Difesa e Sicurezza
Notepad++: Analisi del Malware RedLine – Parte 2
Analisi del Malware RedLine inserito all’interno di una falsa installazione del software Notepad++
Analisi del Malware RedLine inserito all’interno di una falsa installazione del software Notepad++
Il 23 dicembre il team di Fortgale ha gestito un tentativo di compromissione, individuando in seguito un attacco in massa il cui vettore di attacco è una vulnerabilità del prodotto VMWare Horizon. L’attacco avrebbe permesso agli attaccanti di installare una backdoor all’interno del server e, conseguentemente, eseguire codice arbitrario da Leggi tutto…
Quando si tratta di Ransomware, le modalità con cui i vari operatori eseguono l’attacco possono essere molto diverse fra loro. In questo articolo condividiamo alcuni dettagli tecnici osservati durante la fase di compromissione dagli operatori della Gang del Ransomware Conti, particolarmente attiva e fra i più maturi nel panorama (riferimento). Leggi tutto…
Attività di Threat Hunting event_platform=win event_simpleName=PeFileWritten | search FileName=”*.inf” | stats dc(aid) as uniqueSystems, count(aid) as totalWrites values(FilePath) as filePaths by FileName | sort + totalWrites event_platform=win event_simpleName=ProcessRollup2 FileName=rundll32.exe ParentBaseFileName=control.exe | search CommandLine=”*.inf*” | stats dc(CommandLine) as cmdLineVarations dc(aid) as uniqueEndpoints count(aid) as totalExecutions values(CommandLine) as commandLines by FileName, ParentBaseFileName Leggi tutto…
Wizard Spider e il Ransomware Conti Atera come Backdoor
La schermata di Login: Stealer Logs RDP DUMP e CVV compromissione di Workstation (risultato Stealer Logs); compromissione sito Web/E-Commerce
CVE-2020-1472 – Attacco protocollo SMB per Lateral Movement e perimetro CVE-2020-0796 – Attacco protocollo SMB per Lateral Movement e perimetro CVE-2019-19781 – Attacco sistemi Citrix CVE-2019-0708 – BlueKeep, attacco al servizio RDP CVE-2017-11882 – Attacco tramite e-mail e allegato CVE-2017-0199 – Attacco tramite e-mail e allegato CVE-2020-1472 CVE-2020-0796 CVE-2019-19781 CVE-2019-0708 CVE-2017-11882 CVE-2017-0199
Analisi catena di Compromissione Avvio della compromissione Persistenza SCM Event8 Log Consumer viene eseguito circa ogni 4 ore in modo tale da riprendere il processo di infezione nel caso in cui precedentemente tale processo fosse fallito; SCM Event8 Log Consumer2 viene eseguito 4/5 minuti dopo l’avvio del sistema. Lateral Movement Leggi tutto…