Traduttore automatico - Read this site in another language

domenica 27 settembre 2020

Gli Stati Uniti primi al mondo in ambito cyber

Questo, in sintesi, quanto viene affermato nel National Cyber Power Index (NCPI) 2020 del Belfer Center for Science and International Affairs.
Lo studio condotto prende in esame le capacità cyber e la volontà all'impiego di trenta Nazioni, redigendo una classifica in testa alla quale si trovano gli Stati Uniti, seguiti a qualche lunghezza da Cina e Regno Unito. Solo quarta la Russia. A seguire i Paesi Bassi, la Francia, la Germania, il Canada, il Giappone e l'Australia.
Tra le prime dieci nazioni vi sono quattro appartenenti alla cosiddetta "Five eyes", solo la Nuova Zelanda è più indietro, occupando la quindicesima posizione.
Sempre da una analisi sommaria si nota che tre  nazioni su dieci sono europee, Paesi Bassi, Francia e Germania.
Ma, ci si potrebbe chiedere, come è stata stilata la classifica?
E perché una nuova classifica dato che già ne esistono altre?
Iniziamo col dare risposta alla prima domanda.
Il Belfer Center nasce nel 1973 come istituto statunitense, situato a Cambridge, nel Massachusetts con lo scopo di occuparsi di analisi e studi internazionali nel campo del nucleare e del controllo degli armamenti. Il suo campo d'azione negli anni si è ampliato ed oggi comprende anche il dominio cyber.
Con questo studio - parole di Eric Rosenbach (1) - il team del Belfer Center ha prodotto il miglior modello per censire la potenza cyber (di uno Stato).
Il gruppo di lavoro, bisogna riconoscerlo, ha fatto un ottimo lavoro nella identificazione dei possibili obiettivi nazionali alla base dello sviluppo e impiego del cyber power:

1. Surveilling and Monitoring Domestic Groups;
2. Strengthening and Enhancing National Cyber Defenses;
3. Controlling and Manipulating the Information Environment;
4. Foreign Intelligence Collection for National Security;
5. Commercial Gain or Enhancing Domestic Industry Growth;
6. Destroying or Disabling an Adversary’s Infrastructure and
Capabilities;
7. Defining International Cyber Norms and Technical Standards.

Ha quindi identificato le capacità cyber dei trenta Stati presi in considerazione e la loro volontà e capacità di impiegarle allo scopo di raggiungere i suoi obiettivi.

Come detto in precedenza esistono già altri indici che misurano in qualche modo il cyber power.
Tra questi abbiamo trattato in un precedente articolo  del GCI (Global Cybersecurity Index) del International Telecommunications Union.
Esiste un secondo indice che analizza la maturità di 75 Paesi nel settore cyber e dei servizi digitali, si tratta del Potomac Institute's Cyber Readiness Index.
Il terzo indice, sviluppato da Economic Intelligence Unit & Booz Allen Hamilton, si chiama Cyber Power Index e misura il cyber power dei Paesi del G20 ma non comprende le capacità di cyber offensive essendo incentrato principalmente su indicatori economici.

Nello studio si effettua un paragone tra le diverse metodologie, da cui risulta la maggior precisione del nuovo indice. Da notare che sia nel GCI del ITU, sia nel CPI il Regno Unito risultava al primo posto, posizione occupata nel nuovo indice dagli Stati Uniti.

Molto interessante notare che secondo il NCPI, seppure il primato nel settore cyber sia in generale attribuito agli Stati Uniti, la Cina è indicata come la nazione con il maggior punteggio in relazione al "Intent" che è definito come:

"measurement of the quality and quantity of government planning initiatives (i.e. national cyber security strategies, crisis plans, and other related government planning documents). It is a subjective assessment of the government’s “observed behavior” on cyber relevant issues".

Ciò è in linea con la narrativa generale statunitense che descrive la Cina come una nazione estremamente aggressiva in tutti i campi.

In definitiva, lo studio è molto interessante e dovrebbe essere approfondito, soprattutto in relazione al fatto che l'Italia risulta essere in ventinovesima posizione su trenta Paesi !


Alessandro RUGOLO
 
Note:

(1) Eric Rosenbach è Co-Director del Belfer Center e Former Chief of Staff and
Assistant Secretary for the U.S. Department of Defense

Per approfondire:
https://www.belfercenter.org/publication/national-cyber-power-index-2020/;
https://www.difesaonline.it/evidenza/cyber/global-cybersecurity-index-2017-italia-al-31%C2%B0-posto-discesa
https://www.itu.int/pub/D-STR-GCI.01-2018
https://www.potomacinstitute.org/images/CRIndex2.0.pdf
https://www.smartdatacollective.com/cyber-power-index/

giovedì 17 settembre 2020

The TIDoS Framework

Per gli amanti di Kaly Linux, Metasploit è il framework impiegato per eseguire attività di Penetration Testing...
eppure, negli ultimi tempi, qualcosa di nuovo si è fatto avanti: TIDoS.

Cosè TIDoS?

Si tratta di un nuovo "Offensive Web Application Penetration Testing Framework", realizzato come progetto dal Team CodeSploit.

Vediamo in che consiste:

La versione su GitHub è la 1.7, ed è dichiarata come stabile. 
Il linguaggio di programmazione principale è python per il 95,6 %.
per un totale di 108 moduli.

Il framework è articolato intorno a cinque fasi:

- Reconnaissance Phase: di cui fanno parte 50 moduli;

- Scanning & Enumeration Phase, con 16 moduli;

- Vulnerability Analysis, con 37 moduli;

- Exploit Castle, con un solo modulo;

- Auxilliares, con 4 moduli.

La prima fase, reconnaissance, generalmente consiste nella pianificazione delle attività e nella raccolta di informazioni sull'obiettivo e sulle potenziali vulnerabilità. 
Naturalmente ricordo a tutti che l'attività di penetration testing è una attività che deve essere condotta in determinate circostanze e con le dovute autorizzazioni, non si tratta di condurre un attacco contro un obiettivo ma di individuare le vulnerabilità di un possibile obiettivo per aiutarlo a ridurle o eliminarle.

Tra i tanti moduli della prima fase (che potete trovare qui) si trovano:
- Nping Enumeration;
- WhoIS Lookup, per la raccolta di informazioni sul dominio di interesse;
- GeoIP Lookup, per individuare la posizione fisica di un obiettivo;
- DNS Configuration Lookup, che scarica la configurazione del DNS.

Interessante il modulo Wayback Machine Lookup, che serve per reperire backup di siti web, per esempio per verificare o ritrovare informazioni modificate o cancellate nel tempo.

Teoricamente le fasi andrebbero eseguite in sequenza.
In ogni fase è presente un modulo che consente di automatizzare le attività.
Il framework è ancora in sviluppo e l'autore ammette che potrebbero esserci dei malfunzionamenti su cui sta lavorando.

Una cosa è certa, le immagini delle schermate disponibili ci riportano indietro di un po di anni, cosa piacevole per certi versi... attendiamo gli sviluppi!


Alessandro Rugolo

Per approfondire:

https://www.metasploit.com/
https://github.com/0xInfection/TIDoS-Framework
https://www.cisco.com/c/en/us/products/security/what-is-pen-testing.html
https://www.facebook.com/0xInfection/?ref=page_internal
https://www.imperva.com/learn/application-security/penetration-testing/#:~:text=%20Penetration%20testing%20stages%20%201%20Planning%20and,cross-site%20scripting%20%2C%20SQL%20injection%20and...%20More%20
https://www.elastic.co/guide/en/siem/guide/current/nping-process-activity.html
https://nmap.org/nping/
http://web.archive.org/
https://www.blackhatethicalhacking.com/tools/the-tidos-framework/

domenica 13 settembre 2020

Intel Launches World’s Best Processor for Thin-and-Light Laptops: 11th Gen Intel Core

More than 150 Designs in Development, Including 20 Verified Under New Intel Evo Platform Brand


NEWS HIGHLIGHTS
  • Intel launches 11th Gen Intel® Core™ processors with Intel® Iris® Xe graphics, the world’s best processors for thin-and-light laptops1, delivering up to 2.7x faster content creation2, more than 20% faster office productivity3 and more than 2x faster gaming plus streaming4 in real-world workflows over competitive products.
  • Intel® Evo™ platform brand introduced for designs based on 11th Gen Intel Core processors with Intel Iris Xe graphics and verified through the Project Athena innovation program’s second-edition specification and key experience indicators (KEIs).
  • More than 150 designs based on 11th Gen Intel Core processors are expected from Acer, Asus, Dell, Dynabook, HP, Lenovo, LG, MSI, Razer, Samsung and others.
SANTA CLARA, Calif., Sept. 2, 2020 – Intel today unleashed a new era of laptop performance with the launch of its next-generation mobile PC processors and the evolution of its broad ecosystem partnerships that are propelling the mobile PC industry forward. New 11th Gen Intel Core processors with Intel Iris Xe graphics (code-named “Tiger Lake”) are the world’s best processors for thin-and-light laptops with unmatched capabilities for real-world productivity, collaboration, creation, gaming and entertainment across Windows and ChromeOS-based laptops.
Leveraging Intel’s new SuperFin process technology, 11th Gen Intel Core processors optimize power efficiency with leading performance and responsiveness while running at significantly higher frequencies versus prior generations. More than 150 designs based on 11th Gen Intel Core processors are expected from partners including Acer, Asus, Dell, Dynabook, HP, Lenovo, LG, MSI, Razer, Samsung and others.

martedì 8 settembre 2020

Il Chief Information Security Officer, quali competenze?


Per molti professionisti della sicurezza informatica l'obiettivo finale della carriera è quello di assumere il ruolo di Chief Information Security Officer (CISO). Quella di CISO è una posizione a livello esecutivo, responsabile della gestione e delle operazioni del rischio informatico.
Come sappiamo, la sicurezza informatica si sta trasformando ed oggi un buon CISO deve anche avere forti capacità comunicative e una profonda comprensione del business.
Per potere ricoprire un simile ruolo è necessario comprendere come questo si stia evolvendo e le competenze necessarie per eccellere.
Man mano che le organizzazioni aziendali sviluppano il percorso della digitalizzazione, anche attraverso l’utilizzo dei servizi cloud, la loro capacità di sfruttare efficacemente la tecnologia è diventata parte integrante del loro successo.
Questo processo, però, ha anche creato maggiori opportunità per i criminali informatici.
Negli ultimi anni aziende di tutte le dimensioni hanno subito danni alla reputazione e hanno speso risorse significative per riprendersi da un attacco oppure sono state costrette a pagare multe per violazione della normativa sulla privacy.
Un bravo CISO deve sapere che un incidente informatico è in primo luogo un rischio aziendale e non soltanto un semplice rischio informatico
Quando si prendono decisioni, i consigli di amministrazione e i team esecutivi devono essere in grado di valutare la probabilità di una violazione dei dati oltre a perdite finanziarie o rischi operativi. Un buon CISO li aiuta a farlo.
Secondo una ricerca di Deloitte, ci sono quattro ruoli o aspetti che un CISO deve possedere e sviluppare: il tecnologo, il tutore, lo stratega e il consulente.
Probabilmente molte delle persone che ambiscono al ruolo di CISO hanno già familiarità con le caratteristiche di tecnologo e di tutore.
In qualità di tecnologo, il CISO è responsabile della guida, della distribuzione e della gestione delle tecnologie e degli standard di sicurezza.
Nel ruolo di tutore, monitora e regola programmi e controlli per migliorare continuamente la sicurezza. Non dobbiamo mai dimenticare, però, che i controlli tecnici e gli standard non elimineranno del tutto il rischio di attacchi informatici e che il CISO non ha il controllo su tutte le condizioni che possono aumentare la probabilità di una violazione; ecco perché i ruoli di stratega e consulente hanno assunto una sempre maggiore importanza.
In qualità di stratega, il CISO deve allineare la sicurezza con la strategia aziendale per determinare in che modo gli investimenti in sicurezza possono portare valore all'organizzazione.
In quanto consulente, il CISO aiuta i team esecutivi a comprendere i rischi relativi alla sicurezza informatica in modo che possano prendere decisioni corrette sulla base delle informazioni ricevute.
Per eccellere in questi ruoli è importante avere una ottima conoscenza del business, comprendere la gestione del rischio e migliorare le capacità di comunicazione.
Come dicevamo in precedenza, se si sta già operando nel settore della sicurezza informatica e si è interessati a crescere nel ruolo di CISO, probabilmente, già si conoscono gli aspetti legati al ruolo di tecnologo e di tutore.

È possibile migliorare le proprie competenze tecniche cercando di fare esperienza e ottenere certificazioni in una varietà di aree, in modo da comprendere cosa sia l'analisi delle minacce, la caccia alle minacce, la compliance, l'hacking etico e il controllo del sistema, ma questo non è tutto.
Occorre, infatti, trovare il tempo per lavorare sulle proprie capacità di leadership.
  • Comprendere il business è il passo più importante se ci si vuole preparare ad un ruolo a livello esecutivo, occorre imparare a pensare come un uomo d'affari. Chi sono i vostri clienti? Quali sono le grandi opportunità e le sfide del vostro settore? Cosa rende unica la vostra azienda? Quali sono le sue debolezze? Quali strategie aziendali guidano l'organizzazione? È fondamentale prestare attenzione alle comunicazioni aziendali e ai report annuali per scoprire quali priorità ha il board aziendale e perché si sono prese determinate decisioni, leggere articoli relativi al proprio settore per avere una prospettiva più ampia sull'ambiente aziendale e su come la vostra azienda si inserisce nel mercato. Questa ricerca vi aiuterà a prendere decisioni più corrette su come allocare risorse limitate per proteggere i beni aziendali. Vi aiuterà anche a inquadrare le vostre argomentazioni in modo tale che l'azienda ascolti quanto vorrete proporre. Ad esempio, se si desidera convincere l'organizzazione ad aggiornare il firewall, sarà più facile convincere i decisori se si sarà in grado di spiegare le relazioni tra un incidente di sicurezza e il rapporto dell'azienda con clienti o investitori.
  • Imparare la gestione del rischio: le aziende lungimiranti assumono regolarmente rischi strategici per raggiungere i propri obiettivi, colgono opportunità per lanciare nuovi prodotti o acquisire un concorrente che renderà i propri prodotti più appetibili sul mercato. Queste decisioni, se errate, possono causare fallimenti o perdite enormi. La gestione del rischio è una disciplina che cerca di comprendere i lati positivi e negativi dell'azione ed eliminare o mitigare i rischi, per quanto possibile. Confrontando la probabilità delle varie opzioni, ad esempio il ritorno sull'investimento se l'impresa ha successo o la potenziale perdita in caso di fallimento, i gestori possono prendere decisioni migliori. Il CISO aiuta a identificare e quantificare i rischi per la sicurezza informatica che dovrebbero essere considerati insieme ai rischi finanziari e operativi.
  • Migliorare le capacità di comunicazione: Per essere un buon consulente e stratega, è necessario comunicare in modo efficace con le persone che hanno esperienze e background differenti. Un giorno ci si potrebbe trovare a discutere con un membro molto tecnico della propria squadra, il giorno dopo potrebbe essere necessario partecipare a una decisione aziendale a livello esecutivo o addirittura essere invitato a presentarsi al consiglio di amministrazione. Un piano di comunicazione può essere d’aiuto a perfezionare i messaggi che si devono dare ai vari interlocutori. Per iniziare a sviluppare queste caratteristiche bisogna cercare di capire gli obiettivi delle persone con cui si parla regolarmente. Quali sono le loro necessità? È possibile inquadrare le comunicazioni di sicurezza in termini tali da poterli aiutare a superare queste sfide? È necessario riflettere e prendersi del tempo per mettersi nei panni di qualcun altro prima delle riunioni, delle conversazioni nel corridoio, prima di scambiare e-mail e chat. Può fare davvero la differenza!

Un buon piano di comunicazione fornisce messaggi di sicurezza mirati:

Negli ultimi anni, il ruolo dei CISO è stato portato ad essere parte del board di un’azienda proprio per avere una consulenza strategica sulla sicurezza.
Costruire capacità di leadership come la gestione del rischio e la comunicazione vi aiuterà a entrare in questo ruolo in modo sempre più importante.

Carlo Mauceli

domenica 6 settembre 2020

INTEL lancia la nuova generazione di processori Tiger Lake

Il due di settembre Intel ha annunciato il rilascio sul mercato della nuova generazione di processori, l'undicesima, chiamata "Tiger Lake".
La casa di Santa Clara annuncia miglioramenti in tutti i settori, dalla produttività individuale al gioco.
I principali miglioramenti riguardano le capacità grafiche del nuovo processore Intel® Iris® Xe considerato come il migliore processore per laptop e capace di raddoppiare le prestazioni nei videogiochi. Ci si attende più di 150 prodotti delle principali case produttrici di portatili basati sul processore di nuova generazione, anche grazie ai suoi bassi consumi che consentono di incrementare la durata della batteria e di velocizzare la ricarica.
Saranno disponibili nove diverse configurazioni, a partire dal dual core i3-1110G4 con frequenza base di 1.8 GHz fino al quadcore i7-1185G7 con velocità massima di 4.9GHz, tutti con all'interno integrato il nuovo processore grafico Iris Xe. 
Le nuove piattaforme (Intel Evo) saranno equipaggiate con le nuove tecnologie di connessione Thunderbolt 4 (cavo) e Intel WiFi 6 (Gig+), con l'intento di fornire agli acquirenti la migliore esperienza utente possibile.
La nuova generazione di processori fa largo uso dell'Intelligenza Artificiale grazie all'introduzione del primo set di istruzioni per reti neurali inferenziali per la grafica integrata.
A ben guardare questa volta Intel sembra aver preso seriamente in considerazione anche un aspetto negli ultimi anni divenuto critico.
Non credo sia necessario ricordare che due grosse falle di sicurezza dei processori Intel (e non solo!) sono state messe in evidenza recentemente, conosciute dal 2018 coi nomi Meltdown e Spectre (vedi articolo) e seguite da più recenti vulnerabilità della stessa categoria. Per non parlare dei tentativi di correggere le falle via software che hanno causato ulteriori problemi e una generale degradazione delle prestazioni dei processori. 
La nuova generazione di processori Intel sembra fare un passo avanti anche nel campo della sicurezza, implementando la nuova tecnologia Intel Control-Flow Enforcement Technology (Intel CET).
Secondo gli esperti di Zero Day Initiative di Trend Micro la maggior parte degli attacchi scoperti si basano sulla cattiva gestione dell'accesso alla memoria e la nuova tecnologia intende prendere seriamente in considerazione questo problema fornendo ai programmatori diverse opzioni di sicurezza impiegabili per impedire attacchi di tipo "control-flow hijacking malware" grazie alle tecniche di  "indirect branch tracking" e "Shadow Stack". 

Tutto starà nel vedere se quanto promesso sarà mantenuto, noi ce lo auguriamo!

Alessandro Rugolo

Per approfondire:
https://www.difesaonline.it/evidenza/cyber/meltdown-considerazioni-sullimpatto-sui-sistemi-classificati
https://www.pcmag.com/news/intel-launches-11th-generation-core-tiger-lake-laptop-processors
https://newsroom.intel.com/news-releases/11th-gen-tiger-lake-evo/#gs.ff40co
https://newsroom.intel.com/editorials/intel-cet-answers-call-protect-common-malware-threats/#gs.ff7k3h
https://www.lesnumeriques.com/informatique/meltdown-spectre-qu-faut-savoir-sur-faille-processeurs-n69881.html
https://meltdownattack.com/
https://www.zerodayinitiative.com/advisories/published/
https://www.trendmicro.com/it_it/about/newsroom/press-releases/2019/20191210-trend-micro-zero-day-initiative-e-leader-nella-scoperta-delle-vulnerabilita.html
https://software.intel.com/content/www/us/en/develop/articles/technical-look-control-flow-enforcement-technology.html

domenica 30 agosto 2020

Come competere nel Cyberspace: il nuovo approccio


Il 25 agosto 2020, su Foreign Affairs, è stato pubblicato un articolo molto interessante, firmato Nakasone e Sulmeyer. Il primo, Paul Miki Nakasone, Comandante del US Cyber Command, Direttore della National Security Agency e Capo del Central Security Service. Il secondo, Michael Sulmeyer, è senior Advice di Nakasone presso lo US Cyber Command.

Nell'articolo si descrive il nuovo approccio seguito dal US Cyber Command e si ripercorre molto velocemente la storia del pensiero intorno alla Cyber Defense strategy americana. Prenderò spunto da questo per alcune considerazioni che ritengo siano fondamentali.

A partire dalla nascita del Cyber Command, nel 2010, si dice nell'articolo, l'assunto operativo era che il Comando Cyber dovesse concentrarsi nel prevenire infiltrazioni o tentativi di sabotaggio nei confronti delle reti militari, la postura cyber era dunque di tipo difensivo/reattivo, ma tale postura, nel tempo, si è dimostrata inefficace. 

Si è passati quindi verso una postura proattiva, chiamata "persistent engagement", applicata per esempio nel 2019 con le missioni di "hunt forward" in Montenegro. Le operazioni chiamate "hunt forward", che potrebbe tradursi con  "caccia d'anticipazione", sono considerate una componente essenziale nella protezione del territorio nazionale nell'ambito della strategia di "persistent engagement" in quanto servono a affrontare l'avversario dove esso opera, lavorando in collaborazione con gli alleati o coi partners che chiedono l'assistenza US per contrastare operazioni Cyber condotte nel proprio Paese.  

Dall'ingresso del Montenegro nella NATO nel 2017 diversi indizi di attacchi cyber nei confronti delle reti governative montenegrine (probabilmente da parte della Russia) hanno spinto verso una richiesta di aiuto agli US., presentata nel 2019.

Nell'ottobre 2019 iniziarono cosi le attività di hunt forward in Montenegro.

Una volta che una missione hunt forward viene completata, il Cyber Command lavora in stretto contatto con diversi dipartimenti governativi statunitensi per analizzare i dati raccolti che vengono utilizzati in diversi modi:

- per aiutare il Paese che ha richiesto assistenza a proteggersi meglio;

- per difendere meglio le proprie reti nazionali;

- per consentire l'update di prodotti antivirus.

Secondo l'articolo, l'effetto delle tante "hunt forward missions" condotte negli ultimi anni dal Comando Cyber è quello di ridurre l'efficacia dei malware e dei possibili avversari interessati al loro sfruttamento. Tutto ciò è sicuramente vero, come probabilmente è vero che esistono paesi come la Russia e la Cina (e diversi altri anche occidentali!) che utilizzano le debolezze delle reti e dei sistemi (e delle organizzazioni che le gestiscono) per avvantaggiarsi nel dominio mondiale.

Tale effetto però, occorre evidenziarlo in quanto non detto nell'articolo che sto commentando, non è l'unico, infatti tali attività consentono allo US Cyber Command di raccogliere informazioni importanti (direi meglio: vitali) sulla struttura delle reti e dei sistemi nazionali interessati, informazioni utili quando si è dalla stessa parte, ma ancora più utili in caso di contrasto.

E' anche per questo motivo che nelle politiche cyber di alcuni Stati esistono dei vincoli alla collaborazione in determinati settori riguardo le attività che possono essere condotte sui propri sistemi.  

Ogni nazione che aspiri a mantenersi indipendente deve essere capace di adattarsi ai tempi (si tratta di evoluzione) e nel nostro caso la riflessione sulle strategie militari e industriali deve essere posta alla base della indipendenza e sopravvivenza dello Stato. 

Ecco perché è importante investire nelle nuove tecnologie e far si che il Paese possa vantare un team di esperti nel settore cyber capace di lavorare per quanto possibile in autonomia e di valutare i rischi insiti nel rivolgersi ad altri in caso di bisogno.

Un avvertimento di Claude Shannon, uno dei padri della Teoria dell'Informazione, richiamato nell'articolo: "assume that the enemy knows the system", ci dovrebbe far riflettere...

 

Alessandro Rugolo


Per approfondire: 

https://www.foreignaffairs.com/articles/united-states/2020-08-25/cybersecurity

https://www.fifthdomain.com/dod/2020/02/12/how-hunt-forward-teams-can-help-defend-networks/

martedì 28 luglio 2020

Trickbot: il trojan più diffuso nelle campagne COVID 19

Il malware Trickbot appartiene alla famiglia dei Trojan spyware, principalmente impiegato contro obiettivi del settore bancario.
La sua prima apparizione risale al 2016 e i suoi obiettivi sono stati identificati in diversi stati, tra cui Stati Uniti, Canada, Gran Bretagna, Germania, Australia, Autria, Irlanda e Svizzera.
Il malware, per quanto riguarda lo sviluppo, è stato scritto in C++, uno dei linguaggi capaci di accedere direttamente alla CPU, ai registri e alla memoria.
Trick bot è un trojan che funziona solo su piattaforme windows.
Una volta che il malware infetta un pc il suo compito consiste nel rubare le credenziali e informazioni bancarie ma è possibile impiegarlo anche per esportare files o dati in generale.
Il malware, in primo luogo, ha la capacità di caricare il codice all'interno del sistema da infettare e creare una replica di se stesso all'interno della cartella %APPDATA%, provvedendo a cancellare il file originale.
E' quindi capace di raccogliere informazioni sensibili quali dati personali e credenziali bancarie (utilizzando le informazioni raccolte dai browser) per poi esfiltrarle ma anche indirizzi email,
Tramite la sua catena di C2 è capace di aggiornare se stesso a nuove versioni e di esfiltrare i dati. Il canale impiegato per la sua catena C2 viene cifrato con cifratura simmetrica (AES CBC 256 bit).
E' capace di reindirizzare l'utente su siti falsi allo scopo di raccogliere le sue credenziali.
Trickbot è stato impiegato da alcuni gruppi, in particolare da TA505 e Wizard Spider.
Esistono varie versioni del malware, per sistemi a 32 e 64 bit.
Il vettore di infezione generalmente è un file Word con macro attive, ricevuto via email durante una campagna di spearphishing.
E' possibile individuare la presenza di Trickbot sul nostro sistema in modalità manuale semplicemente osservando la cartella %APPDATA% e verificando la presenza dei due file tipici di Trickbot:
- client_id, che contiene i dati identificativi di un utente infetto;
- group_tag, che contiene i dati identificativi della campagna di infezione.
Nella stessa cartella è presente il file eseguibile di Trickbot copiato inizialmente dal file originale.
Sembra invece che al momento non esista modo di individuare la sua presenza tramite sistemi di analisi automatica del traffico, in quanto il traffico creato verso il sistema di C2 è cifrato (SSL).
E' invece possibile individuarlo tramite l'analisi della memoria, ma occorre tenere conto che le differenti versioni lasciano tracce differenti.
Per la rimozione di Trickbot si può fare riferimento ad alcuni software come "malwarebytes" oppure si deve procedere manualmente, a seconda della versione del sistema operativo, niente di impossibile, ma non facilissimo.
Trickbot è un malware diffuso attraverso campagne di phishing o spearphishing dunque è molto importante fare estrema attenzione alle email ricevute e adottare il sano principio di "non aprire una email o un file sospetto", anche se non sempre di facile applicazione.

Trickbot, come ogni malware, sfrutta le falle di sicurezza dei sistemi.
Per proteggersi a volte e sufficiente la corretta configurazione dei sistemi in uso, con particolare riferimento al corretto impiego degli account di amministrazione.
Raccomandiamo inoltre l'impiego di software e sistemi coperti dal supporto della casa madre, in particolare per quanto riguarda i Sistemi Operativi che sono alla base della sicurezza.
L'impiego di "Endpoint Detection and Response" può essere d'aiuto, a patto che il personale sia in grado di gestirli.   


Alessandro Rugolo


Per approfondire:

https://fraudwatchinternational.com/malware/trickbot-malware-works/
https://attack.mitre.org/software/S0266/
https://www.malwaretech.com/2018/03/best-programming-languages-to-learn-for-malware-analysis.html
https://www.securityartwork.es/wp-content/uploads/2017/07/Trickbot-report-S2-Grupo.pdf
https://www.pcrisk.it/guide-per-la-rimozione/8754-trickbot-virus
https://www.bankinfosecurity.com/covid-19-phishing-emails-mainly-contain-trickbot-microsoft-a-14149