🌐 Hai mai sentito parlare dei White Hat Hacker? Questi difensori della rete usano le loro competenze per il nostro bene. Scopri di più! #Privacy #HackerEtici #hacking #gdpr #cybersecurity
Proxy SSH
🔐 Esploriamo i proxy SSH come soluzione sicura per l’accesso remoto, un’alternativa efficace alle VPN. Scopri come configurare un tunnel SSH su Windows e Linux per proteggere i tuoi dati su reti non sicure. Unisciti alla discussione e impara di più sull’importanza della sicurezza online. #SicurezzaInformatica #SSH #VPNAlternative
Vulnerability assessment: definizione
🛡️ Proteggi il Futuro della Tua Azienda 🛡️
Il vulnerability assessment non è solo una procedura: è la chiave per una difesa cyber resiliente. Scopri come può trasformare la sicurezza informatica della tua organizzazione. #CyberSecurity #VulnerabilityAssessment
Scansione porte aperte con nmap
🔐 Eleva la sicurezza della tua infrastruttura con Nmap. Il nostro ultimo articolo rivela come utilizzare questo potente strumento per scovare e correggere le falle nella tua rete. Leggilo ora! #Tecnologia #ProtezioneDati
Windows Server 2012 end of support: aggiornamento cruciale
🔒 Aggiornamento Necessario: Windows Server 2012 R2 è EOL! 🔒
Mantieni la tua infrastruttura al sicuro!
💻 Scopri come testare la vulnerabilità ad EternalBlue e proteggerti dagli attacchi.
👉 Leggi l’articolo completo per maggiori informazioni
#WindowsServer #SicurezzaInformatica #EOL #AggiornamentoSistemi #ProtezioneDati
Kali Linux in USB: abilitiamo la persistenza
Kali Linux su USB con persistenza attiva offre una soluzione rivoluzionaria ad un dilemma che molti pentesters, tecnici e specialisti in cybersecurity si trovano ad affrontare: la scelta tra l’usare Kali Linux in modalità live senza una macchina virtuale e il desiderio di non perdere tutti i dati ad ogni spegnimento del PC.
La questione ricorrente nel mondo della sicurezza informatica è se sia più vantaggioso operare con Kali Linux attraverso una macchina virtuale (VM) o installarlo in dual boot sul proprio hardware. Tuttavia, esiste una terza via meno esplorata ma altrettanto efficace: trasferire l’immagine del sistema operativo su una chiavetta USB, utilizzarlo in modalità live e, soprattutto, salvaguardare l’integralità del proprio lavoro.
Questa metodologia non solo risponde al bisogno di mobilità e flessibilità, ma si allinea perfettamente con il principio insegnato a tutti i pentesters: per ogni valutazione, è fondamentale allestire un ambiente di lavoro pulito e dedicato. Questo approccio garantisce una soluzione ottimale.
Guida alla Persistenza su Kali Linux USB
In questo articolo, ti guiderò attraverso il processo di aggiunta della funzionalità di persistenza a Kali su USB, trasformando una semplice chiavetta in uno strumento potente per la tua sicurezza informatica, capace di trattenere i tuoi dati, configurazioni e risultati di test attraverso riavvii e spostamenti fra diversi sistemi.
Kali Linux “Live” offre due opzioni nel menu di avvio predefinito che abilitano la persistenza – la conservazione dei dati sul drive USB “Kali Live” – attraverso i riavvii di “Kali Live”. Questo può essere un miglioramento estremamente utile, permettendo di mantenere documenti, risultati di test raccolti, configurazioni, ecc., quando si esegue Kali Linux “Live” dal drive USB, anche su sistemi diversi. I dati persistenti sono memorizzati in una propria partizione sul drive USB, che può anche essere opzionalmente criptata con LUKS.
Preparazione e Configurazione
Per utilizzare le opzioni di persistenza USB al momento dell’avvio, sarà necessario eseguire alcune configurazioni aggiuntive sul tuo drive USB “Kali Linux Live”. Questa guida presume che tu abbia già creato un drive USB “Kali Linux Live” come descritto nella pagina di documentazione sull’argomento. Ai fini di questo articolo, supporremo che tu stia lavorando su un sistema basato su Linux.
Avrai bisogno dei privilegi di root per eseguire questa procedura, o della capacità di elevare i tuoi privilegi con sudo.
Procedura di Configurazione
In questo esempio, assumiamo:
Sebbene venga utilizzato ‘/dev/sdX’ in questa pagina, il ‘/dev/sdX’ dovrebbe essere sostituito con l’etichetta del dispositivo corretta. ‘/dev/sdX’ non sovrascriverà alcun dispositivo e può essere utilizzato in modo sicuro nella documentazione per prevenire sovrascritture accidentali. Si prega di utilizzare l’etichetta del dispositivo corretta.
- Il tuo drive USB è /dev/sdX (l’ultima lettera sarà probabilmente diversa). Verifica i drive USB connessi con il comando lsblk e modifica il nome del dispositivo nella variabile usb prima di eseguire i comandi.
- Il tuo drive USB ha una capacità di almeno 8GB – l’immagine di Kali Linux occupa più di 3GB, e per questa guida, creeremo una nuova partizione di circa 4GB per memorizzare i nostri dati persistenti.
Creazione della Partizione e Configurazione della Persistenza
- Inizia a trasferire l’ultima immagine ISO di Kali Linux (attualmente 2024.1) sul tuo drive USB come descritto in questo articolo. Supponiamo che le due partizioni create dall’immagine siano /dev/sdX1 e /dev/sdX2. Questo può essere verificato con il comando lsblk.
Per creare e formattare una partizione aggiuntiva sul drive USB, segui questi passaggi:
usb=/dev/sdX # Sostituisci sdX con l'etichetta corretta del tuo drive
sudo fdisk $usb <<< $(printf "n\np\n\n\n\nw") # Crea una nuova partizione
Dopo aver creato la nuova partizione, verifica con lsblk che sia stata assegnata a /dev/sdX3 (o la prossima partizione disponibile).
sudo mkfs.ext4 -L persistence ${usb}3 # Formatta la nuova partizione con ext4 e etichettala come 'persistence'
- Ora, crea un punto di montaggio e configura la persistenza:
sudo mkdir -p /mnt/my_usb
sudo mount ${usb}3 /mnt/my_usb
echo "/ union" | sudo tee /mnt/my_usb/persistence.conf
sudo umount ${usb}3
Seguendo questa guida, potrai sfruttare al meglio Kali Linux in modalità live, senza dover rinunciare alla comodità di conservare i tuoi dati, configurazioni e il lavoro svolto, indipendentemente dal sistema su cui operi.
Le vulnerabilità esposte dagli Alternate Data Streams in NTFS
Senza saperlo tutti utilizziamo i file stream NTFS ogni volte che accediamo ad un file su un sistema operativo Windows moderno.
In questo articolo vedremo:
- che cosa sono gli NTFS ADS
- come un hacker può effettuare un exploit sfruttando gli ADS
- quali sono le strategie per proteggersi da questa potenziale vulnerabilità
TL;DR
Gli alternate data streams permettono di nascondere qualsiasi contenuto, inclusi viruses, malwares, in qualsiasi file. Un file di testo in formato .txt da 2Kb può contenere anche 5Mb di alternate data streams e per esplora risorse di Windows occuperà sempre 2Kb.
È molto importante utilizzare dei software di sicurezza in grado di controllare eventuali codici malevoli nascosti negli ADS.
NTFS Default Data Streams e Alternate Data Streams
Un file stream è una sequenza di bytes che contiene le informazioni di un file, come le parole chiave o i dati dell’utente che l’ha creato.
Si può pensare al data stream come ad un file “nascosto” integrato in un altro file.
Ogni stream ha la sua allocazione di spazio su disco, la sua dimensione (bytes utilizzati) e i suoi locks.
Ogni file in un filesystem NTFS ha necessariamente almeno uno stream, chiamato default stream.
Il default data stream è il contenuto che ci interessa direttamente, quello a cui accediamo. Per esempio il testo di un file .txt o il codice eseguibile di un file .exe. Questa informazione è memorizzata nell’attributo $Data. Poichè questo è lo stream predefinito e il suo nome è vuoto, spesso ci si riferisce ad esso chiamandolo “unnamed data stream”.
I file in un filesystem NTFS possono includere anche due o più data streams (ADSs). Gli ADS devono avere un nome. Il default data stream rimane invariato anche se si aggiungono altri data streams.
Come creare un Alternate Data Stream
Creare un alternate data stream è facilissimo: basta aggiungere un “due punti” (“:”) al nome del file, seguito dal nome del data stream. Poichè i due punti non sono permessi nel nome del file, non interferirà col nome del file esistente.
Si possono create quanti ADSs si vuole per un file. Per esempio potremmo creare i seguenti ADSs per un file di testo:
PippoBowie.txt:stream2
PippoBowie.txt:datisegretiI vantaggi degli NTFS file streams
Anche se le vecchie versioni di Windows che utilizzavano i file systems FAT16 e FAT32 non supportavano i multiple datastreams, gli ADS non sono una nuova tecnologia. Essi sono stati introdotti nelle prime versioni di Windows NT contestualmente all’introduzione del file system NTFS.
Grazie agli ADS è stato possibile permettere a Windows Server di condividere i dati anche con Apple Macintosh senza perdere le proprietà dei file trasferiti.
I data streams vengono utilizzati anche per esempio per la gestione degli archivi, dai software di backup per conservare le informazioni delle revisioni, da alcuni browsers per memorizzare informazioni riguardanti la provenienza dei file scaricati.
Il lato oscuro degli ADS
Gli ADS possono essere utilizzati dagli hackers per scopi illeciti come attacchi malware. Come uno scomparto segreto in una valigia per nascondere qualcosa dalle guardi, gli ADS possono essere utilizzati per nascondere codice malevolo ed eseguire attacchi bypassando le verifiche di sicurezza di base.
Un ADS può contenere qualsiasi tipo di dato, inclusi video, audio, immagini o codice malevolo come viruses, trojans e ransomwares. Poichè gli alternate data streams sono nascosti, l’utente non riesce a rilevarli guardando il contenuto di una cartella.
Strumenti per lavorare con gli NTFS Alternate Data Streams
Ci sono vari strumenti per lavorare nativamente con gli NTFS Alternate Data Streams, tra questi annoveriamo:
- echo e more
- la utility per i data streams Sysinternals
- l’opzione /R del comando dir
- PowerShell che include 6 cmdlets per manipolare gli ADS
Echo e More
Iniziamo da echo e altri. Nell’esempio sottostante, il comando “More” è utilizzato per concatenare “:datisegreti” al file di testo chiamato PippoBowie.txt, mentre il comando “echo” è utilizzato per scrivere un messaggio segreto che non può essere visto normalmente. Si può notare inoltre che il comando “dir” non mostra lo stream NTFS segreto.
Streams
Streams è uno strumento in linea di comando sviluppato da Sysinternals. È utilizzato per mostrare tutti gli streams presenti oltre a quello default. Lo screenshot sottostante mostra che il file “PippoBowie.txt” ha un alternate stream chiamato “datisegreti” che ha una dimensione di 21 bytes. Si noti che la dimensione del file è diversa da quella del paragrafo precedente.
Dir /R
Il comando “Dir /R” è disponibile da Windows Server 2003. Come mostrato qui sotto, il file “PippoBowie.txt” appare due volte quando si usa l’opzione “/R”. Mostra anche la dimesione corretta sia per lo stream default che per quello segreto.
PowerShell
È anche possibile utilizzare PowerShell per individuare gli eventuali alternate data streams in un file. Nell’esempio sottostante è stato utilizzato il comando “Get-Item” con l’opzione “Stream” e il parametro wildcard. Il risultato mostra entrami gli streams presenti nel file.
È altresì possibile utilizzare PowerShell per eliminare uno stream NTFS. Nello screenshot sottostante è stato utilizzato il comando “clear-content” per eliminare i dati associati allo stream “datisegreti”. Lanciando il comando “get-items” subito dopo è possibile verificarne la corretta eliminazione.
Questa procedura svuota il data stream senza eliminarlo.
Possiamo anche eliminare completamente il data stream utilizzando il comando “remove-item”. Il successivo lancio del comando “get-item” ne dimostra la corretta eliminazione.
Come difendersi dai rischi legati agli Alternate Data Streams
Un malintenzionato può sfruttare gli ADS per nascondere contenuti malevoli, inclusi ransomwares e altri malwares, all’interno della struttura gerarchica del file. Sfortunatamente “Esplora risorse” di Windows ci mostrerà soltanto le informazioni dello stream default. Di fatto un file .txt o Word di dimensione apparente di 1k può in realtà includere megabytes di dati nascosti negli alternate data streams.
Quando si impostano i sistemi di sicurezza aziendali è importante gestire la visibilità degli ADS. I software anti-virus, di analisi dati e prevenzione della diffusione e dispersione dei dati devono essere in grado di rilevare l’esistenta degli ADS e scansionare eventuali contenuti malevoli in modo da poterli rimuovere subito.
Come sempre è meglio prevenire che dover reagire ad un incidente.
Che cosa offriamo
Utility
Contatti
Via San Defendente 3, 13864 Crevacuore (BI) - Italia
+39 015.8853347
info@tesseractechnologies.com
Lunedì - Venerdì: dalle 9.00 alle 12.00 e dalle 14.00 alle 17.00
Sviluppato con 💪 da Silver srl IT02583190026 - Tutti i diritti sono riservati.