Learning

Cyber Attack Kill Chain - Perchè è importante conoscerla

Cyber Attack Kill Chain - Perchè è importante conoscerla

11 Jan 2021

La Cyber Attack Kill Chain, ideata da Lockheed Martin nel 2011, è un modello che descrive quali fasi devono essere completate per portare a termine un attacco informatico con successo.


Le fasi da seguire sono sette:

1. Reconnaissance;

2. Weaponization;

3. Delivery;

4. Exploitation;

5. Installation;

6. Command & Control;

7. Actions on Objectives;


Il concetto di “Kill Chain” deriva dall’ambito militare ed era utilizzato per indicare un metodo strutturato e ben definito per compiere un attacco verso un obiettivo.


Fase 1: Reconnaissance (Ricognizione)

La prima fase indica la raccolta di informazioni sull'organizzazione scelta come bersaglio dagli attaccanti.

Questa raccolta di informazioni viene svolta in due modalità:

1. Passiva: vengono raccolti dati e informazioni attraverso fonti pubbliche come, ad esempio:

Sito Web aziendale;

Annunci di lavoro;

Google;

Shodan;

Whois;

2. Attiva: gli attaccanti raccolgono informazioni testando attivamente gli asset aziendali in cerca di una possibile porta d’ingresso, attraverso la scansione di alcuni aspetti del sistema come, ad esempio:

Porte Aperte;

Servizi esposti su Internet;

Banners;

Questo è il primo momento in cui è presente una interazione tra gli attaccanti e l’organizzazione.

L’obiettivo di questa fase è trovare una vulnerabilità che, potenzialmente, permetta agli attaccanti di entrare nella rete aziendale.

    

Fase 2: Weaponization (Armamento)

Trovata una vulnerabilità nella fase precedente, gli attaccanti creano o cercano un exploit che permetta di sfruttare quella vulnerabilità.

Un exploit è un codice malevolo scritto al fine di sfruttare una vulnerabilità per ottenere un vantaggio.


Fase 3: Delivery (Consegna)

In questa fase gli attaccanti scelgono e attuano il metodo di consegna dell’exploit.

Alcuni metodi di consegna utilizzati sono i seguenti:

Compromissione di un servizio esposto su internet;

Email aziendale;

Campagne di Social Engineering;

Chiavetta USB lasciata nei pressi dell’azienda, ad esempio nel parcheggio;

Compromissione di siti web terzi, abitualmente visitati dai dipendenti dell'azienda taret


Fase 4: Exploitation (Sfruttamento) 

L’obiettivo in questa fase è sfruttare la vulnerabilità trovata per ottenere un accesso.

Se l’attacco arriva a questo punto, gli attaccanti saranno all’interno della vostra rete.


Fase 5: Installation (Installazione)

Ottenuto l’accesso, gli attaccanti cercheranno di avere persistenza sul sistema colpito dall’attacco.

Questo significa che cercheranno di installare altro software malevolo al fine di avere, nel tempo, accesso alla macchina infetta e quindi alla rete aziendale.


Fase 6: Command & Control (Comando e controllo)

Arrivati a questo punto, gli attaccanti cercheranno di instaurare un canale di comunicazione con lo scopo di comandare e controllare la macchina infetta da remoto.

Attraverso questo canale gli attaccanti, ad esempio, potranno:

Esfiltrare dati sensibili;

Infettare altre macchine;

Elevare i privilegi di amministrazione sulla macchina per avere accesso ad altre risorse;


Fase 7: Action on Objectives (Azione sugli obiettivi)

In quest’ultima fase gli attaccanti svolgeranno le azioni malevole necessarie per raggiungere il loro obiettivo.

Esso può variare a fronte delle motivazioni degli attaccanti, ad esempio:

Finanziarie

Politiche

Militari

Attiviste


Conclusioni

Avere la consapevolezza del modus operandi degli attaccanti è la chiave per riuscire a stabilire un processo e delle contromisure di sicurezza adeguate all’analisi del rischio aziendale.

Inoltre, riuscire a riconoscere un attacco nelle fasi iniziali offre vantaggi fondamentali come, ad esempio:

1. La probabilità di fermare l’attacco è nettamente maggiore;

2. L’impatto sugli asset aziendali, in caso si riuscisse a interrompere l’attacco, sarà notevolmente ridotta;

La regola principale è: “ Break the chain”  --> “Rompi la catena”


Concludiamo ponendo questo spunto di riflessione:

“Quali contromisure di sicurezza sono applicate, all’interno della vostra organizzazione, per ogni fase della Cyber Attack Kill Chain?”


Lorenzo Restelli @ F3RM1 Foundation


Continua a leggere
Phishing - Cos'è e come riconoscerlo

Phishing - Cos'è e come riconoscerlo

01 Jan 2021

Il pishing è un cyber attacco che utilizza come arma delle e-mail “camuffate”. L’obiettivo dell’attaccante è indurre il destinatario della e-mail a credere che il messaggio ricevuto sia qualcosa che desidera o di cui ha bisogno, ad esempio una richiesta della propria banca o di una qualsiasi soggetto attendibile e portarlo a fare clic su un collegamento o scaricare un allegato. Questa azione è quella che generalmente genera il furto di informazioni. A volte per gli attaccanti è sufficiente sottrarre i dati della carta di credito della vittima o altri dati personali a scopo di lucro. Altre volte le e-mail di phishing vengono inviate al fine di ottenere informazioni utili a perpetrare attacchi più sofisticati contro un'azienda specifica. Attacchi informatici quali minacce avanzate persistenti (APT) e ransomware spesso iniziano con il phishing. 

Il Phishing è uno dei più antichi tipi di attacchi informatici (risale agli anni '90) ma ancora oggi è uno dei più diffusi e pericolosi. Da allora le tecniche di phishing sono diventate sempre più sofisticate ed è sempre più difficile per un utente inesperto individuarle.

Quindi come fare per riconoscere queste truffe?

Ecco alcuni consigli pratici che ti permetteranno di individuare una e-mail di phishing:

1. L’e-mail contiene link o allegati nei quali si richiedono informazioni personali

Lo scopo principale di un’e-mail di phishing è cercare di rubare informazioni personali e sensibili della vittima. Di conseguenza, capita spesso che le e-mail truffa contengano link o allegati nei quali si richiede di inserire informazioni come password, nome utente, numero del conto corrente, codice fiscale o numero di carta di credito. Bene, se vi richiedono queste informazioni non inviatele per alcun motivo. Ricordate che nessuna organizzazione, azienda privata od ente pubblico chiede queste informazioni via e-mail.

Se proprio hai un dubbio, contatta il mittente della e-mail e chiedi chiarimenti a riguardo.

ATTENZIONE: non utilizzare numeri di telefono e riferimenti contenuti nella e-mail sospetta. Recupera le informazioni da altri canali.

2. E-mail inaspettata con allegati

Se ricevi una e-mail inaspettata o da qualcuno che non conosci e il messaggio ti invita ad aprire l’allegato o cliccare su un link, fai attenzione. Potrebbe essere una e-mail di phishing.

Tip&Tricks: Link malevolo, come smascherarlo?

Cliccare su un link malevolo può portare sicuramente a spiacevoli conseguenze. Per verificare se effettivamente un link è malevolo, passaci sopra il mouse per visualizzare il vero indirizzo nascosto (senza cliccarci ovviamente). Spesso, le truffe replicano siti web famosi in tutto e per tutto. Non potendo però duplicare il dominio (i.e. l'indirizzo), cercano di crearne uno simile all’originale: se hai ricevuto una e-mail che ti invita a cliccare un link che cita ad esempio “ebey.it” o “unicrediti.it”, è con tutta probabilità una e-mail di phishing. Quindi presta sempre grande attenzione su dove clicchi.

3. Titolo generale o informale.

Solitamente nelle e-mail di phishing il messaggio è impersonale, per esempio può riportare un saluto come “Egregio signore”, senza citare il vostro nome. Quindi se l’e-mail che proviene dalla vostra banca inizia in questo modo, iniziate ad insospettirvi.

ATTENZIONE: Una e-mail malevola può contenere il logo ufficiale o altri elementi distintivi di un organizzazione credibile (Logo, template, etc). Questo perchè gli attaccanti sono sempre più organizzati ed investono tempo e denaro nel cercare di creare e-mail sempre più simili a quelle originali. La presenza all’interno della e-mail di loghi o immagini identici agli originali non è garanzia di autenticità!

4. E-mail con errori di grammatica o sintassi

Se il messaggio proveniente da una azienda privata o un ente pubblico è pieno di errori grammaticali od ortografici, molto probabilmente è un messaggio di phishing. Questo perchè gli attaccanti, spesso di nazionalità diversa da quella del destinatario della e-mail, utilizzano traduttori automatici per tradurre i messaggi originali. 

ATTENZIONE: non tutte le e-mail di phishing sono scritte in maniera sgrammaticata, ma se lo sono, probabilmente ti trovi di fronte ad una truffa.

5. Urgenza

Altro frequente indizio di un messaggio di phishing è l’urgenza della richiesta. Il contenuto del messaggio di phishing spesso spinge ad agire rapidamente e senza riflettere. Ad esempio, nel messaggio si chiede di aggiornare o inviare i dati a un indirizzo e-mail entro 48 ore. Ugualmente ricorrenti sono comunicazioni contenenti offerte uniche. “Egregio Cliente. Congratulazioni! Siete il vincitore del nuovissimo smartphone. Inviateci i vostri contatti.” Se il messaggio suona troppo bene per essere vero, è praticamente certo che si tratti di una truffa.

RIASSUMENDO

Quali sono gli accorgimenti che non dovete mai dimenticare quando aprite una e-mail?

Non fornire informazioni sensibili o personali a nessuno. Ricorda nessuna azienda o ente te li chiederà via e-mail.

Non aprire i link contenuti nelle e-mail inaspettate.

Non aprire gli allegati delle e-mail non richieste o sconosciute.

Controllare l’indirizzo dei siti. In molti casi l'indirizzo web sembra legittimo, tuttavia l'URL potrebbe essere scritto in modo errato rispetto all'originale.

Non fidarti di e-mail che sembrano provenire da origini attendibili ma sono scritte in modo sgrammaticato

COME CI SI DIFENDE DAL PHISHING?

Ci sono alcune soluzioni tecnologiche, come antivirus o tool dedicati, che permettono di bloccare mail di phishing, ma questi strumenti non sono sempre infallibili, anzi. L’unico strumento in grado di riconoscere una mail truffa in modo efficace sei tu. Se terrai a mente i nostri suggerimenti, imparerai a riconoscerle. 

Oltre ad eliminare il messaggio, le sole altre azioni sensate da fare potrebbero essere bloccare il mittente e magari segnalare l’episodio al mittente reale, affinché possa essere avvisato che qualche malintenzionato stia usando il suo nome per scopi illeciti e permettergli di prendere provvedimenti.


Continua a leggere
A Data-Driven Approach to Cyber Risk Assessment

A Data-Driven Approach to Cyber Risk Assessment

19 Oct 2020

The Università Politecnica delle Marche and the F3RM1 foundation with Giuseppe Gottardi published on September 9, 2019 this research paper on Cyber Risk Assessment.

Abstract

Cyber risk assessment requires defined and objective methodologies; otherwise, its results cannot be considered reliable. The lack of quantitative data can be dangerous: if the assessment is entirely qualitative, subjectivity will loom large in the process. Too much subjectivity in the risk assessment process can weaken the credibility of the assessment results and compromise risk management programs. On the other hand, obtaining a sufficiently large amount of quantitative data allowing reliable extrapolations and previsions is often hard or even unfeasible. In this paper, we propose and study a quantitative methodology to assess a potential annualized economic loss risk of a company. In particular, our approach only relies on aggregated empirical data, which can be obtained from several sources. We also describe how the method can be applied to real companies, in order to customize the initial data and obtain reliable and specific risk assessments.

Read the full research article here: https://www.hindawi.com/journals/scn/2019/6716918/


Continua a leggere

Coronavirus - Le minacce informatiche che sfruttano il tema del virus e come non caderne vittima

02 Apr 2020

Il Coronavirus (COVID-19), oltre ad essere un’emergenza sanitaria, è un’occasione che i criminali informatici stanno sfruttando per diffondere le cyber minacce. Pochi giorni fa, i CSIRT (Computer Security Incident Response Teams) europei hanno infatti innalzato il livello di allerta per la possibile crescita di attacchi informatici, mentre la polizia postale ha invitato i cittadini alla massima attenzione rispetto ai cyber criminali che sfruttano le preoccupazioni legate alla pandemia.

L' attacco informatico ai danni dell'Ospedale Spallanzani di Roma non fa che confermare il trend, definito dagli esperti del Nucleo Sicurezza Cibernetica come «una ricaduta “fisiologica” della situazione in corso, che sollecita appetiti di varia natura, per lo più di matrice criminale».

La migliore difesa agli attacchi informatici è la prevenzione, tramite il blocco sui sistemi di sicurezza degli IOC (le impronte digitali dei criminali) e la sensibilizzazione degli utenti nell'utilizzo degli strumenti informatici.

In questo articolo, la fondazione F3RM1 vuole fornire una panoramica delle principali minacce informatiche veicolate in Italia e nel mondo e fornire gli IOC analizzati finora riguardo il tema del Coronavirus.

Da oltre 2 mesi, i cyber criminali stanno facendo leva sul tema dell'epidemia per rendere ancora più efficaci le campagne d'attacco ed indurre gli utenti a cadere vittima di email di phishing, navigare siti web malevoli o eseguire il download di false mappe dei contagi che in realtà si scoprono essere virus informatici.

I primi casi, osservati dal 29 gennaio 2020, sono stati attacchi di tipo BEC (Business Email Compromise) e di phishing.

L'attacco BEC è basato sull'ingegneria sociale: il criminale si finge un'altra persona, tipicamente l'amministratore delegato dell'azienda o un conoscente bisognoso di aiuto, e, via email, richiede alla vittima un trasferimento di denaro straordinario. Il conto corrente bancario del beneficiario è ovviamente controllato dall'attaccante che, in questo modo, compie la truffa.

Oltre agli attacchi mirati accennati sopra, è stato registrato anche l'aumento delle campagne di phishing.

Queste email malevole, facendo leva su finte comunicazioni importanti riguardanti il virus, inducono l'utente ad aprirne l'allegato, o a cliccare su un link per poi sottrarre indormazioni finanziarie, credenziali di accesso alla posta elettronica, Facebook, DocuSign o Microsoft OneDrive.

In molti casi, per dare più credibilità alla comunicazione, è stato sfruttato il nome di organizzazioni come la World Health Organization (WHO), gli United States Centers for Disease Control (CDC), ma anche delle organizzazioni sanitarie di Canada e Australia.

Se uno dei primi target è stata evidentemente la Cina, le nazioni prese di mira in seguito con maggiore intensità sono state soprattutto Italia, Repubblica Ceca, Giappone, USA, Canada, Australia e Turchia. I settori coinvolti vedono fra i primi quelli della sanità, della formazione, della manifattura, dei media; in alcuni frangenti anche quello alberghiero.

Oltre al furto delle credenziali, i criminali stanno utilizzando il phishing anche per distribuire software malevoli sotto forma di applicazioni fraudolente (e.g. finte mappe dei contagi), documenti con informazioni esclusive sul Coronavirus, etc. Tra le minacce distribuite si annoverano malware della tipologia Emotet, Ostap, Ursnif, ParallaxRAT, HawkEye, TrickBot, Agent Tesla, Azorult, GuLoader, Remcos, Cerberus.

Non solo phishing e malware, ma anche frodi: la Cybersecurity and Infrastructure Security Agency Americana ha infatti inviato un'allerta, rivolta sia alle aziende che ai cittadini, riguardo raccolte fondi fraudolente attraverso falsi siti web per le donazioni a supporto della lotta contro il virus.

In Italia ci sono però anche notizie di controtendenza: non tutti i criminali informatici stanno approfittando dell'emergenza sanitaria. I collettivi di Anonymous Italia e LuizSecITA hanno annunciato pubblicamente una tregua tramite la piattaforma Twitter, rassicurando sul fatto che in questi giorni di crisi saranno interrotti tutti gli attacchi verso siti web istituzionali.

Dichiarazioni di tregua simili sono state annunciate anche dal gruppo criminale che gestisce il ransomware Maze, che ha promesso di non colpire nessuna organizzazione del settore sanitario. Tuttavia, alcuni giorni dopo le dichiarazioni, lo stesso gruppo ha pubblcato un leak di dati dell'Hammersmith Medicine Research, organizzazione di ricerca nel Regno Unito che, in passato, aveva collaborato attivamente nella creazione del vaccino contro l'ebola.

Il tema del COVID-19 è stato utilizzato in Libia ed Iran anche per attacchi cd. state-sponsored o di sorveglianza collettiva.

Ricercatori di sicurezza hanno infatti scoperto una campagna di sorveglianza che ha sfruttato più di 30 applicazioni malevole per Android per spiare utenti libici negli ultimi 11 mesi. In particolare, due versioni di app malevole hanno sfruttando il tema del Coronavirus nascondendo un tool di sorveglianza commerciale all’interno di app che promettevano di fornire informazioni sulla pandemia in corso.

Una delle due nuove app si chiama “corona live 1.1“, l’altra “Crona”. Al primo avvio, l’app informa l’utente che non richiederà privilegi di accesso inusuali, ma successivamente procede a richiedere l’accesso a foto, contenuti multimediali, file, posizione del dispositivo, nonché l’autorizzazione a scattare foto e registrare video. In realtà, si tratta infatti di SpyMax, strumento commerciale di sorveglianza, inserito in una versione malevola dell’applicazione legittima “corona live“, che fornisce un’interfaccia ai dati trovati sul “Johns Hopkins Coronavirus tracker” riguardo i tassi di infezione e numero di morti per ogni paese. Al momento non ci sono evidenze che consentano di pensare con certezza ad una campagna attuata da uno Stato (cd. di tipo state-sponsored), dal momento che queste famiglie di software sono state utilizzate in passato sia dagli stati nazionali in Medio Oriente che da gang cyber-crime.

Diverso invece lo scenario in Iran, dove in un post all'interno della piattaforma Telegraph, è stato accusato il governo Iraniano di aver distribuito una app per la divulgazione di informazioni sul Coronavirus con, in realtà, l'obiettivo di eseguire operazioni di sorveglianza dei cittadini. Questa applicazione infatti, pubblicizzata anche sul sito del Ministero della Sanità Iraniana, esfiltra diverse informazioni personali dell'utente come il nome, il cognome, il peso, l'altezza e la posizione.

Quali sono le raccomandazioni?

  • Applicare spirito critico nell'utilizzo degli strumenti informatici, soprattutto quando si consultano informazioni riguardanti il Coronavirus utilizzando canali non ufficiali (e.g. diversi dal sito web della Protezione Civile, del Ministero della Sanità, dell'Istituto Superiore della Sanità, etc.)
  • Ricordarsi che i criminali informatici stanno approfittando dell'emergenza sanitaria per colpire nuove vittime
  • Non utilizzare i link contenuti all'interno di email sospette, ma navigare direttamente il sito web istituzionale che si presume essere il mittente della comunicazione
  • Mantenere i dispositivi sempre aggiornati con le ultime patch di sicurezza
  • Per le aziende dotate di apparati di sicurezza (e.g. IPS, IDS, antimalware, etc.), mantenere aggiornati gli IOC da bloccare ed attivare un servizio di monitoraggio attivo


Antonio Forzieri @ F3RM1 Foundation

Continua a leggere