Exploitation massiva – VMware Horizon

Il 23 dicembre il team di Fortgale ha gestito un tentativo di compromissione, individuando in seguito un attacco in massa il cui vettore di attacco è una vulnerabilità del prodotto VMWare Horizon. L’attacco avrebbe permesso agli attaccanti di installare una backdoor all’interno del server e, conseguentemente, eseguire codice arbitrario da Leggi tutto…

Vulnerabilità MSHTML: Difesa e Threat Hunting

Attività di Threat Hunting event_platform=win event_simpleName=PeFileWritten | search FileName=”*.inf” | stats dc(aid) as uniqueSystems, count(aid) as totalWrites values(FilePath) as filePaths by FileName | sort + totalWrites event_platform=win event_simpleName=ProcessRollup2 FileName=rundll32.exe ParentBaseFileName=control.exe | search CommandLine=”*.inf*” | stats dc(CommandLine) as cmdLineVarations dc(aid) as uniqueEndpoints count(aid) as totalExecutions values(CommandLine) as commandLines by FileName, ParentBaseFileName Leggi tutto…

Le vulnerabilità più di tendenza tra i Cybercriminali

CVE-2020-1472 – Attacco protocollo SMB per Lateral Movement e perimetro CVE-2020-0796 – Attacco protocollo SMB per Lateral Movement e perimetro CVE-2019-19781 – Attacco sistemi Citrix CVE-2019-0708 – BlueKeep, attacco al servizio RDP CVE-2017-11882 – Attacco tramite e-mail e allegato CVE-2017-0199 – Attacco tramite e-mail e allegato CVE-2020-1472 CVE-2020-0796 CVE-2019-19781 CVE-2019-0708 CVE-2017-11882 CVE-2017-0199

Worm WannaMine: Analisi e intervento

Analisi catena di Compromissione Avvio della compromissione Persistenza SCM Event8 Log Consumer viene eseguito circa ogni 4 ore in modo tale da riprendere il processo di infezione nel caso in cui precedentemente tale processo fosse fallito; SCM Event8 Log Consumer2 viene eseguito 4/5 minuti dopo l’avvio del sistema. Lateral Movement Leggi tutto…