Automating DFIR

In mancanza di una buona documentazione su libtsk, David Cowen si sta prendendo cura di condividere una serie di esempi pratici (brevi script python) per documentare l’interazione con la libreria Sleuth Kit che consente di accedere alle immagini dei device acquisiti e alle rispettive partizioni. I primi 10 post della serie “Automating DFIR” sono già […]

La risposta di Anonymous al Terrorismo Islamico

Già la sera dell’attacco alla sede del giornale satirico Charlie Hebdo, un gruppo di hacktivisti facenti parte del movimento Anonymous ha lanciato su scala mondiale l’operazione Charlie Hedbo diffusa online attraverso l’hashtag #OpCharlieHebdo. Nella giornata di ieri un gruppo di Anonymous francesi ha divulgato su pastebin una lista di account, molti dei quali rappresentano un punto di riferimento per un […]

Image File Execution Options

“Image File Execution Options” è una chiave di registro annidata sotto “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion” che stando alla documentazione Microsoft può essere configurata per lanciare un debug all’avvio di una qualsiasi applicazione. In pratica è sufficiente creare una sottochiave con il nome dell’applicazione di cui si desidera eseguire il debug, assegnare il valore stringa “Debugger” e associare come valore data […]

Cyber*

Leggendo alcuni articoli su cyber(security|war|warfare|intelligence|defense) pubblicati sul web da testate di spessore viene da pensare che qualcosa in tal senso si stia muovendo. Tutto lascia presagire che vi sia una (lenta) presa di coscienza da parte degli organi preposti alla gestione della sicurezza nazionale e che lentamente ci si stia preparando per fronteggiare i numerosi cyber attacchi provenienti […]

Malware PE Firmati Digitalmente

Da quando Davide Barbato mi ha sottoposto la necessità di rilevare la presenza di firma digitale nei malware PE ho cominciato a interessarmi al problema. In passato si sono verificati casi in cui qualche malware è stato distribuito con firma digitale, Stuxnet nel 2010 fu forse il primo caso serio, ma oggi questa pratica pare diventata abbastanza comune. In merito alla necessità […]

REMnux 5 include PEframe

L’ultima release di REMnux include PEframe tra i tool per l’analisi statica dei malware. Se vi aiutate con la mind map dei tools lo trovate alla voce “Statically Examine PE Files”. Dal terminale è raggiungibile al path /usr/local/peframe cd /usr/local/peframe && ./peframe.py Per i malware analysts più distratti ricordo che la versione attuale di PEframe è la 4.0, […]

FBI ufficialmente interessata al malware

Che l’FBI nutra un forte interesse per i malware di ultima generazione e per il codice malevolo in generale non è mai stato un segreto, ma di recente (la scorsa settimana) il FBO (Federal Business Opportunities) ha pubblicato un documento in cui si richiede ufficialmente ai potenziali fornitori la ricezione di 30/40 GB di malware al giorno. Inutile discutere sulle nobili cause che hanno […]

Dal Filename al Profile ID di Facebook

Forse non tutti sanno che Facebook da qualche mese ha rimosso il profile/user id da tutti i nomi delle foto, per cui il giochetto che proposi nel 2010 per risalire dal nome file presente nella url statica della foto condivisa su facebook all’utente che l’aveva caricata sul social network non è più valido. Ora i parametri […]