del vendor sul nostro sito

Perché è importante External Attack Surface: analisi sulle attività minacciose correlate all’APAC

Perché è importante External Attack Surface: analisi sulle attività minacciose correlate all’APAC

Una considerevole attenzione all’interno dell’industria della sicurezza informatica è stata posta sulla superficie di attacco delle organizzazioni, dando origine alle tecnologie di gestione della External Attack Surface (EASM) come mezzo per monitorare tale superficie. Sembrerebbe un approccio ragionevole, sulla base del presupposto che una riduzione del rischio esposto legato alla superficie di attacco esterna riduca la probabilità di compromissione e potenziali interruzioni da parte delle innumerevoli gruppi di ransomware che mirano a specifiche geografie e settori.

Ma le cose non sono mai così semplici. La sfida, naturalmente, è che i rischi esterni esposti si estendono oltre i punti terminali sottoposti a scansione. Con i broker di accesso che svolgono il lavoro duro per i collaboratori del ransomware nel raccogliere informazioni, identificare i vettori di ingresso iniziali va oltre il semplice recupero di banner.

L’analisi recente di Rapid7 Labs ha esaminato la superficie di accesso esterna di vari settori all’interno della regione dell’APAC nell’ultimo semestre del 2023, con dati considerevoli disponibili ben oltre le connessioni RDP aperte e i sistemi non aggiornati. Ciò che emerge è l’entità dei dati che sembra aiutare i broker di accesso, come l’esposizione di sistemi di test o host non mantenuti su internet, o la disponibilità di credenziali trapelate. Ciascuno di questi offre la possibilità ai numerosi attori del ransomware di condurre attacchi riusciti sfruttando il duro lavoro dei broker di accesso.

Ciò che è interessante mentre consideriamo queste campagne mirate regionalmente è che la gamma di gruppi di minacce è piuttosto ampia, ma il gruppo più prevalente varia in base alla geografia o al settore mirato. (Si prega di notare che questi dati precedono il possibile exit scam segnalato e quindi non lo tengono in considerazione.)

Il grafico seguente mostra i settori mirati e i vari gruppi di minacce che li prendono di mira all’interno dell’Australia:

Se confrontiamo i gruppi più prevalenti in Giappone, tuttavia, il panorama cambia leggermente:

Tutto ciò concentra l’attenzione su questo concetto di intelligence operativa azionabile. Tipicamente, le organizzazioni hanno adottato un approccio “taglia unica” alla prioritizzazione del rischio; tuttavia, un approccio più sfumato potrebbe essere quello di considerare i gruppi di minacce che prendono di mira un determinato settore di un’organizzazione come una priorità più elevata.

La necessità di entrare in questo nuovo mondo delle operazioni di sicurezza guidate dall’intelligenza è molto chiara, e la si percepisce quasi quotidianamente. In un anno abbiamo assistito a un aumento fondamentale del livello di capacità da parte di gruppi di minacce il cui modus operandi precedente era radicato nell’identificazione di credenziali trapelate, ma che ora agiranno tranquillamente con vulnerabilità zero-day.

Il nostro approccio all’interno di Rapid7 Labs è quello di fornire contesto ogni volta che possibile. Invitiamo vivamente i lettori a sfruttare risorse come AttackerKB per comprendere meglio il contesto di queste CVE, o ad esempio Metasploit per convalidare se le segnalazioni dalla loro scansione esterna richiedono un aggiornamento di sicurezza fuori ciclo. Questi, naturalmente, sono solo la punta dell’iceberg, ma il nostro approccio rimane costante: il contesto è fondamentale, così come lo è l’agilità. Ci troviamo di fronte a più rumore che mai, e ogni misura che può essere utilizzata per filtrarlo dovrebbe essere una parte critica delle operazioni di sicurezza.

Articolo originale

Scopri la pagina del vendor sul nostro sito

Come i threat actors di SpaxMedia distribuiscono malware a livello globale.

Come i threat actors di SpaxMedia distribuiscono malware a livello globale.

Durante la ricerca sulle reti e i team di traffico pay-per-install (PPI) di malware, i laboratori di SpyCloud hanno identificato una rete PPI relativamente nuova ma molto utilizzata chiamata SpaxMedia. Ciò ha suscitato il nostro interesse e, attraverso un’analisi più approfondita, i nostri ricercatori sono stati in grado non solo di collegare threat actors specifici a questo servizio, ma anche di collegare il servizio a specifiche campagne di malware.

In questo post, condivideremo ciò che abbiamo scoperto quando abbiamo approfondito le operazioni di SpaxMedia, comprese:

L’organizzazione e la struttura dei loro servizi
I loro vettori preferiti di infezione da malware e di distribuzione di malware
Famiglie di malware comunemente distribuite, come LummaC2 e Atomic Stealer

Un po’ sui network PPI

Il pay-per-install, o PPI, sono un tipo di modello di marketing di affiliazione in cui gli inserzionisti pagano gli affiliati in base al numero di installazioni generate per software o applicazioni. Nel contesto delle pratiche commerciali legittime, il PPI viene utilizzato per promuovere software o app legali e gli affiliati vengono compensati per ogni installazione riuscita. Nel contesto di questo articolo e del panorama criminale informatico, i network PPI vengono utilizzati per promuovere malware maligni e gli attori vengono compensati per le installazioni di malware riuscite.

Riguardo a SpaxMedia e gli editori di SpaxMedia

Come osservato nell’Immagine 1, SpaxMedia è un network PPI che pubblicizza “tariffe elevate per installazione”.

Anche se SpaxMedia non condivide pubblicamente le sue tariffe di installazione, il sito menziona che le tariffe non sono fisse e variano invece in base alla regione di installazione, implicando che SpaxMedia abbia capacità di filtro geografico che sfrutta per incentivare posizioni/paesi mirati di maggior valore.

I proprietari di siti web interessati ad aggiungere annunci SpaxMedia ai loro siti web possono farlo tramite pulsanti di download, o ciò che SpaxMedia chiama “codici pubblicitari”. I “codici pubblicitari” consistono normalmente in pulsanti di download che si trovano su siti di software crackati/siti di giochi piratati e ingannano gli utenti facendo clic su di essi.

I proprietari di siti web interessati sono definiti “editori” e possono registrarsi utilizzando il pulsante “Registrati ora” sul sito web di SpaxMedia. I publisher ricevono quindi del codice HTML/Javascript che possono inserire in una pagina web, il che aggiunge i “codici pubblicitari” di SpaxMedia e consente loro di iniziare a monetizzare le installazioni.

Sebbene alcuni editori siano consapevoli che SpaxMedia venga utilizzato per portare avanti campagne di malware infostealer, non è chiaro se tutti lo siano, o come venga comunicato il rapporto tra editori e rappresentanti di SpaxMedia.

Struttura organizzativa

In seguito al nostro ultimo articolo che accennava brevemente a SpaxMedia, i membri dell’organizzazione hanno iniziato a rimuovere le loro informazioni da LinkedIn. Tuttavia, prima che le informazioni venissero rimosse o cancellate, gli analisti dei laboratori SpyCloud sono stati in grado di identificare alcune persone che si auto-identificavano come detentori di posizioni di livello C nella struttura organizzativa di SpaxMedia. Nello specifico:

Sehrish Hashmi – CEO
Situtato in Pakistan
“Ali Khan” – Chief Financial Officer
Nessuno dei due individui aveva una foto del profilo identificabile; tuttavia, come osservato nell’Immagine 2, Sehrish utilizzava apertamente il proprio profilo LinkedIn per pubblicare “annunci” di software crackati che portavano a siti web che ospitavano i codici pubblicitari di SpaxMedia:

Inoltre, Sehrish Hashmi ha pubblicizzato il proprio nome Skype come “Sehru.Hashmi2”.

Struttura del servizio

SpaxMedia, simile ad altri network PPI, ha due lati nella loro operatività:

1. Un lato più rivolto al pubblico, nel quale attraggono i proprietari di siti web ad agire come editori e inserire i loro “codici pubblicitari” nei siti web degli editori. Come accennato in precedenza, non si sa se tutti gli editori sono consapevolmente coinvolti in campagne di distribuzione di malware.
2. Il secondo lato della loro operatività è più nefasto e si occupa di “inserzionisti diretti”, o dei gruppi per i quali servono “annunci”. Questi “inserzionisti diretti” collegano il proprio software (normalmente malware) da distribuire tramite SpaxMedia, che di recente è consistito principalmente in queste famiglie di infostealer:
– Vidar
– LummaC2
– StealC
– Atomic Stealer

Siti di crack come vettore di infezione

Mentre altri network PPI a volte elencano tipi di siti preferiti prima di impegnarsi in affari con gli editori, SpaxMedia non pubblica informazioni sulle preferenze pubblicamente. Tuttavia, basandoci sulla nostra analisi dei siti che promuovono attivamente i download di SpaxMedia, la maggior parte erano siti di download di software correlati a software crackati/giochi piratati, come osservato nell’Immagine 4.

Principali vettori di distribuzione di malware

Gli attori che pubblicano per SpaxMedia utilizzano diverse tattiche per generare traffico verso i loro siti. Queste tattiche non sono esclusive delle infezioni PPI di SpaxMedia e sono comunemente utilizzate anche per altri network PPI.

LinkedIn
Gli analisti dei laboratori di SpyCloud hanno esaminato oltre 15 diversi siti di distribuzione di software collegati alla rete PPI di SpaxMedia, e la grande maggioranza di essi ha utilizzato LinkedIn per generare traffico verso i loro siti e articoli. Molti dei threat actors hanno semplicemente condiviso un link al loro sito di download del software e all’articolo in cui si trovava il pulsante di download di SpaxMedia in un post (come osservato nell’Immagine 5), mentre altri  hanno scritto interi articoli su LinkedIn proliferati con link al sito di download del software/articolo in cui si trovava il pulsante di download di SpaxMedia (come osservato nell’Immagine 6).

Inoltre, come osservato nell’Immagine 7, a volte lasciavano commenti su altri post indirizzando le vittime verso i loro siti di distribuzione del software. Questi vettori di infezione unici aiutano i threat actors a generare traffico verso il loro sito con molto poco costo per loro, poiché tutto ciò che è richiesto è un account Linkedin gratuito.

Avvelenamento SEO

Oltre alle promozioni su LinkedIn, gli editori di SpaxMedia utilizzano anche un vettore classico per generare traffico verso il loro sito: l’avvelenamento dei motori di ricerca (SEO poisoning). Mentre l’avvelenamento dei motori di ricerca normalmente coinvolge l’uso di termini SEO per far apparire un sito web come qualcosa che non è, in questo utilizzo, gli editori di SpaxMedia inseriscono lunghe liste di termini SEO nei tag CDATA del loro sito al fine di far apparire i loro siti tra i primi risultati dei motori di ricerca. Questo assicura che quando le vittime stanno cercando cose come software crackati, siano più inclini a fare clic su siti collegati alle reti PPI di SpaxMedia, aumentando la probabilità che i visitatori vengano ingannati nell’installare binari distribuiti da SpaxMedia. Un esempio di avvelenamento SEO riuscito di un sito collegato a SpaxMedia può essere osservato nell’Immagine 8.

Inoltre, SpaxMedia e altri network PPI utilizzano aggregatori di ricerca di base per indirizzare le vittime verso ulteriori siti di crack. Come osservato nell’Immagine 9, talvolta quando una vittima visita un sito collegato a un network PPI, si trova di fronte a una pagina che dice “Nessun risultato trovato, ma puoi cercare qui”, e una casella di ricerca con il software originale cercato e alcuni termini SEO aggiuntivi. Cliccando su cerca in quella casella, l’utente verrà indirizzato a una pagina di ricerca di Google che mostra molti più siti di crack nei primi risultati di Google.

 

Come osservato nell’Immagine 10, basandosi sulle immagini pubblicate da SpaxMedia, SpaxMedia offre agli editori la possibilità di personalizzare i pulsanti che inseriscono nei loro siti web e che li collegano alla rete PPI di SpaxMedia. Per impostazione predefinita, questi pulsanti indicano semplicemente “Scarica ora”, tuttavia gli analisti dei laboratori SpyCloud hanno osservato pulsanti in spagnolo, arabo e altre lingue.

Embedded Javascript stager

I pulsanti di SpaxMedia incorporano risorse JavaScript remote che vengono caricate dal sito quando la pagina si carica. I pulsanti contengono il codice che gestisce l’identificazione del dispositivo e il trasferimento dei link per la rete PPI quando vengono cliccati. Come osservato nell’Immagine 11, questi stager JavaScript incorporati vengono di solito oscurati utilizzando uno strumento comune di oscuramento JavaScript (come obfuscator.io):

I laboratori di SpyCloud hanno osservato due varianti dello stager JavaScript, entrambe delle quali effettuano un controllo di base per assicurarsi che una vittima non stia utilizzando un dispositivo mobile. Se una vittima sta utilizzando un dispositivo mobile, le viene servito un risultato completamente diverso rispetto a quando sta utilizzando un PC. Sulla base dei nostri test, questi risultati sono normalmente siti di gioco d’azzardo, o eventualmente app del browser maligne. Le due varianti possono essere osservate nell’Immagine 12 e nell’Immagine 13.

Download buttons

In base all’user agent della vittima, gli stager JavaScript di SpaxMedia determinano quale payload di malware servire, sia per Windows che per Mac.

Download per Windows
Per i download per Windows, le vittime vengono normalmente accolte con un reindirizzamento della pagina che può assomigliare alla pagina nell’Immagine 14, tuttavia a volte varia.

Come osservato nell’Immagine 14, alle vittime viene istruito di copiare un link e incollarlo nel loro browser per scaricare un file che contiene il payload del malware. L’attore che distribuisce su SpaxMedia fa uso sia di Mega.nz che di Mediafire per ospitare i loro payload maligni.

Download per Mac
I download per Mac funzionano in modo un po’ diverso rispetto ai download per Windows, operando più vicino a un modello di download con un solo clic piuttosto che un reindirizzamento che si trova in mezzo e istruisce le vittime a navigare verso un URL specifico. Quando le vittime Mac cliccano sui pulsanti di download, di solito vengono immediatamente serviti da un file .dmg dal server principale di hosting file dell’inserzionista diretto. Tuttavia, come osservato nell’Immagine 15, a volte c’è una pagina web che si trova tra il servizio del file e il clic sul pulsante.

Gli analisti dei laboratori di SpyCloud hanno osservato i seguenti domini associati alle distribuzioni Mac di SpaxMedia (nonché ad altri network PPI):

– goolwebshow.com
– dnccomputers.com
– eercs.com
– psychodrugs.com

Famiglie di malware

Nelle nostre osservazioni, gli inserzionisti diretti di SpaxMedia distribuiscono frequentemente malware per Windows e Mac, con nuovi file pubblicati quotidianamente. I file per Windows sono archiviati in un file zip criptato e compressi con un packer personalizzato che decripta il malware da un file criptato memorizzato, svuota un processo e lo carica nel processo appena creato e svuotato. I file Mac sono semplicemente archiviati come un file .dmg di base.

I ricercatori dei laboratori di SpyCloud hanno individuato le seguenti quattro famiglie di malware come le principali distribuite da SpaxMedia più di recente.

LummaC2

LummaC2 è uno strumento di furto di informazioni venduto come Malware-as-a-Service (MaaS), con gli attori che pagano mensilmente per l’accesso a un pannello di controllo che fornisce la possibilità di creare versioni del malware da distribuire, controllare le statistiche di infezione, esportare informazioni rubate e altro ancora. I ricercatori dei laboratori di SpyCloud hanno osservato campagne di LummaC2 distribuite utilizzando l’ID affiliato KjGtqi. Anche se questo ID affiliato distribuisce il loro malware su altri network PPI, non solo SpaxMedia, utilizzano comunque SpaxMedia per molte delle loro campagne.

Vidar

Vidar, un altro infostealer comunemente usato, è venduto come MaaS, con gli attori che pagano mensilmente per avere accesso al pannello Vidar, che fornisce funzioni simili a LummaC2. Non abbiamo osservato questa famiglia essere distribuita così frequentemente come LummaC2, tuttavia, è stata distribuita più frequentemente rispetto a StealC. Gli analisti dei laboratori di SpyCloud hanno visto per l’ultima volta Vidar promosso dagli inserzionisti diretti di SpaxMedia il 21 febbraio 2024 e hanno osservato i seguenti indicatori di compromissione (IOC):

– https://49.13.32.193
– https://65.109.242.97
– https://95.217.244.208
– https://95.216.177.94

StealC

StealC, come descritto nei report pubblici come un “imitatore di Vidar e Raccoon“, è un altro comune infostealer che viene venduto come servizio ed è stato utilizzato dagli inserzionisti diretti di SpaxMedia per le infezioni. Gli analisti dei laboratori di SpyCloud hanno visto per l’ultima volta StealC distribuito da SpaxMedia il 13 febbraio 2024.

Atomic Stealer

Atomic Stealer è un infostealer che viene anch’esso venduto come MaaS, ma che si rivolge a macOS. Atomic Stealer prende di mira i browser, insieme al portachiavi di Mac e ad altre memorie di credenziali specifiche di Mac. Gli inserzionisti diretti di SpaxMedia hanno costantemente distribuito questa famiglia di malware e gli analisti dei laboratori di SpyCloud hanno ottenuto più eseguibili da loro.

Punti chiave

Sulla base delle tecniche, delle tattiche e delle procedure osservate di SpaxMedia, i laboratori di SpyCloud hanno determinato che questa rete potrebbe essere direttamente correlata a un altro network PPI, InstallUSD, dimostrando un potenziale intreccio di attività criminali che si complica da sé.

Le reti PPI di per sé non sono nulla di nuovo, ma a meno che non prestiamo attenzione, continueranno a sfuggire alla nostra attenzione, generando quantità astronomiche di infezioni da malware ogni giorno. I laboratori di SpyCloud continueranno a monitorare questa rete di installazione e altre e segnaleranno nuove scoperte.

Articolo originale

Scopri la pagina del vendor sul nostro sito

Migliorare la risposta agli incidenti di cybersecurity con DomainTools: una guida completa

Migliorare la risposta agli incidenti di cybersecurity con DomainTools: una guida completa

Come citato nella Federal Government Best Bractices Guide, gli incidenti di sicurezza informatica rappresentano una minaccia persistente per le agenzie governative e i loro fornitori. Una risposta agli incidenti (IR) efficace è fondamentale per mitigare queste minacce, minimizzare i danni e garantire la continuità delle operazioni. L’Agenzia per la sicurezza informatica e dell’infrastruttura (CISA) ha delineato un playbook strutturato per la risposta agli incidenti per guidare le entità governative attraverso il complesso processo di gestione degli incidenti di sicurezza informatica. Esploreremo lo scopo e il framework del playbook per la risposta agli incidenti della CISA prima di approfondire casi d’uso reali in cui i dati di DomainTools si dimostrano preziosi. Inoltre, discuteremo su come integrare i dati di DomainTools con gli strumenti esistenti di sicurezza informatica per una strategia di risposta agli incidenti più robusta.

Comprendere il CISA’s Incident Response Playbook

Il playbook per la risposta agli incidenti della CISA ha lo scopo di fornire una guida completa per le agenzie governative e i loro fornitori nell’affrontare e mitigare efficacemente gli incidenti di sicurezza informatica. Il suo scopo principale è quello di fornire un approccio standardizzato e strutturato alla risposta agli incidenti, garantendo che le organizzazioni possano affrontare e riprendersi prontamente ed efficacemente dalle minacce informatiche.

Il playbook segue un framework ben definito che include diverse fasi della risposta agli incidenti, ognuna adattata a obiettivi specifici. Queste fasi sono:

1. Preparazione: Stabilire capacità di risposta agli incidenti, formare team, definire ruoli e sviluppare piani e procedure di risposta.
2. Identificazione: Rilevare e identificare tempestivamente potenziali incidenti di sicurezza attraverso il monitoraggio continuo e l’analisi degli Indicatori di Compromissione (IoC).
3. Contenimento: Limitare l’impatto e prevenire ulteriori danni isolando i sistemi interessati, bloccando attività dannose e interrompendo l’accesso degli attaccanti.
4. Eradicazione e Ripristino: Rimuovere le cause radicate degli incidenti e ripristinare i sistemi interessati alle normali operazioni.
5. Attività Post-Incidente: Documentare gli incidenti, condividere le lezioni apprese e migliorare la postura di sicurezza informatica in base alle conclusioni.
6. Coordinamento: Coordinarsi con la CISA e altre agenzie federali per garantire una risposta unificata alle minacce informatiche.

Seguendo il playbook per la risposta agli incidenti della CISA, i professionisti della sicurezza informatica governativa e i loro fornitori possono razionalizzare i loro sforzi di risposta agli incidenti, minimizzare l’impatto degli incidenti e rafforzare la loro postura di sicurezza informatica.

Come i dati di DomainTools potenziano la risposta agli incidenti

Ora, esploriamo come i dati di DomainTools e di Farsight migliorano la risposta agli incidenti affrontando i casi d’uso critici affrontati dai team di sicurezza informatica governativi:

Caso d’uso 1: Identificazione del vettore di attacco Iniziale

Domanda: Come ha ottenuto l’avversario l’accesso iniziale alla rete?

  • Valore aggiunto dei dati di DomainTools: Domain Profile di DomainTools fornisce dati sul registrante, sul server e sulla registrazione di un nome di dominio. Esaminando le informazioni di dominio correlate all’incidente, i professionisti della sicurezza informatica possono scoprire il vettore di attacco iniziale, come domini maliziosi o server compromessi.
  • Valore aggiunto di Farsight DNSDB: DNSDB può rivelare quali informazioni sono pubblicamente note sulla tua rete, imitando le ricognizioni che gli attori malevoli hanno eseguito contro i tuoi sistemi. DNSDB evidenzia anche sia il mapping dei domini e dei sottodomini a indirizzi IP che coinvolgono l’infrastruttura degli attaccanti.

Caso d’uso 2: Identificazione dell’attore minaccioso

Domanda: Chi è l’avversario dietro l’attacco?

  • Valore aggiunto dei dati di DomainTools Whois: DomainTools Whois Lookup e Whois History offrono accesso ai record storici di registrazione dei nomi di dominio e degli indirizzi IP. Analizzando questi dati, i risponditori agli incidenti possono svelare gli attori minacciosi e monitorare le loro attività nel tempo, aiutando gli sforzi di attribuzione.
  • Valore del Pivoting: DomainTools Iris Investigate consente ai risponditori di muoversi rapidamente attraverso l’infrastruttura correlata, dai dati Whois agli indirizzi IP ai certificati TLS/SSL e altro ancora, per individuare con precisione e tempestività l’infrastruttura dell’attaccante.

Caso d’uso 3: Rilevamento del comando e del controllo

Domanda: Come l’avversario sta mantenendo il comando e il controllo?

  • Valore aggiunto di Domain Risk Score: DomainTools Domain Risk Score fornisce punteggi di rischio basati sulla prossimità di un dominio con domini noti come dannosi. I risponditori agli incidenti possono utilizzare questi dati per identificare e bloccare i domini dannosi utilizzati per il comando e il controllo, interrompendo le operazioni dell’attaccante.
  • Valore aggiunto di Farsight DNSDB: DNSDB traccia i dati dei sottodomini e raccoglie tutti i possibili tipi di record DNS, consentendo di identificare e monitorare come gli avversari possano cercare di nascondere le loro attività utilizzando il DNS. La natura in tempo reale di DNSDB consente di seguire i cambiamenti che gli avversari apportano mentre li apportano.

Caso d’uso 4: Analisi del malware

Domanda: È coinvolto del malware e, in tal caso, di che tipo si tratta?

  • Valore aggiunto dei Dati di DomainTools: DomainTools Domain Search e Hosting History rivelano i domini associati a un incidente. Analizzando questi domini, i risponditori agli incidenti possono identificare potenziali punti di distribuzione del malware e tracciare la loro storia, aiutando nell’analisi del malware.
  • Valore aggiunto di Farsight DNSDB: Tracciando le interrogazioni DNS passivamente dalla nostra rete di sensori mondiale, possiamo tracciare quando i domini o i sottodomini hanno avuto un cambiamento nei modelli di accesso, un indicatore di quando è stata avviata e interrotta una campagna malware. Questo può fornire indicazioni sulla dimensione e l’ambito di un possibile attacco.

Caso d’uso 5: Conservazione delle prove

Domanda: Come possiamo conservare le prove per un uso legale?

  • Valore Aggiunto dei Dati di DomainTools: Il Whois Parsed di DomainTools fornisce risultati analizzati per i record Whois, facilitando la conservazione delle prove relative ai domini. I professionisti della sicurezza informatica possono utilizzare questi dati per assistere nelle attività correlate all’applicazione della legge e garantire l’integrità dei procedimenti legali.
  • Valore Aggiunto del rapporto sul dominio: Iris Investigate consente di esportare tutti gli IOC identificati per includerli nelle strategie di conservazione dei record esistenti. In particolare, DomainTools può generare un Domain Report, fornendo tutte le informazioni relative a un dominio in un formato consumabile, come un PDF, per l’inclusione nella conservazione dei record storici o per una specifica questione legale.

Caso d’uso 6: Arricchimento dell’intelligence sulle minacce

Domanda: Quali informazioni di intelligence sulle minacce possono migliorare la nostra risposta?

  • Valore Aggiunto dei Dati di DomainTools: I dati di DomainTools possono essere integrati con le piattaforme di intelligence sulle minacce, arricchendo i dati sugli incidenti con preziosi contesti. Questa integrazione migliora l’analisi delle minacce e informa le decisioni sulla risposta agli incidenti.
  • Valore Aggiunto dei Feed di DomainTools: DomainTools fornisce un notevole numero di feed di intelligence sulle minacce, dai nostri feed Whois ogni 5 minuti, ai feed del punteggio di rischio, ai feed DNS passivi in tempo reale. Questi feed consentono l’integrazione in una vasta gamma di flussi di lavoro e tattiche a diversi livelli.

Integrazione dei dati di DomainTools con tool di sicurezza informatica

L’integrazione dei dati di DomainTools con gli strumenti di sicurezza informatica esistenti sblocca una gamma di capacità e ne aumenta il valore.
Ecco alcune integrazioni chiave e i benefici che apportano:

Soluzioni SIEM: Incorporare i dati di DomainTools nei sistemi di Security Information and Event Management (SIEM) per arricchire i dati sugli eventi di sicurezza. Aggiungendo contesti correlati ai domini, i SIEM possono fornire avvisi più azionabili e migliorare la rilevazione delle minacce. Questa integrazione consente ai SIEM di non solo rilevare eventi di sicurezza, ma anche valutare il loro impatto sull’organizzazione. Gli analisti possono prioritizzare la loro risposta in base al rischio associato ai domini e agli IP coinvolti negli incidenti di sicurezza.

Piattaforme di intelligence sulle minacce: Integrare i dati di DomainTools con piattaforme di intelligence sulle minacce per arricchire i dati sugli incidenti con informazioni storiche sui domini e sugli IP. Questo arricchimento aiuta gli analisti a identificare schemi e associazioni, portando a valutazioni delle minacce più informate. Comprendendo l’impatto delle minacce associate a specifici domini, le organizzazioni possono prendere decisioni più strategiche nei loro sforzi di risposta agli incidenti.

Soluzioni di rilevamento e risposta agli endpoint (EDR): Sfruttare i dati di DomainTools all’interno delle soluzioni EDR per rilevare e rispondere alle minacce che coinvolgono domini o IP dannosi. Identificando le connessioni a domini noti come dannosi, le soluzioni EDR possono bloccare proattivamente le attività dannose. Questo non solo previene potenziali danni, ma riduce anche l’impatto delle minacce sugli endpoint e sulla rete più ampia.

Strumenti di sicurezza di rete: Migliorare gli strumenti di sicurezza di rete con i dati di DomainTools per bloccare domini e indirizzi IP dannosi al perimetro. Questa integrazione garantisce che ai domini dannosi sia automaticamente impedito di accedere alla rete. Riducendo l’impatto del traffico dannoso a livello di rete, le organizzazioni possono migliorare significativamente la loro postura complessiva di sicurezza.

Piattaforme Security Orchestration, Automation, and Response (SOAR): Questa integrazione arricchisce gli allarmi di sicurezza in arrivo con informazioni contestuali, migliorando la comprensione dell’impatto e della rilevanza dell’incidente. Le piattaforme SOAR possono prendere decisioni più informate e automatizzate basate sui dati di DomainTools, consentendo una gestione più rapida e precisa degli incidenti. I playbook di risposta traggono vantaggio dall’intelligenza in tempo reale sull’infrastruttura dannosa, adattandosi dinamicamente alla gravità delle minacce. Inoltre, i dati storici sui domini e gli IP aiutano nell’analisi retrospettiva, aiutando le organizzazioni a identificare schemi e minacce ricorrenti. I dati di DomainTools consentono anche la correlazione degli allarmi tra gli strumenti di sicurezza, garantendo che gli incidenti correlati siano prioritizzati e raggruppati per una risoluzione efficiente.

Integrando i dati di DomainTools in questi strumenti, i team di sicurezza informatica governativi possono notevolmente rafforzare le loro capacità di risposta agli incidenti. Ottengono accesso a informazioni storiche sui domini e gli IP, contesto sulle minacce e informazioni azionabili che li aiutano a navigare efficacemente le complessità delle moderne minacce informatiche. Questo approccio proattivo consente alle organizzazioni di rispondere prontamente e decisamente agli incidenti, riducendo il loro impatto e rafforzando la postura complessiva di sicurezza.

Conclusioni

I dati di DomainTools svolgono un ruolo fondamentale nell’arricchire gli sforzi di risposta agli incidenti delle agenzie governative e dei loro fornitori. Che si tratti di identificare gli attori delle minacce, rilevare l’infrastruttura di comando e controllo o conservare prove critiche, DomainTools offre preziosi insights che permettono ai professionisti della sicurezza informatica di affrontare efficacemente le complessità delle moderne minacce informatiche. Integrando i dati di DomainTools nei loro set di strumenti di sicurezza informatica, le organizzazioni possono migliorare la loro resilienza e prontezza di fronte alle sfide informatiche in continua evoluzione.

Articolo originale

Scopri la pagina del vendor sul nostro sito

7 comuni errori di configurazione della sicurezza delle app

7 comuni errori di configurazione della sicurezza delle app

Tutti commettono errori sul lavoro. È naturale dell’essere umano. Le persone si distraggono e dimenticano le cose. La maggior parte delle volte, non è un grosso problema. Per uno staff del Pentagono, però, una semplice svista ha portato a una fuga di dati che ha esposto le email militari degli Stati Uniti all’intero internet. Questa configurazione errata della sicurezza dell’app ha lasciato un server del Dipartimento della Difesa senza protezione password. Chiunque conoscesse l’indirizzo IP del server poteva accedere ai dati sensibili ma non classificati, che includevano email riguardanti operazioni speciali militari.

Per essere giusti nei confronti dello sviluppatore, il suo errore è stato solo uno in una serie di omissioni che hanno portato alla fuga di dati di due settimane a febbraio di quest’anno. E, probabilmente, non è stata neanche la peggiore violazione delle email del Pentagono di quest’anno. Successivamente, hacker russi hanno sfruttato la vulnerabilità di MOVEit per accedere alle email di diversi dipendenti di alto livello del Dipartimento della Difesa.

Le configurazioni errate della sicurezza dell’app sono responsabili di molte altre costose fughe di dati, incluso il 2022 Microsoft BlueBleed data leak che ha esposto i dati di oltre 150.000 aziende in 123 paesi. Secondo l’OWASP, il 90% delle applicazioni testate includeva qualche forma di configurazione errata della sicurezza. Il CISA riporta che questo è un problema significativo in tutti i settori, anche tra le organizzazioni con un solido assetto di sicurezza.

Le 7 configurazioni errate della sicurezza delle app più comuni

Una configurazione errata della sicurezza dell’applicazione è una vulnerabilità causata dal modo in cui gli sviluppatori configurano un’applicazione o un ambiente. Non è un difetto intrinseco all’applicazione stessa. Alcuni dei tipi più comuni di configurazioni errate della sicurezza delle app includono i seguenti:

1. Configurazioni Predefinite
Con così tante applicazioni che vantano funzionalità pronte all’uso, non dovrebbe sorprendere il fatto che uno dei rischi di configurazione più significativi sia il mancato cambiamento delle impostazioni predefinite. Questo errore è una spiegazione del fatto che la password più comune, anche nel 2023, è ancora 123456.

Gli ambienti di sviluppo, in particolare prima della distribuzione, spesso hanno configurazioni di sicurezza deboli per facilitare un’iterazione veloce o un debug ampio. Per evitare falle di sicurezza, le impostazioni dovrebbero essere rafforzate prima della distribuzione come parte del processo di consolidamento dell’applicazione in fase avanzata.

2. Controllo di accesso inadeguato
L’unica cosa peggiore di avere una password insicura è non averne affatto. Come illustrano le fughe di dati del Pentagono e di Microsoft, questa è una configurazione errata abbastanza comune. Un controllo di accesso insufficiente include credenziali deboli o mancanti che potrebbero consentire l’accesso non autorizzato al sistema o all’applicazione. Le squadre DevSecOps dovrebbero incorporare protocolli robusti di gestione dei privilegi d’accesso, idealmente basati sulla fiducia zero, lungo tutto il ciclo di sviluppo. Con così tanti componenti di sistema ora basati su cloud, la sicurezza perimetrale non è più sufficiente.

3. Componenti non aggiornati
Quasi tutte le applicazioni software contengono codice open-source, il che significa che le loro debolezze e vulnerabilità sono spesso di dominio pubblico. Quasi il 60% delle violazioni dei dati degli ultimi due anni avrebbe potuto essere evitato applicando patch alle vulnerabilità conosciute. Una volta scoperte le vulnerabilità del software open-source, gli hacker possono facilmente sfruttarle. Non è raro che gli attacchi avvengano mesi o anni dopo che una patch è stata rilasciata. Questo dovrebbe essere un obiettivo scontato per le squadre di sviluppo, ma tracciare tutti i componenti open-source in grandi codebase può essere difficile, specialmente se sono nascosti nelle dipendenze. Le squadre DevSecOps possono utilizzare uno strumento automatizzato di analisi della composizione del software (SCA) per esaminare la propria codebase e individuare tutti gli incidenti di codice open-source in modo che possano essere aggiornati e patchati adeguatamente.

4. Divulgazione eccessiva durante la gestione degli errori
Gli sviluppatori naturalmente desiderano ottenere il maggior numero possibile di informazioni quando si verifica un errore per poterlo risolvere rapidamente. Tuttavia, visualizzare troppi dati sugli errori agli utenti può rivelare falle potenzialmente sfruttabili agli attori malintenzionati.

Anche i messaggi di errore che non sembrano rivelare informazioni di per sé possono farlo quando combinati con altri messaggi di errore. Ad esempio, se un utente cerca un file e riceve il messaggio di errore “File non trovato”, e poi cerca un file diverso e riceve “Accesso negato”, può logicamente dedurre che il secondo file esista sul server. Le squadre DevOps dovrebbero creare standard per la gestione degli errori che restituiscano messaggi utili ma generici agli utenti, trasmettendo al contempo informazioni diagnostiche agli ingegneri.

5. Intestazioni di sicurezza deboli o mancanti
Le intestazioni di sicurezza HTTP possono proteggere contro gli attacchi di scripting tra siti (XSS) e clickjacking. Configurare intestazioni sicure su applicazioni web è uno dei modi più semplici per rafforzare le applicazioni. Anche se ci sono molteplici intestazioni di sicurezza che gli ingegneri possono implementare, le seguenti sono le più importanti per bloccare unilateralmente intere classi di attacchi:

Intestazione Strict-Transport-Security (HSTS) per forzare l’uso di connessioni crittografate
Content-Security-Policy (CSP) per un controllo granulare sui parametri del contenuto
X-Frame-Options per impedire che le pagine vengano caricate in iframes

6. Funzionalità non necessarie
In un ambiente in cui più è meglio e si tende all’aggiunta continua di funzionalità, disabilitare alcune di esse può sembrare uno spreco. Tuttavia, lasciare attive porte, servizi, account, privilegi o pagine non utilizzati fornisce l’opportunità di iniettare codice maligno in un’applicazione. Se le funzionalità non vengono utilizzate, non c’è motivo di abilitarle. Oltre ad aumentare la superficie di attacco, rappresentano uno spreco di risorse.

7. Mancanza di segmentazione di rete
Anche se una rete non segmentata non è di per sé una vulnerabilità sfruttabile, avere una rete monolitica facilita l’escalation dei privilegi quando un hacker ottiene l’accesso. Le squadre DevOps possono implementare controlli di sicurezza robusti su una rete segmentata. Le subnet possono essere protette in base al tipo di dati e applicazioni che contengono. Con connessioni limitate tra le reti, un hacker che ottiene l’accesso a una rete attraverso una falla di sicurezza non avrà le chiavi del regno.

Le migliori pratiche per evitare configurazioni errate della sicurezza delle applicazioni 

La sicurezza delle applicazioni è un processo multilivello che le squadre devono integrare nel processo di sviluppo fin dalle fasi più precoci. È significativamente più difficile — se non impossibile — affrontare adeguatamente la sicurezza alla fine del ciclo di vita dello sviluppo del software (SDLC). Come parte di un approccio DevSecOps completo allo sviluppo, le squadre dovrebbero implementare protocolli standard per prevenire configurazioni errate della sicurezza, compresi processi automatizzati per rilevare e mitigare le vulnerabilità durante la fase di sviluppo.

Static application security testing (SAST) possono individuare configurazioni errate comuni della sicurezza delle applicazioni in modo che possano essere corrette prima della distribuzione. Gli SCA tools  (SCA) possono trovare codice open-source in modo che le organizzazioni possano installare patch e aggiornamenti non appena diventano disponibili.

Migliora la tua strategia di sicurezza con Kiuwan

Kiuwan produce una suite completa di potenti strumenti di automazione della sicurezza che permettono agli sviluppatori di essere più efficaci in tutte le fasi del ciclo di vita dello sviluppo del software (SDLC). La nostra piattaforma di sicurezza delle applicazioni end-to-end si allinea con i framework di sicurezza standard del settore e funziona con tutti i principali linguaggi di programmazione.

Ottieni una DEMO del servizio di Kiuwan

Articolo originale

 

 

Integrazione tra SpyCloud e Cortex XSOAR

Integrazione tra SpyCloud e Cortex XSOAR

Le piattaforme di Orchestration, Automation, and Response (SOAR) sono strumenti preziosi per i team di sicurezza, fornendo una piattaforma centralizzata per la creazione ed esecuzione di flussi di lavoro di risposta agli incidenti. Da parte nostra, in SpyCloud, ci concentriamo sull’integrazione con le soluzioni e i flussi di lavoro SOAR che hai già implementato per approfondire la tua visibilità sulle minacce e rendere più semplice risolvere rapidamente le vulnerabilità conosciute che potrebbero portare a attacchi successivi.

Questo ci porta all’argomento di questo articolo: la nostra più recente integrazione con Palo Alto Cortex XSOAR.

Perché integrare SpyCloud con Cortex XSOAR?

SpyCloud espone credenziali di dipendenti esposte da miliardi di record di violazioni e malware recuperati dal sottobosco criminale profondo e oscuro, in modo che i team di sicurezza aziendale possano ridurre la finestra di esposizione e rimediare alle identità compromesse. Per i team che già utilizzano Cortex XSOAR, SpyCloud Enterprise Protection for Cortex XSOAR colma le lacune tra gli incidenti di esposizione legati all’identità e i flussi di lavoro di risposta e rimedio corrispondenti.

Puoi arricchire la tua risposta agli incidenti utilizzando il bot alimentato dall’apprendimento automatico di Cortex XSOAR, DBOT, per creare chiamate all‘API di SpyCloud e sfruttare l’ampio database di dati recuperati dal darknet di SpyCloud per scoprire rapidamente connessioni nascoste, identificare potenziali minacce e ottenere una comprensione più approfondita degli eventi correlati a ciascun incidente.

Con il potere combinato di entrambi gli strumenti, il tuo team può avere maggiore fiducia nei propri sforzi di prevenzione per il takeover di account mirati e gli attacchi informatici.

Cos’è Cortex XSOAR?

Cortex XSOAR® è la piattaforma estesa di Palo Alto Networks SOAR che automatizza i flussi di lavoro di sicurezza, ottimizza la risposta agli incidenti e migliora complessivamente la postura di sicurezza. Si tratta di una piattaforma altamente scalabile e personalizzabile che può essere implementata on-premises, in cloud o come soluzione ibrida. I team di sicurezza aziendale la utilizzano comunemente per rilevare, investigare e rispondere alle minacce e agli incidenti di sicurezza.

Come funziona l’integrazione SpyCloud Cortex XSOAR

Con l’integrazione di SpyCloud per Cortex XSOAR, i dati sulle violazioni e sul malware di SpyCloud vengono inglobati in XSOAR per creare incidenti e fornire la capacità di automatizzare i rimedi. I team di sicurezza possono utilizzare playbooks di risposta agli incidenti forniti o creare i propri playbooks automatizzati per rispondere a credenziali compromesse e esposizioni di malware.

L’integrazione chiama l’API di SpyCloud per recuperare nuovi record di violazioni e malware di SpyCloud, e quindi genera incidenti corrispondenti all’interno di Cortex XSOAR. I playbooks vengono eseguiti automaticamente quando vengono creati incidenti, richiamando dati arricchiti aggiuntivi per consentire ai team di sicurezza di valutare, assegnare e rimediare a incidenti specifici. Per integrare la risposta alle esposizioni di violazioni, l’integrazione di SpyCloud ingloba contestualmente record di malware altamente azionabili dal nostro dataset recuperato per aiutare a rimediare alle infezioni da malware tra utenti, dispositivi e applicazioni.

Come usare l’integrazione SpyCloud Cortex XSOAR

Per utilizzare l’integrazione SpyCloud Cortex XSOAR, sono disponibili due playbooks per i team:

1. Malware Incident Playbook: Questo playbook consente azioni di follow-up una volta creato un incidente di malware per aiutarti a rimediare alle esposizioni di malware e rimuovere tutti i punti ciechi tra utenti, applicazioni e dispositivi. I clienti con una licenza per il prodotto di prevenzione ransomware di SpyCloud, Compass, possono visualizzare tutti i record di malware di SpyCloud all’interno di XSOAR per le credenziali delle applicazioni esposte al di fuori della loro watchlist principale per rimediare completamente a tutte le minacce causate da infezioni da malware. Scopri di più sul framework di rimedio post-infezione di SpyCloud per ottimizzare i protocolli di risposta agli incidenti di malware, progettati per bloccare gli attacchi successivi da credenziali di applicazioni rubate e cookie di sessione sottratti da malware infostealer.

2. Inoltre, il Breach Playbook di SpyCloud agisce automaticamente sugli incidenti di violazione. In caso di violazione in cui le password in chiaro sono state esposte, SpyCloud crea e contrassegna l’evento come un incidente ad alta priorità in XSOAR e offre passaggi automatici aggiuntivi. Esempi includono: verificare la lunghezza della stringa e della password per confermare che si tratti di una minaccia; confermare che si tratti di un utente attivo e verificare le loro password attuali per un match e quindi reimpostare la password e eventuali passaggi aggiuntivi.

Ecco cosa puoi aspettarti utilizzando l’integrazione di SpyCloud con Cortex XSOAR:

  • Intelligence sulle minacce di prossima generazione: i team SOC ottengono una visione olistica dei potenziali rischi per i propri dipendenti e possono prioritizzare efficacemente gli sforzi di rimedio.
  • Flussi di lavoro ottimizzati: le informazioni di SpyCloud all’interno dei playbooks automatizzati di XSOAR semplificano il processo di rimedio riducendo l’intervento manuale e migliorando l’efficienza.
  • Rimedio avanzato: i team possono utilizzare l’interfaccia DBOT di XSOAR per creare facilmente chiamate API personalizzate per recuperare informazioni dal database di SpyCloud per rimedi più avanzati.

I requisiti tecnici per l’integrazione di SpyCloud con Cortex XSOAR includono:

Ottieni una demo

Articolo originale

Automate to elevate: 13 casi d’uso di automazione per il tuo SOC … e oltre

Automate to elevate: 13 casi d’uso di automazione per il tuo SOC … e oltre

Qualcuno ha detto automazione oltre il SOC?

Sì, hai sentito bene! Man mano che gli attacchi diventano più frequenti e sofisticati, le squadre di sicurezza richiedono automazione per mitigare gli avvisi, unificare le fonti di telemetria e migliorare complessivamente l’efficacia di SecOps.

Automatizzare i casi d’uso all’interno e oltre il SOC aiuta le organizzazioni a tenere il passo con gli avvisi e massimizzare il ritorno sull’investimento (ROI) per tutte le loro tecnologie di sicurezza.

Nell’ebook “Automate to Elevate: 13 Automation Use Cases for Your SOC and Beyond”, ti invitiamo a scoprire le infinite opportunità dell’automazione della sicurezza abilitata dall’IA dentro e oltre il SOC.

OTTIENI L’EBOOK

Cosa sono Threat Detection e Incident Response?

Cosa sono Threat Detection e Incident Response?

L’aumento delle minacce digitali ha spinto il mercato a introdurre una serie di soluzioni di sicurezza. Ma la domanda bruciante rimane: queste soluzioni sono abbastanza robuste da individuare le vulnerabilità e mitigare efficacemente i rischi? Esploriamo il campo del rilevamento delle minacce e della risposta agli incidenti, comunemente noto come TDIR, per trovare le risposte.

Cos’è esattamente il TDIR?

Evolvendo dal suo predecessore TDR, il TDIR racchiude l’intero processo di individuazione delle minacce di rete e di risposta agli incidenti, una metodologia che integra in modo fluido le capacità tradizionali del Security Operations Center (SOC), elevando il processo di sicurezza a nuovi livelli.

Ma proprio come il rischio interminabile nel mondo digitale, il TDIR diventa un percorso di miglioramento continuo, e strumenti come XDR, SIEM e SOAR sono cruciali per tenere il passo con l’assalto delle minacce informatiche.

Cos’è il Threat Detection?

Ma prima di esaminare le soluzioni per il TDIR, analizziamo la prima metà di questo dinamico duo: il Rilevamento delle Minacce. Simile a un radar di cybersecurity che scandaglia per potenziali pericoli, il rilevamento delle minacce si riferisce al processo di identificazione e analisi di potenziali minacce interne e diversi tipi di attacchi informatici o attività dannose che potrebbero compromettere la sicurezza dell’ambiente IT di un’organizzazione.

Questo approccio proattivo mira a individuare l’accesso non autorizzato, le vulnerabilità e i comportamenti anomali che potrebbero indicare una violazione della sicurezza. Il rilevamento delle minacce coinvolge il monitoraggio continuo dei dati di rete, delle applicazioni e di altri asset per individuare segni di compromissione e rischi potenziali.

I diversi tipi di Threat Detection

Il rilevamento delle minacce comprende vari metodi per identificare i potenziali rischi per la sicurezza informatica. Ecco quattro tipologie:

1. Rilevamento basato su firme:
Utilizza modelli o firme predefiniti per identificare minacce conosciute.
Comunemente usato nei software antivirus.
Limitazione: Inefficace contro minacce nuove o in evoluzione.

2. Analisi comportamentale:
Esamina i modelli di comportamento per individuare anomalie.
Si concentra sulle deviazioni dal normale comportamento del sistema o dell’utente.
Effettivo nell’individuare minacce precedentemente sconosciute.

3. Rilevamento basato sull’apprendimento automatico:
Impiega algoritmi per analizzare i dati e apprendere modelli.
Si adatta alle minacce in evoluzione migliorando continuamente la sua comprensione.
Aumenta l’accuratezza nell’individuare minacce complesse e dinamiche.

4. Intelligence sulle minacce:
Coinvolge il monitoraggio di fonti esterne per informazioni sulle minacce emergenti.
Integra dati sulle minacce esterne per potenziare le capacità di rilevamento.
Consente una difesa proattiva contro le minacce conosciute.

Cos’è incident Response?

Ora, l’altra metà del TDIR – la risposta agli incidenti, è l’approccio organizzato e strategico adottato dalle organizzazioni in risposta agli incidenti di sicurezza informatica individuati nella fase di rilevamento delle minacce. Coinvolge una serie di procedure mirate a individuare, gestire e mitigare l’impatto degli attacchi informatici per ridurre al minimo danni, tempi di ripristino e costi complessivi. Questo avviene attraverso:

– Identificazione e contenimento dell’incidente
– Eradicazione della minaccia
– Ripristino dei sistemi interessati
– Conduzione di un’analisi post-incidente approfondita per migliorare la gestione degli incidenti futuri

In termini più semplici, la risposta agli incidenti (IR) è il processo in cui un team dedicato utilizza framework e strumenti per razionalizzare e migliorare gli sforzi di risposta alla sicurezza.

Le Fasi della Incident Response

Una risposta agli incidenti ben consolidata è fondamentale per una sicurezza efficiente e risultati migliorati. Ma, naturalmente, ogni organizzazione è unica. Lo stesso vale per la risposta agli incidenti nella sicurezza informatica, dove vengono considerate diverse metriche e framework.

Anche se le organizzazioni ben note hanno il proprio insieme di approcci IR e metodi di soluzione comuni, tutto si riduce a sei fasi principali. Esaminiamo le sei fasi della risposta agli incidenti:

1. Pianificazione: Ogni processo inizia con la preparazione. I team IR elaborano politiche essenziali, playbook e implementano gli strumenti giusti per garantire di essere pronti per qualsiasi sfida di sicurezza che si presenti loro.
2. Rilevamento: Passando rapidamente all’azione, la fase di rilevamento mette in luce il compito cruciale dell’identificazione delle minacce. Utilizzando strategie di rilevamento efficaci, il team setaccia i dati per individuare, valutare e convalidare potenziali incidenti di sicurezza.
3. Contenimento: Una volta individuata una minaccia alla sicurezza e validata la sua esistenza, l’attenzione si sposta sul contenimento. Viene attivato un piano di risposta agli incidenti ben ponderato, mirando a limitare i danni e riprendere rapidamente il controllo del sistema.
4. Eradicazione: Con il contenimento riuscito, entra in gioco la fase di eradicazione per eliminare ogni traccia delle minacce. Ciò comporta l’eliminazione di account utente maligni e la valutazione approfondita delle vulnerabilità che potrebbero essere state sfruttate.
5. Ripristino: Quando è tempo di riprendersi, inizia la fase di ripristino ed è tutto incentrato sul ripristino delle operazioni normali. I team IR intraprendono passi strategici per mitigare rischi e vulnerabilità, garantendo che il sistema si rimetta in piedi.
6. Rimedio: Chiudendo il capitolo, la fase di rimedio è dove si imparano le lezioni. Nonostante le potenziali gravi conseguenze della violazione, il team effettua una revisione approfondita – dall’identificazione di falle di sicurezza all’esame di politiche potenzialmente obsolete. Non si tratta solo di recuperare; si tratta di evolvere e rafforzarsi contro le minacce future.

Come si è evoluto il TDIR rispetto al TDR?

Il rilevamento delle minacce e la risposta agli incidenti derivano dalle carenze del TDR. Il TDIR offre una maggiore copertura attraverso funzionalità, consentendo un piano di sicurezza più consolidato e meno rischi di sicurezza e violazioni in futuro. Quindi, si è evoluto da semplice rilevamento e risposta alle minacce a ora rilevamento delle minacce e risposta agli incidenti.

La piccola modifica potrebbe sembrare insignificante e può essere trascurata, ma è in realtà monumentale. Con la risposta agli incidenti nell’equazione, aree chiave come l’eradicazione, il ripristino e la ripresa hanno luogo.

L’impatto del rilevamento delle minacce e della risposta agli incidenti

La rilevanza del TDIR si estende oltre l’individuazione delle vulnerabilità e la risposta agli attacchi informatici. È un processo a tutto campo che influenza l’intera attività aziendale, dal lato finanziario all’aspetto gestionale. Con il TDIR, tutti i sistemi e le reti possono essere mantenuti in uno stato sicuro.

E naturalmente, la tecnologia influenza la crescente necessità di migliori strumenti TDIR. Le minacce informatiche continuano a moltiplicarsi e l’unico modo per combattere questi rischi è avere un’infrastruttura sicura e un framework di sicurezza affidabile.

Quali minacce identifica e previene il TDIR?

Il panorama informatico è sommerso da minacce, in agguato e semplicemente in attesa del prossimo bersaglio. Anche con l’ampiezza e la complessità di questi rischi, una piattaforma affidabile di playbook TDIR svolge il compito di proteggere il sistema da queste possibili minacce. Alcune delle minacce informatiche ampiamente diffuse includono:

– Ransomware
– Malware
– Attacchi DDoS
– Phishing
– Worms

Oltre agli attacchi informatici tipici, ci sono anche campagne di attacco più ingenue che creano un rischio aggiuntivo per le aziende. Le minacce persistenti avanzate o APT sono campagne altamente sofisticate e sostenute che facilmente eludono le misure di sicurezza. Queste sono supportate da hacker di alto livello, configurando una violazione più complessa nel sistema.

Strumenti per il Rilevamento delle Minacce e la Risposta agli Incidenti

Nel corso degli anni, gli strumenti che supportano il TDIR si sono evoluti, con i cambiamenti largamente influenzati dalle modifiche nel panorama digitale e dalla modernizzazione delle minacce che sfuggono al radar. XDR, SIEM e SOAR sono alcune delle tecnologie più comuni che ruotano attorno alla metodologia TDIR. Ognuna presenta specializzazioni nella sicurezza dell’infrastruttura, anche se si sovrappongono in determinate aree.

XDR (Extended Detection and Response)
XDR fornisce un solido piano d’azione in termini di rilevamento delle minacce e indagini attraverso la correlazione dei dati tra diversi strati di sicurezza. Questi includono informazioni raccolte da endpoint, carichi di lavoro cloud, reti, server e simili. Attraverso un’analisi dettagliata della sicurezza, ottimizza i tempi di risposta e migliora le indagini.

SIEM (Security Information and Event Management)
SIEM supporta i principali framework del TDIR, in particolare il rilevamento delle minacce e la gestione della sicurezza. Lavora sulla raccolta e analisi approfondite delle informazioni di sicurezza per identificare minacce potenziali prima che raggiungano il sistema. Questa tecnologia moderna utilizza varie fonti per individuare eventuali deviazioni dalla norma e intraprendere le azioni necessarie.

SOAR (Security Automation, Orchestration, and Response)
Gli strumenti SOAR combinano risposta agli incidenti, orchestrazione, automazione e capacità di intelligence sulle minacce in un’unica funzionalità. I team SOC moderni hanno superato gli strumenti SOAR e ora optano per piattaforme di automazione della sicurezza abilitate all’IA per i loro casi d’uso SOAR e TDIR. Le piattaforme di automazione della sicurezza sono uno strumento TDIR efficace, accelerando significativamente il processo di mitigazione grazie al loro approccio flessibile e scalabile all’automazione della risposta agli incidenti, aggiungendo contesto dettagliato ai dati degli incidenti e unificando tutti gli elementi del Security Operations Center (SOC).

Migliora il Rilevamento delle Minacce e la Risposta agli Incidenti con Swimlane

Ottenere un team di professionisti competenti non è semplicemente sufficiente per contrastare gli attuali attacchi informatici e le minacce emergenti nel settore. Ogni impresa, soprattutto quelle più grandi, ha bisogno di strumenti dedicati e avanzati per risolvere i problemi di sicurezza e ottimizzare i processi in modo efficiente.

Per questo motivo, una missione fondamentale di Swimlane è quella di proteggere le organizzazioni da vulnerabilità e violazioni e ottimizzare le procedure di sicurezza principali. Swimlane Turbine è la prima e unica piattaforma di automazione della sicurezza abilitata all’IA che sta ridefinendo i processi SecOps attraverso soluzioni di rilevamento e risposta alle minacce a basso codice.

Per migliorare il flusso di lavoro complessivo del SOC e la retention dei dipendenti, perché non far affrontare parte del carico all’automazione? Potresti sorprenderti nel sapere che l’80% dei processi di risposta stabiliti può effettivamente essere automatizzato. Rispondi più rapidamente agli eventi critici, minimizza l’esposizione al rischio e lascia che le persone lavorino su attività più pertinenti con soluzioni TDIR affidabili di Swimlane.

Richiedi una demo

Articolo originale

Una guida attraverso il labirinto di M365: approfondimenti sulle sfide di sicurezza per gli amministratori IT

ThreatConnect CAL: Threat Intel AI&ML-Powered

Approfondiamo la fonte di potenza – il cervello, se vogliamo – della piattaforma TI Ops di ThreatConnect – ThreatConnect CAL. Questa capacità innovativa utilizza Intelligenza Artificiale Generativa, elaborazione del linguaggio naturale (NLP) e apprendimento automatico (ML) per fornire analisi avanzate e intelligence globale.

I punti salienti delle funzionalità di CAL includono:

  • Analisi avanzate: Accesso a dati informativi in tutta la piattaforma per un’efficienza operativa.
  • Fonti di dati ricche: CAL offre un’intelligence completa con accesso a oltre 300 fonti (OSINT, feed di intelligence alimentati da analytics proprietari, comunità degli utenti di ThreatConnect) e traccia 241 miliardi di punti dati.
  • Sfruttamento delle informazioni dalla comunità degli utenti di ThreatConnect: CAL analizza oltre 200 milioni di osservazioni anonime giornaliere degli utenti di ThreatConnect in tutto il mondo per fornire una prospettiva collettiva sulle minacce.
    E c’è di più! Approfondiamo ulteriormente le capacità di CAL e il suo potere di consentire agli analisti di ottenere maggiore efficienza e conoscenze con la loro intelligence sulle minacce attraverso la piattaforma TI Ops di ThreatConnect.

Insights dell’IA – Fornisce riassunti generati dall’IA all’interno della Automated Threat Library di CAL. Gli utenti ottengono punti facili da leggere e un breve riassunto, che fornisce una comprensione dei contenuti di un Report.

Analisi MITRE ATT&CK – Il trattamento del linguaggio naturale (NLP) di CAL analizza i contenuti presenti nei blog, nei siti web e in altre fonti di testo, li interpreta e identifica le tecniche ATT&CK. Questo semplifica il processo laborioso di analisi e etichettatura dei dettagli di intelligence, risparmiando tempo e sforzo.

Automated Threat Library di CAL – La Automated Threat Library di CAL semplifica la cura dell’intelligence sulle minacce open source. Raccoglie intelligence da oltre 60 fonti di intelligence open source (OSINT), inclusi blog e siti web, e semplifica il compito degli analisti di leggere, analizzare e memorizzare l’intelligence proveniente da tali fonti. In termini pratici, aiuta gli analisti a risparmiare ore di lavoro manuale al giorno.

CAL Feeds – Alimentati dalle analisi AI di ThreatConnect, i CAL Feeds forniscono oltre 60 nuovi feed di intelligence sulle minacce unici per ThreatConnect e feed open source ottimizzati.

ThreatAssess Scoring – Migliora la valutazione delle intelligence con ThreatAssess, riducendo al minimo i falsi positivi e consentendo una prioritizzazione efficiente delle informazioni. ThreatAssess fornisce un punteggio consolidato per ciascun Indicatore, derivato da dati completi provenienti da tutte le fonti di intelligence nella Threat Library. Questo approccio semplifica il processo di valutazione, promuovendo una valutazione accurata e una prioritizzazione strategica delle informazioni e delle minacce in caso di potenziale attacco.

CAL Feed Explorer and Report CardsCAL Feed Explorer e le Report Cards forniscono un pratico rapporto di performance per tutti i feed di intelligence abilitati nella piattaforma, consentendo confronti diretti tra i feed con metriche aggregate da altre fonti. È una funzione preziosa per l’analisi e l’ottimizzazione dei feed in quanto utilizza con una scheda che fornisce una valutazione di affidabilità, misura i falsi positivi e il punteggio di performance basato su più indicatori. Le Report Cards elencano Classificatori Comuni da CAL e analisi per metriche chiave come Indicatori Unici, Primo Segnalato, Disposizione di Punteggio e Copertura del Classificatore. È un modo conciso per ottimizzare le tue fonti di intelligence.

Intelligence Anywhere – Raccogliere informazioni in modo efficiente da risorse online con ThreatConnect Intelligence Anywhere. Con un semplice clic, esamina istantaneamente e identifica dettagli rilevanti da varie fonti, tra cui pagine web statiche e dinamiche, piattaforme di social media e email. Questa funzionalità ti consente di comprendere rapidamente le conoscenze esistenti su un Indicatore o minaccia conosciuta e di aggiungerle senza soluzione di continuità alla tua Threat Library per futuri sforzi di analisi e investigazione.

Indicator Reputations – Sfrutta l’apprendimento automatico in CAL per effettuare un’analisi della reputazione, assegnando un punteggio alla criticità di un Indicatore su una scala numerica singola per prioritizzare la presa di decisioni e ridurre al minimo i falsi positivi.

ThreatConnect CAL offre un set completo di funzionalità per potenziare le operazioni di intelligence sulle minacce. Dall’analisi avanzata ai riassunti generati dall’IA, la piattaforma fornisce funzionalità per consentire agli analisti di navigare, analizzare e prioritizzare l’intelligence sulle minacce in modo efficiente ed efficace.

Articolo originale

Richiedi una demo ThreatConnect

“Pantsless Data”: Decodifica delle tattiche, tecniche e procedure (TTPs) del cybercrime cinese

“Pantsless Data”: Decodifica delle tattiche, tecniche e procedure (TTPs) del cybercrime cinese

Per anni, la maggior parte della ricerca sulla sicurezza industriale e le segnalazioni pubbliche si sono concentrate sui cybercriminali con sede nei paesi occidentali e in Russia. Sebbene ci siano motivi validi per questo – molteplici cyberattacchi sofisticati e le conseguenti fughe di dati sono stati attribuiti a gruppi di cybercriminali con sede in quelle regioni – come comunità di ricerca, stiamo trascurando un pezzo crescente del puzzle che si nasconde proprio sotto il nostro naso: la comunità di minaccia di lingua cinese.

Su Telegram, X (ex Twitter), altri siti di social media e forum sotterranei, hacker cinesi, broker di dati, crawler e venditori hanno costruito un vasto ecosistema di commercio illegale di dati pubblicizzando grandi quantità di informazioni personalmente identificabili (PII). Attraverso la ricerca dei laboratori di SpyCloud, abbiamo scoperto che questi dati vengono ottenuti attraverso mezzi tradizionali e attraverso tattiche, tecniche e procedure (TTPs) che sono state adattate per adattarsi al paesaggio unico dell’industria delle telecomunicazioni cinese:

  • Le TTP tradizionali per l’estrazione dei dati includono lo sfruttamento delle vulnerabilità e gli attacchi basati su SMS
  • Le TTP uniche per l’estrazione dei dati includono kit di sviluppo software (SDK) maligni, ispezioni approfondite dei pacchetti (DPI), servizi di penetrazione, accesso interno supportato da contratti formali e applicazioni mobili contraffatte.

In questo blog, esamineremo le nostre scoperte, che sottolineano la capacità degli attori di lingua cinese di perdere e diffondere costantemente grandi quantità di dati.

L’importanza dei Threat Actor cinesi

L’importanza degli attori cinesi è significativa poiché questa rete di commercio illegale impatta sia le entità cinesi che le organizzazioni globali, dato che i cybercriminali di lingua cinese mirano sempre più a persone e aziende internazionali. Secondo varie segnalazioni, sebbene non confermate dai laboratori di SpyCloud, da parte di media cinesi all’inizio del 2022, il valore del mercato nero dei dati è stato stimato tra i 100 e i 150 miliardi di yuan. Questa cifra si basa su stime condivise da presunti esperti del settore che hanno parlato direttamente con i media. Nel gennaio 2024, un’agenzia di stampa cinese ha affermato che questa cifra ha superato i 150 miliardi di yuan. SpyCloud Labs non è riuscita a individuare le fonti originali di queste stime. È importante per noi come comunità comprendere la differenza tra fughe di dati pubblicate solo su canali occidentali, fughe di dati pubblicate su canali cinesi e fughe di dati pubblicate su entrambi, poiché la minaccia delle capacità cibernetiche degli attori cinesi continua a crescere. La ricerca concentrata solo sui canali occidentali trascura una base sostanziale di informazioni uniche alle comunità di attori di lingua cinese e raramente viene trasportata attraverso confini definiti linguisticamente.

I risultati della ricerca: Tendenze e TTPs

Telegram ha consentito agli attori con sede in Cina di eludere la sorveglianza a cui potrebbero normalmente essere sottoposti nel loro paese. Questi attori utilizzano servizi di proxy o VPN per connettersi all’app di messaggistica. Gli analisti dei laboratori di SpyCloud hanno osservato l’uso delle seguenti tendenze e TTPs da parte degli attori di minaccia di lingua cinese su Telegram.

Annunci e parole chiave su Telegram
Gli attori cinesi di lingua cinese utilizzano il loro vernacolo per descrivere e pubblicizzare i dati rubati. Questo vernacolo è composto da colloquialismi cinesi e parole chiave utilizzate per trasmettere tipi di dati specifici, obiettivi, vittime e funzioni lavorative delle persone coinvolte nel commercio illegale di dati.

Il sinonimo cinese di “library dragging”, che si riferisce all’hacking di siti e all’estrazione dei loro dati, si traduce approssimativamente in “rimozione dei pantaloni”. Ciò ha portato all’uso comune di “pantsless data” per descrivere database hackerati. All’interno delle comunità criminali cinesi, termini come “pantsless” e altri ad esso correlati vengono spesso utilizzati nelle pubblicità. Comprendere termini gergali come questi può aiutare i ricercatori non solo a identificare e categorizzare accuratamente i dati trapelati, ma anche ad interagire con gli attori in modo più fluido.
SpyCloud Labs ha osservato che queste pubblicità di fuga dei dati seguono principalmente una struttura specifica che oscura alcuni dettagli, come il nome della vittima, probabilmente come misura per mantenere l’accesso a tale entità oltre a proteggere i loro dati dall’intervento delle forze dell’ordine. Invece di rivelare il nome di una specifica azienda, questi attori spesso si riferiranno ai dati violati utilizzando parole chiave affiliate al settore in cui si trovano le entità vittime.

X (Twitter)

Gli analisti dei laboratori di SpyCloud hanno osservato che gli attori minaccia cinesi sfruttano altri siti di social media, come X (formalmente Twitter), per pubblicizzare le loro offerte. I post su X tendono a riflettere quelli trovati su Telegram, poiché si riferiranno ai settori piuttosto che a entità specifiche e utilizzano parole chiave come “SDK/DPI” per dare contesto alle loro offerte. Ulteriori informazioni sugli SDK, DPI e metodi aggiuntivi possono essere trovate nella sezione successiva.

Metodi di esfiltrazione dei dati

I dati diffusi dagli attori cinesi su Telegram sono spesso indicati dal loro valore, relativo al metodo utilizzato per esfiltrarli. I dati “ad alto valore” sono percepiti da questi attori come sia accurati che tempestivi, talmente tempestivi che a volte i dati vengono definiti come violati quasi in “tempo reale”.

Precisione: Accesso tramite login > SMS > DPI > SDK > Strumenti di penetrazione (Crawler/Reptile)
Tempestività: Accesso tramite login > DPI > SMS > SDK > Strumenti di penetrazione (Crawler/Reptile)

Quando questi attori ricevono richieste di dati da potenziali clienti o clienti esistenti, cercheranno di acquisire i dati attraverso i metodi di raccolta ed esfiltrazione più tempestivi e accurati. Se i dati richiesti non possono essere raccolti tramite accesso al login, l’attore potrebbe scegliere di tentare di acquisire i dati attraverso metodi SMS o DPI, e così via.

Accesso tramite login

Secondo i membri della comunità degli attori di minaccia di lingua cinese, i dati più accurati e tempestivi vengono raccolti tramite “accesso diretto al login”. I venditori affermeranno di avere accesso al login alle app o ai siti web che possono facilmente sfruttare, rendendoli l’unica persona coinvolta nell’esfiltrazione dei dati e nella successiva vendita dei dati.

A differenza dei metodi che verranno successivamente affrontati in questo blog, i dati esfiltrati direttamente dalla loro fonte non devono passare di mano tra la fonte, un insider, un intermediario o un broker dati prima di raggiungere il cliente. Ciò consente agli attori di esfiltrare dati con maggiore fiducia e controllo sulla sua fedeltà e tempestività. Gli attori affermeranno di avere autorizzazioni di backend per queste risorse, molto probabilmente acquisite in modo malintenzionato.

Gli attori sono ben versati nelle vulnerabilità di determinate app e i ricercatori dei laboratori di SpyCloud hanno osservato che principalmente pubblicizzano l’accesso al backend a specifiche industrie tra cui lotterie, sport, scacchi e casinò.

Questi dati possono includere sia PII domestici che stranieri.

Hijacking degli SMS, smishing, stazioni base pseudo (PBS)

Gli attori di Telegram con sede in Cina considerano i dati raccolti attraverso vari attacchi focalizzati sugli SMS il secondo tipo più accurato. Questo è in parte dovuto all’interferenza limitata richiesta per intercettare ed esfiltrare informazioni sensibili. Nel caso di attacchi man-in-the-middle (MITM), attacchi di risposta e sniffing degli SMS, una terza parte non autorizzata intercetta le informazioni condivise tra un utente finale e una parte fidata e utilizza tecniche di ingegneria sociale per raccogliere informazioni sensibili. Gli attori utilizzeranno modelli di messaggio con parole chiave che sono note per essere utilizzate da entità principali, come le banche, per ingannare le loro vittime facendo loro credere che i messaggi che stanno ricevendo siano legittimi.

Pseudo base stations  (PBS), che sono tipi maliziosi di mini torri cellulari, possono essere utilizzate per rubare informazioni personali dai dispositivi mobili nelle vicinanze attraverso lo sniffing degli SMS. Le PBS intercettano i segnali GSM legittimi trasmessi tra i dispositivi mobili e le reti di telecomunicazioni. Due delle tre principali compagnie di telecomunicazioni della Cina (China Mobile e China Unicom) utilizzano il GSM. Pertanto, potrebbero esserci fino a centinaia di milioni di utenti cinesi di telefonia mobile su reti abilitate GSM, e un certo numero di cittadini in Cina è anche soggetto a furto di dati da vulnerabilità nel protocollo GSM.

Le reti GSM possono anche essere utilizzate maliziosamente per infettare i dispositivi mobili per accedere ed esfiltrare dati sensibili, sebbene al momento i ricercatori non abbiano confermato se questa sia una tattica comune utilizzata dagli attori di Telegram cinesi.

Questi dati possono essere percepiti come meno tempestivi, rispetto alla loro accuratezza, probabilmente a causa della durata del ciclo di attacco. L’utilizzo di tattiche di ingegneria sociale per raccogliere dati sensibili richiede generalmente più tempo per essere aggregato una volta raccolto. I dati raccolti attraverso l’intercettazione degli SMS possono includere numeri di telefono, provider di telecomunicazioni, codici di verifica e informazioni sulla posizione.

Deep packet inspection (DPI)

I fornitori di telecomunicazioni, come quelli sopra menzionati, utilizzano la deep packet inspection (DPI) per gestire il traffico all’interno delle rispettive reti. Il DPI ispeziona i frame di rete a un livello più olistico e invasivo, spesso attraverso cracking/decrittazione SSL, al fine di classificare correttamente il traffico. A causa di questa decrittazione, le informazioni sensibili sono soggette a esposizione se l’analisi DPI finisce nelle mani sbagliate.

Gli attori di Telegram pubblicizzano dati “DPI”, che spesso includono PII come numeri di telefono, informazioni sulla posizione, indirizzi IP e URL. Questi attori apparentemente sono in grado di accedere a questi dati attraverso accordi formali firmati con China Telecom, China Unicom e China Mobile. Questo indica una volontà di presunti dipendenti legittimi di favorire relazioni illecite con attori basati su Telegram che vendono e condividono questi dati nei rispettivi canali. Non è chiaro se i dipendenti delle telecomunicazioni traggano vantaggio finanziario o altro da questa partnership, poiché esempi specifici di questi accordi formali non sono stati resi pubblici.

DPI tende ad essere composta principalmente da dati domestici, anche se i turisti e gli stranieri possono essere soggetti a furto di dati tramite DPI. Un modo in cui ciò può accadere è se un non residente in Cina visita il paese e acquista una SIM card cinese per avere un accesso persistente alla rete. Quando il telefono tenta di comunicare sulla rete, quel traffico è soggetto a DPI.

Sulla scala dell’accuratezza, il DPI cade esattamente a metà. Questo può essere perché i dati DPI – anche se resi accessibili tramite accesso interno – provengono comunque da una fonte non posseduta dall’attore minaccia che li vende. È considerato il secondo metodo di esfiltrazione dei dati più tempestivo, il che potrebbe essere attribuibile ai tempi di lavorazione dei dati eventualmente espressi all’interno degli accordi formali firmati.

Software development kits (SDK)

I Software development kits  (SDK) sono pacchetti legittimi di strumenti software che vengono raggruppati insieme per essere utilizzati dagli sviluppatori di app. Gli SDK sono spesso sviluppati separatamente dalle applicazioni stesse, lasciando spazio agli attori malintenzionati per produrre i propri SDK da offrire agli sviluppatori. In alcuni casi, ciò include l’acquisizione di SDK da fonti aperte come GitHub, dove attualmente sono ospitati oltre 8.600 repository SDK pubblici. A seconda di come è configurato uno SDK e di come viene successivamente utilizzato dagli sviluppatori per codificare le funzionalità all’interno della loro app, possono essere raccolti ed esfiltrati vari tipi di dati personali e sensibili. Queste informazioni possono includere numeri di telefono, generi, età e informazioni sulla posizione. La maggior parte dei dati degli SDK tende ad essere PII domestica di cittadini cinesi.

Alcuni attori di lingua cinese affermano di avere relazioni con i produttori di telefoni cellulari, suggerendo di aver ottenuto accesso al backend degli SDK delle app native del sistema operativo di un telefono cellulare. La natura esatta di questo tipo di relazione non è chiara e non si sa se vengano utilizzati accordi formali firmati, come nel caso dei broker di dati DPI.

La maggior parte degli attori che pubblicizzano dati degli SDK probabilmente è più distante dalla fonte dei dati rispetto a coloro che affermano di avere accesso al backend. Gli attori sono stati osservati pubblicizzare i loro dati degli SDK con attributi “t+1” e “t+2”. Questi attributi probabilmente si riferiscono alla quantità di tempo in giorni dopo la data di perdita iniziale (t) in cui il cliente riceverà il suo ordine. Queste finestre di uno e due giorni danno apparentemente al venditore abbastanza tempo per ottenere i dati dai loro contatti da consegnare al cliente finale.

Nei canali di Telegram in lingua inglese e in altre lingue occidentali, gli SDK dannosi vengono pubblicizzati sotto il pretesto di campagne di “marketing di affiliazione”, dove gli attori incentivano finanziariamente gli utenti potenziali dei loro SDK con ricavi pubblicitari. Non è chiaro se gli attori con sede in Cina cerchino di incentivare gli sviluppatori a utilizzare i loro SDK dannosi allo stesso modo, poiché c’è meno dibattito pubblico riguardo alla pubblicità dei loro SDK. La mancanza di dibattito pubblico potrebbe suggerire che queste discussioni avvengono in comunità chiuse per proteggere il loro accesso.

Gli SDK sono considerati uno dei metodi di esfiltrazione meno accurati e meno tempestivi. Le persone attente alla sicurezza potrebbero scegliere di limitare la quantità di informazioni personali condivise con un’applicazione o potrebbero consapevolmente inviare informazioni incorrette al fine di proteggere al meglio la propria identità, compromettendo quindi la fedeltà delle informazioni esfiltrate. Sembra che molti venditori di SDK su Telegram siano diversi passaggi distanti dalla fonte dei dati degli SDK, il che significa che queste informazioni devono passare attraverso diverse mani prima di arrivare al cliente, diluendo ulteriormente la loro tempestività e accuratezza.

Strumenti di penetrazione

Gli attori di Telegram cinesi sono stati osservati fare affidamento su entità di terze parti per supportare il loro commercio di dati. Questo può includere strumenti di penetrazione noti come web crawler, applicazioni mobili fraudolente (trojanizzate) e kit di phishing. Questi metodi vengono utilizzati per mirare ai dati oltreoceano e nei casi in cui gli attori non hanno accesso interno o diretto agli SDK o al DPI. Gli analisti dei laboratori di SpyCloud hanno osservato che questi servizi di penetrazione vengono offerti a un prezzo compreso tra 12.000 e 14.000 dollari statunitensi.

Altre sfaccettature dell’ecosistema illecito del commercio dei dati

Dati finanziari CVV/POS

I venditori di dati cinesi rivolgono la loro attenzione alle vittime globali per integrare le loro offerte di dati finanziari. Questo è in parte dovuto alla popolarità dei pagamenti mobili – rispetto alle transazioni dirette con carta di credito – in Cina attraverso app come AliPay e WeChat. Sulla base delle conversazioni pubbliche all’interno di questi canali, sembra che molti attori utilizzino sia lo sniffing delle carte di credito che kit di phishing per mirare alle loro vittime ed esfiltrare dati finanziari. Gli strumenti e i metodi specifici vengono condivisi solo privatamente.

Sebbene i venditori di dati spesso pubblicizzino carte di credito provenienti da una varietà di paesi, molti annunci evidenziano esplicitamente la disponibilità di dati di carte di credito basate negli Stati Uniti e in Giappone, probabilmente a causa dell’alto reddito pro capite in entrambi i paesi. I canali di Telegram che pubblicizzano informazioni sulle carte di credito comunemente utilizzano parole chiave in lingua inglese come “CVV” o “CVV/POS” per riferirsi alle loro offerte di carte di credito, probabilmente per indicare che dispongono di set completi di numeri di carta di credito, compresi i codici CVV.

Gli operatori di questi canali di Telegram a volte rilasciano interi set di “fullz” di carte di credito direttamente in un messaggio del canale o come file di testo, molto probabilmente come prova. Le carte di credito che sono state verificate o su cui è stata eseguita una piccola pre-autorizzazione costeranno più di quelle che non sono state validate.

Social Work Libraries (SGK)

Gli attori minaccia cinesi creano i propri repository centralizzati di PII trapelati in quello che viene definito come Social Work Libraries (SGK). Sembra che una volta che un attore vende un insieme di dati, attendano un certo periodo di tempo e poi caricano quei dati venduti nel loro SGK. Queste biblioteche spesso richiedono agli utenti di registrarsi con un indirizzo email o un nome utente e una password, anche se sembra che non ci siano restrizioni evidenti su chi può registrarsi. Gli utenti registrati possono cercare nel dataset strutturato vari record, tra cui ID QQ, password, indirizzi email e numeri di telefono. La maggior parte degli SGK offre accessi a più livelli, con “utenti gratuiti” (utenti che si sono registrati, ma non hanno depositato alcun BTC sul loro account) in grado di eseguire query di ricerca, ma ottenendo solo risultati limitati ed oscurati, con risultati più completi che sono dietro un paywall. Gli analisti di SpyCloud hanno limitato il campo della loro attuale ricerca ai livelli di biblioteca non retribuiti.

Gli SGK non sono solo un’altra iniziativa redditizia per i venditori di dati, ma consentono anche agli attori minaccia di raccogliere dati relazionali per perpetuare altri tipi di frodi. La ricerca di un numero di telefono in un SGK potrebbe restituire altre informazioni sensibili, come ID account correlati o indirizzi email. Gli attori possono utilizzare questo tipo di informazioni per supportare campagne di phishing, ingegneria sociale e furto di identità.

Conclusioni

In sintesi, il panorama degli attori minaccia cinesi è caratterizzato da un fiorente commercio illecito di dati che ha origine nelle comunità di lingua cinese, ma che ha un impatto su persone in tutto il mondo. Con un’enfasi sui dati in tempo reale, i cybercriminali cinesi lavorano incessantemente per rendere persistentemente disponibili informazioni personali identificabili (PII) ad altri attori per condurre attacchi informatici.

Principali punti chiave:
1. La minaccia si estende oltre i confini cinesi: Chiunque abbia una SIM cinese che si connette a un provider di telecomunicazioni cinese è vulnerabile a questa attività criminale, così come chiunque abbia scaricato un’app con uno SDK dannoso. L’uso di dati di seconda mano e servizi di penetrazione estende anche la minaccia.

2. Il commercio illecito di dati avviene oltre Telegram: Sebbene la nostra ricerca si sia concentrata su attori e violazioni basati su Telegram e X, il commercio illecito di dati cinese si estende sia a forum e mercati clearnet che basati su Tor.

3. Nessuna connessione con le Advanced Persistent Threat (APTs): Quando si parla di cybercriminalità cinese, l’assunzione generalmente tende a essere che sia coinvolto un gruppo sponsorizzato dallo stato. Tuttavia, non ci sono indicazioni evidenti che questi attori basati su Telegram siano affiliati a APT o gruppi di attori cyber dello stato-nazione. Inoltre, la motivazione primaria di questi attori di Telegram sembra essere finanziaria, piuttosto che spionaggio.

4. Forte enfasi sui dati in tempo reale: Forse la differenza più significativa tra il commercio illecito di dati cinese e il mercato occidentale delle fughe di dati è l’enfasi sui dati in tempo reale. Ciò dimostra che questi attori hanno un accesso costante a quantità apparentemente vaste di dati sensibili.

Il team di ricerca di SpyCloud Labs monitora attivamente la comunità degli attori minaccia cinesi per ottenere informazioni su tendenze e TTP, e continuerà a farlo. Per ulteriori informazioni dal nostro team, guardate questo riassunto della nostra analisi sul panorama attuale degli attori minaccia cinesi.

Articolo originale

Guarda il video 

Per costruire il miglior SOC serve pensiero strategico

Per costruire il miglior SOC serve pensiero strategico

Quindi il tuo team di sicurezza è pronto a potenziare il suo centro operativo di sicurezza, o SOC, per soddisfare meglio le esigenze di sicurezza della tua organizzazione. Questa è una grande notizia. Ma ci sono alcune domande strategiche molto importanti che devono essere risolte se vuoi costruire il SOC più efficace possibile e evitare alcuni dei problemi più comuni che possono incontrare i team di qualsiasi dimensione.

Il rapporto SOC Model Guide di Gartner® è un’eccellente risorsa per capire come porre le domande giuste riguardo alle tue esigenze di sicurezza e cosa fare una volta che queste domande sono state risolte.

Domanda 1: Qual è il modello giusto per te?

Ci sono diversi modi per costruire un SOC efficace. E mentre alcuni sono più complicati (forse anche proibitivamente) di altri, sapere quali sono le tue esigenze e risorse fin dall’inizio ti aiuterà a prendere questa decisione iniziale cruciale.

Gartner lo spiega così:

“Un modello SOC definisce una strategia per la variazione nell’uso di team interni e fornitori di servizi esterni durante l’esecuzione di un SOC. Garantisce che tutti i ruoli necessari per far funzionare un SOC siano assegnati a coloro che sono più adatti a svolgere le responsabilità associate. Un modello SOC efficace consente ai leader di SRM di allocare risorse basate sulle priorità aziendali, sulle competenze disponibili e sul budget…”

Ci sono fondamentalmente tre modi per costruire un SOC: interno, esterno e ibrido. Il rapporto dice così:

Optare per un SOC ibrido è un modo per aiutare a sviluppare le capacità, gestendo al contempo la scala e i costi. Un SOC ibrido è uno in cui più di un team, sia interni che esterni, svolge un ruolo nelle attività necessarie per il corretto funzionamento del SOC. La questione di quali team, ruoli, mansioni e attività è meglio mantenere in casa o esternalizzare è complessa. Costruire un modello SOC ti aiuta a rispondere e garantire che un SOC ibrido sia ben bilanciato.”

Domanda 2: Chi fa cosa?

Supponiamo che la tua organizzazione stia optando per un approccio ibrido. La prossima domanda che dovrai farti è quali ruoli esternalizzare e quali mantenere in azienda? Comprendere le esigenze della tua azienda e stabilire se i partner interni o esterni siano la migliore soluzione può richiedere un serio esame di coscienza da parte tua.

Fortunatamente, Gartner ha alcune raccomandazioni. Dal rapporto:

Gartner afferma “Alcune attività SOC sono strategiche, come quelle svolte dai ruoli di investigatore senior, responsabile della risposta agli incidenti e tester del red team. Sono spesso meglio eseguite da personale interno che comprende le esigenze del business e le problematiche di sicurezza. Altre attività SOC sono tattiche, come la creazione di contenuti di rilevamento per attacchi comuni. Sono generalmente meglio eseguite da un team esterno più ampio, che può farlo in modo più efficiente, su una scala più ampia e per periodi più lunghi.”

Domanda 3: Come mantenere tutto in movimento?

Una volta scelto il modello SOC e formato il team, è importante monitorare e reagire ai modi in cui i partner interni ed esterni lavorano insieme. Supponiamo di aver seguito le raccomandazioni di Gartner e di aver esternalizzato le esigenze tattiche e alcune competenze altamente specifiche, mantenendo i pensatori strategici in azienda; allora è necessario avere un modo per far sì che i team lavorino insieme in modo dinamico come l’ambiente che cercano di proteggere.

Gartner offre questo consiglio:

“Avere chiare demarcazioni tra gestori degli obiettivi, ma assicurarsi che ci sia consapevolezza condivisa. Una sfida con i modelli ibridi che utilizzano fornitori o team diversi per gestire gli obiettivi è che può essere difficile instillare una mentalità orientata ai risultati. Un fornitore esterno o un team interno spesso ha una “visione a tunnel” – concentrandosi solo sul proprio obiettivo individuale – e perde di vista l’immagine completa delle prestazioni del SOC. Devi assicurarti che ogni fornitore o team sia consapevole del suo impatto sugli obiettivi adiacenti, non solo sul proprio.”

Il fatto che i diversi team abbiano obiettivi relativamente diversi non significa che dovrebbero operare in silos. Garantire che i membri del team interni ed esterni siano in grado di vedere l’immagine completa e comprendere le capacità e i limiti degli altri membri del team è un componente critico per costruire un SOC che funzioni bene oggi e cresca insieme.

Costruire un SOC da zero non è impresa facile e diventa ancora più difficile senza un serio pensiero strategico e un esame di coscienza prima di formare il team. Comprendi le tue esigenze uniche, le esigenze generali di un team SOC, quali sono le tue risorse e le aspettative della tua organizzazione prima di costruire il tuo team di professionisti della sicurezza di alto livello.

Per saperne di più sui modelli SOC, consulta la guida sui modelli SOC di Gartner.

Articolo originale

Consulta la Guida sui modelli SOC di Gartner.

Prevenire le minacce State-Sponsored: quattro modi per rendere difficili le giornate ai cattivi attori

Prevenire le minacce State-Sponsored: quattro modi per rendere difficili le giornate ai cattivi attori

I Security Operations Centers (SOC) si occupano spesso delle conseguenze degli attacchi maligni. Ciò è particolarmente vero nel panorama federale, poiché i team di sicurezza si trovano regolarmente a difendere informazioni estremamente sensibili da avversari che godono del sostegno di intere nazioni. Poiché questi avversari continuano a perfezionare le proprie tattiche, i team federali SOC hanno l’opportunità non solo di proteggere questi asset critici dalle minacce in evoluzione, ma anche di diventare proattivi nell’apprendere informazioni sull’avversario e su come rendere loro la vita difficile. Scoprite quali strumenti può utilizzare il vostro team di sicurezza, non solo per la difesa ma anche per interrompere le operazioni degli avversari sponsorizzati dallo Stato e per causare loro più problemi.

Sfide nella sicurezza informatica federale:

Le minacce sponsorizzate dallo Stato che prendono di mira le organizzazioni federali o si fingono tali per colpire il pubblico in generale continuano a emergere. Purtroppo, una delle nostre previsioni per il 2024 è che queste minacce continueranno a aumentare anche nel nuovo anno, principalmente attraverso phishing e smishing. Due dei più grandi problemi affrontati dai team federali SOC sono che sono troppo impegnati a spegnere incendi per identificare e bloccare proattivamente questi avversari, e quando riescono a contrastare una minaccia, una simile è in grado di sostituirla rapidamente.

Rispondere più velocemente agli incidenti: I team di sicurezza federali contano su alcuni dei professionisti più talentuosi al mondo. Quando vengono forniti loro gli strumenti giusti, il supporto e il tempo necessario per essere proattivi, ogni giorno diventa difficile per alcuni attori maligni. Per rendere ciò possibile, coloro che rispondono agli incidenti devono essere dotati di strumenti che li aiutino a rispondere ed esaminare potenziali incidenti in modo efficace ed efficiente. È inoltre necessario garantire che non venga sprecato tempo su allarmi che non valgono la pena di essere investigati. Ciò richiede una prioritizzazione delle minacce e un riferimento sui rischi associati a tali minacce per essere impiegati per phishing, malware o spam.

Tracciare il lupo per trovare il branco: Tutti gli avversari, per quanto sofisticati, si basano sull’uso o l’abuso dell’infrastruttura Internet che è osservabile, relativamente statica e spesso ricca di informazioni contestuali che i difensori possono, effettivamente, utilizzare con considerevole efficacia nell’allineare le difese con avversari confermati o sospetti. I domini maligni tendono a non essere “lupi solitari”. Qualsiasi campagna maligna progettata per avere un impatto significativo si baserà quasi universalmente su oggetti multipli (domini, IP, certificati, ecc.); oggetti che quasi sempre hanno qualche caratteristica in comune tra di loro.

Quattro modi per dare del filo da torcere:

1. Distruzione quasi in tempo reale: La piattaforma di Intelligence Iris di DomainTools fornisce ai team SOC capacità di rilevamento, indagine e arricchimento quasi in tempo reale, consentendo al tuo team di interrompere rapidamente ed efficientemente i cattivi attori. Questa piattaforma è composta da tre componenti. Iris Detect fornisce una scoperta, monitoraggio ed esecuzione dell’infrastruttura Internet quasi in tempo reale e una piattaforma e API di esecuzione; Iris Enrich è un’API robusta che include elementi di Whois, DNS, certificato SSL e valutazione del rischio per arricchire gli indicatori su larga scala; e Iris Investigate fornisce una piattaforma e API che fornisce e mappa l’intelligenza di dominio, la valutazione del rischio e i dati DNS passivi leader del settore.

2. Indagine personalizzata: Dotati delle capacità di Farsight DNSDB’s Flexible Search, gli analisti possono ribaltare la situazione nei confronti dei cattivi attori, scoprendo connessioni nascoste e smorzando gli effetti delle campagne maligne con precisione. Con i suoi dati storici sui DNS e le capacità di Ricerca Flessibile, Farsight DNSDB consente agli analisti non solo di scoprire connessioni nascoste, ma anche di interrompere proattivamente le campagne meticolosamente orchestrate degli avversari sponsorizzati dallo Stato.

3. Valutazione del rischio predittivo per l’identificazione dei domini ad alto rischio: L’Agenzia per la Sicurezza Informatica e dell’Infrastruttura ha delineato iniziative seguendo il concetto di Zero Trust che si aspetta che le agenzie federali e le organizzazioni con cui lavorano rispettino. I Threat Intelligence Feeds di DomainTools, con la loro valutazione del rischio predittivo, consentono ai team di domini giovani o ad alto rischio di contrassegnarli o bloccarli in un ambiente fidato.

4. Dati DNS per una visione ineguagliabile: I dati all’interno della piattaforma di Intelligence Iris di DomainTools e di Farsight DNSDB consentono agli utenti di delineare un quadro più completo di cosa rappresenti l’infrastruttura dei loro avversari. DomainTools è la fonte di dati di intelligence su Internet di riferimento; fornisce agli utenti più dati, più frequentemente e con un contesto di rischio Internet più completo di chiunque altro per una visione più approfondita.

La Iris Intelligence Platform di DomainTools e Farsight DNSDB consentono al tuo team di interrompere attivamente i piani dei cattivi attori, garantendo che le loro operazioni subiscano continui contrattempi. Nel dinamico panorama della cybersecurity federale, l’accento non è solo sulla difesa ma anche sul prolungare strategicamente la lotta contro avversari sofisticati e ben finanziati.

La Iris Intelligence Platform di DomainTools e Farsight DNSDB, come componenti integrali degli arsenali dei SOC federali, interrompono attivamente gli effetti delle operazioni degli avversari che cercano di compromettere l’infrastruttura federale critica. Man mano che le difese federali si rafforzano, la resilienza contro le minacce sponsorizzate dallo Stato cresce, garantendo che ogni mossa di questi avversari incontri una resistenza formidabile, prolungando la lotta e salvaguardando l’integrità degli asset informatici federali. Per saperne di più, leggi la nostra Guida alle Best Practices  per il Governo Federale.

Leggi la guida.

Articolo originale

Vulnerabilità ad alto rischio in ConnectWise ScreenConnect

Vulnerabilità ad alto rischio in ConnectWise ScreenConnect

Il 19 febbraio 2024, ConnectWise ha reso note due vulnerabilità nel loro software di accesso remoto ScreenConnect. Entrambe le vulnerabilità interessano ScreenConnect 23.9.7 e versioni precedenti. Al momento della divulgazione, nessuna delle due vulnerabilità aveva un CVE assegnato, ma dal 21 febbraio sono stati assegnati CVE a entrambi i problemi menzionati nell’avviso di ConnectWise:

CVE-2024-1709: Un bypass di autenticazione utilizzando un percorso o un canale alternativo (CVSS 10)
CVE-2024-1708: Un problema di attraversamento del percorso (CVSS 8.4)

ScreenConnect è un software di accesso remoto popolare utilizzato da molte organizzazioni in tutto il mondo; è stato anche usato in passato da avversari. Sembra che ci siano più di 7.500 istanze di ScreenConnect esposte su Internet pubblico. Le vulnerabilità non erano note per essere state sfruttate nell’ambiente al momento della divulgazione, ma dalla sera del 20 febbraio, ConnectWise ha indicato di aver confermato compromissioni derivanti dall’exploit di queste vulnerabilità. Anche Rapid7 Managed Detection and Response (MDR) ha osservato l’exploit riuscito in ambienti clienti.

I media di sicurezza e i fornitori di sicurezza stanno lanciando forti allarmi sulle vulnerabilità di ScreenConnect, principalmente a causa del potenziale per gli attaccanti di sfruttare le istanze di ScreenConnect vulnerabili per poi diffondere ransomware ai clienti downstream. Questo potrebbe essere una preoccupazione particolare per i fornitori di servizi gestiti (MSP) o i fornitori di servizi di sicurezza gestiti (MSSP) che utilizzano ScreenConnect per gestire remotamente gli ambienti dei clienti.

Guida alla mitigazione dei rischi

Tutte le versioni di ConnectWise ScreenConnect precedenti alla 23.9.8 sono vulnerabili a queste problematiche (senza CVE). I clienti che dispongono di istanze on-premise di ScreenConnect nei propri ambienti dovrebbero applicare l’aggiornamento alla versione 23.9.8 su base di emergenza, secondo le indicazioni di ConnectWise. Il fornitore ha inoltre pubblicato diversi indicatori di compromissione (IOCs) nella loro avvisoria che le organizzazioni possono cercare. Rapid7 raccomanda vivamente di cercare segni di compromissione anche dopo l’applicazione della patch.

ConnectWise ha inoltre rimosso le restrizioni di licenza per consentire ai partner di aggiornare ai sistemi supportati, e ha aggiornato la loro avvisoria per annotare quanto segue: “ConnectWise ha implementato un passaggio aggiuntivo di mitigazione per gli utenti on-premise non patchati che sospende un’istanza se non è sulla versione 23.9.8 o successiva. Se la tua istanza viene trovata su una versione non aggiornata, verrà inviato un avviso con istruzioni su come eseguire le azioni necessarie per rilasciare il server.”

I clienti di Rapid7:

I clienti di InsightVM e Nexpose possono valutare la propria esposizione a queste vulnerabilità con controlli di vulnerabilità autenticati disponibili nel rilascio dei contenuti del 21 febbraio.
I clienti di InsightIDR e Managed Detection and Response hanno una copertura di rilevamento esistente attraverso l’ampia libreria di regole di rilevamento di Rapid7. Rapid7 consiglia di installare l’Insight Agent su tutti gli host applicabili per garantire la visibilità dei processi sospetti e una corretta copertura di rilevamento. Di seguito è riportato un elenco non esaustivo di rilevamenti implementati e allerta sull’attività correlata a queste vulnerabilità:

– Richieste Web Sospette – Possibile Sfruttamento di ConnectWise ScreenConnect
– Tecnica dell’Attaccante – Accesso Remoto tramite ScreenConnect
– Tecnica dell’Attaccante – Esecuzione di Comandi tramite ScreenConnect
– Processo Sospetto – ScreenConnect con Argomento RunRole
– Tecnica dell’Attaccante – Sfruttamento di ConnectWise ScreenConnect per Aggiungere un Nuovo Utente

Nota: Affinché Rapid7 possa avvisare sulla regola  Attacker Technique: ConnectWise ScreenConnect Exploit Adding a New User, i clienti dovranno assicurarsi che le  Advanced Security Audit Policy Settings for Kernel Object siano configurate per registrare l’Evento WindowsID 4663 e impostare un SACL sulla directory di ScreenConnect. Ulteriori informazioni su come configurare la Politica di Audit Avanzata sono disponibili qui.

Un artefatto Velociraptor è disponibile qui per assistere nella ricerca degli indicatori di compromissione. Un modulo Metasploit è disponibile qui (in attesa di un’ultima versione e rilascio).

Aggiornamenti

  • February 21, 2024: Aggiornato per includere i CVE (CVE-2024-1708, CVE-2024-1709) e per annotare lo sfruttamento nell’ambiente selvaggio. Rapid7 MDR ha anche osservato lo sfruttamento negli ambienti dei clienti. Aggiornato con la disponibilità di controlli di vulnerabilità per i clienti di InsightVM e Nexpose.
  • February 22, 2024: Aggiunta nuova regola di rilevamento per i clienti di InsightIDR e MDR (Tecnica dell’Attaccante: sfruttamento di ConnectWise ScreenConnect per aggiungere un nuovo utente)
  • February 23, 2024: Artefatto Velociraptor ora disponibile, modulo Metasploit in fase di sviluppo. Sono stati aggiunti cambiamenti alle linee guida dell’avviso di ConnectWise alla sezione Indicazioni per la mitigazione di questo blog.

Articolo originale

Scopri la pagina del vendor sul nostro sito