SECURITY

SSS SOFT
START
Academy

SSS 1
Security Soft Start - Onstairs © 2020
 LEZIONE 1

SSS 2
Security Soft Start - Onstairs © 2020
 #ARGOMENTI E OBIETTIVI
START

THREATS
➢ Virus, Malware, CryptoMalware & Trojan
➢ Bot, RAT, Key Logger & Logic Bomb
➢ Spam, Phishing & Spear Phishing Attacks

LO SNIFFER WIRESHARK
➢ Cos'è uno sniffer
➢ Wireshark
➢ HANDS-ON: Usiamo Wireshark in LAN

SSS 3
Security Soft Start - Onstairs © 2020
 # THREATS

SSS 4
Security Soft Start - Onstairs © 2020
 # Malware
• Un Malware è un software dannoso usato per innumerevoli motivi tra cui:

✓ Sottrarre informazioni personali (es. Password)

✓ Impedire agli utenti leggittimi l’accesso al Sistema

✓ Diffondere contenuti pubblicitari

• Spesso si confonde il termine “Malware ” con “Virus”. Un “Virus” è una

particolare categoria di Malware

SSS 5
Security Soft Start - Onstairs © 2020
 # Malware
• Alcune tipologie di malware….

SSS 6
Security Soft Start - Onstairs © 2020
 # Malware
• Contiene al suo interno codice malevolo in grado di infettare un
singolo Host.
VIRUS • Ha necessità di essere eseguito da un’applicazione o essere umano
• Una volta eseguito rileva ulteriori applicazioni infettabili
• L’esecuzione vera e propria inizia con l’avvio del Payload

• Malware in grado di replicarsi sulla rete senza dover esser

WORM eseguito da un’applicazione o essere umano
• Risiede in memoria e può utilizzare differenti tecniche per
propagarsi sulla rete
• Causa un eccessivo consumo di banda

• Codice nascosto all’interno di un’applicazione eseguito al

LOGIC BOMB verificarsi di un evento

• Una «Time bomb» è una variante in cui il malware è attivato ad un

istante di tempo preciso
SSS 7
Security Soft Start - Onstairs © 2020
 # Malware

• Metodo alternativo per accedere ad un sistema da remoto

BACKDOOR • Utilizzato per bypassare i sistemi di sicurezza

• Utilizzato per controllare un sistema da remoto

RAT • Alcune tipologie di RAT sono in grado di acquisire dati sensibili

come Username Password, Email, Chat ecc.

• Software all’apparenza non malevolo che nasconde al suo interno

codice in grado di infettare il sistema
TROJAN • Utilizzo principalmente negli attacchi di tipo «drive-by-download»
oppure negli attacchi di tipo «Rogueware»

SSS 8
Security Soft Start - Onstairs © 2020
 # Come funziona un attacco Drive-by-Download ?
Un Hacker comprotte un sito Web ed installa e
Hacker
nasconde un malware (es. Trojan) all’interno del
sito

L’Hacker deve invogliare le vittime ad accedere al

Hacker sito web da lui compromesso

Gli utenti che visitano il sito Web a loro insaputa

Vittima scaricano e installano il malware

SSS 9
Security Soft Start - Onstairs © 2020
 # Malware
• Particolare tipologia di Trojan
• E’ in grado di cifrare i dati utente e di detenere il controllo del
RANSOMWARE sistema
• Generalmente diffuso in modalità «drive-by-download» o
nascosto all’interno di email

• Utilizzato per catturare «quanto battuto» su di una tastiera

• Quanto battuto viene inserito all’interno di un file e inviato

KEYLOGGER automaticamente all’hacker
• Può essere di tipo software o hardware (USB Keylogger). In questo
secondo caso le informazioni sono memorizzate all’interno del
dispositivo USB

• Software installato ad insaputa dell’utente e utilizzato per

raccogliere informazioni personali da inviare a terze parti.
SPYWARE
• Gli spyware possono determinare una compromissione della
segretezza dei dati personali
SSS 10
Security Soft Start - Onstairs © 2020
 # Malware

• Un «bots» è un robot software utilizzato ad esempio per

velocizzare le ricerche di contenuti web

• Una Botnet è una rete di Bots (detti Zombie) comandati da un

nodo centrale

• Il nodo centrale esegue un software detto «Command &

BOTNET Control (C&C)»

• Periodicamente i Bots verificano la presenza di server C&C,

ricevono ed eseguono ordini

• Una Botnet può essere utilizzata per diverse finalità: lanciare

attacchi di tipo Denial of Service, scaricare ulteriore malware,
lanciare campagne di spam ecc.

SSS 11
Security Soft Start - Onstairs © 2020
 # Malware

• Software in grado di nascondere e non far rilevare l’infezione

agli strumenti di Host e Network Security

• In grado di accedere al sistema in modalità «root»

ROOTKIT • Lavorando in Memoria è in grado di intercettare le richieste

inoltrate dal motore Antivirus al Sistema Operativo e filtrarle.

• Per rilevare la presenza di Rootkit è necessario esaminare il

contenuto della RAM oppure eseguire il sistema in Modalità
Provvisoria

SSS 12
Security Soft Start - Onstairs © 2020
 # Malware

• Email non desiderata o non sollecitata

SPAM • Possono contenere in genere annunci pubblicitari o link a file
malevoli

• Invio mail allo scopo di ottenere le credenziali di accesso

dell’utente per siti sensibili (es. Home banking, Portale Sanitario
ecc.)

• Un hacker costruisce una copia speculare di un sito ufficiale.

PHISHING Dopodiché inserisce nel corpo della mail il link a tale sito. In tal
modo l’utente inserirà le credenziali sul sito malevolo

• L’obiettivo dello Spear Phishing è inviare messaggi di Spam

destinati ad un gruppo specifico di utenti

SSS 13
Security Soft Start - Onstairs © 2020
 # Come rilevare un Malware?

ANTIVIRUS
• In grado di rilevare non solo virus ma anche Trojan, Worms ecc.

• La rilevazione può avvenire sfruttando la modalità «Signature Based»

• Una volta rilevato il malware viene inserito in un’ambiente detto
«Quarantena»

• Un’altra modalità di analisi è quella «Euristica» che prevede

l’esecuzione del malware in un’ambiente controllato detto «Sandbox».
Tale analisi è in grado di rilevare malware polimorfici ovvero malware
che possono subire delle variazioni ogni volta che sono eseguiti

SSS 14
Security Soft Start - Onstairs © 2020
 # Come rilevare un Malware?

L’antivirus sarà in grado di rilevare il Virus se ne cambio il nome?

SSS 15
Security Soft Start - Onstairs © 2020
 # Come rilevare un Malware?

SI, in quanto l’analisi «Signature-based» ispeziona l’Hash del

Malware e non il Nome!

SSS 16
Security Soft Start - Onstairs © 2020
 #Algoritmo di hashing
• Un Algortimo di Hashing è un processo matematico attraverso cui è
possibile generare un messaggio di lunghezza costante detto Digest o Hash
a partire da un messaggio iniziale di lunghezza arbitraria
MESSAGGIO IN
DIGEST
CHIARO

«Ciao sono Marco» 2795ba32c0a01fba1bd78d0ca3b41255

Algoritmo di
Hash

SSS 17
Security Soft Start - Onstairs © 2020
 #Algoritmo di hashing
• Le funzioni (F) utilizzate da un algoritmo di Hash non sono invertibili

• Di conseguenza un Algoritmo di Hashing (al contrario della Cifratura)

genera un risultato irreversibile

Hash:
Digest= F(Chiaro)

Chiaro Digest

Hash:
Chiaro= F’(Digest)
SSS 18
Security Soft Start - Onstairs © 2020
 #Algoritmo di hashing
• I principali Algoritmi di Hashing…

MD5 SHA256

TIGER

SHA1 RIPEMD128

SSS 19
Security Soft Start - Onstairs © 2020
 #Determinare l’hash di un file
• E’ possibile farlo utilizzando programmi specifici (Es. md5sum.exe) oppure
utilizzando tool online (Es. https://www.fileformat.info/tool/hash.htm )

SSS 20
Security Soft Start - Onstairs © 2020
 # Come capire se il motore Antivirus è valido?
• Virustotal (https://www.virustotal.com) mostra i risultati prodotti dai
principali motori Antimalware presenti sul mercato.

SSS 21
Security Soft Start - Onstairs © 2020
 # Come capire se un sistema è Compromesso?

CHECKSUM INTEGRITY
• Per mezzo della funzione «Checksum Integrity» è possibile rilevare un
eventuale modifica ai file di sistema

• Il motore antivirus calcola e memorizza periodicamente l’Hash dei file di

sistema. Se vengono rilevate delle modifiche, il sistema invia un Alert

SSS 22
Security Soft Start - Onstairs © 2020
 # Data Execution Prevention (DEP)

DEP
• E’ una funzionalità che inibisce l’esecuzione di processi in aree di
memoria classificate come «non eseguibili»

• DEP per poter funzionare deve necessariamente integrarsi con le

caratteristiche hardware e software del sistema da proteggere

• DEP può essere abilitato nel BIOS del sistema

SSS 23
Security Soft Start - Onstairs © 2020
 # SPAM Filtering
SPAM FILTERING

• L’obiettivo principale è quello di filtrare messaggi indesiderati (es.

Spam, Phishing) facendo transitare i messaggi di posta elettronica
leciti

• Il filtraggio può avvenire:

✓ Esaminando l’indirizzo o il dominio del server di posta che ha

inoltrato la mail (whitelist / blacklist)

✓ Esaminando l’indirizzo da cui proviene l’email

✓ Esaminando il contenuto della mail (es. verificare la presenza

di parole offensive o che fanno riferimento ad aspetti non
legali)

SSS 24
Security Soft Start - Onstairs © 2020
 # Malware Analysis
• L’ attività di Malware Analysis consiste nell’analizzare un malware al fine di
studiarne il comportamento e meglio comprendere come neutralizzarlo o
rimuoverlo

• L’ obiettivo finale è il poter descrivere cosa esattamente sia successo in

concomitanza di un incidente (es. Infezione di un computer)

• Una volta compreso il modus operandi, è possibile creare una Signature in

grado di rilevare e bloccare il malware in futuro.

• E’ possibile analizzare un malware utilizzando due tecniche di analisi:

Statica e Dinamica
SSS 25
Security Soft Start - Onstairs © 2020
 # Malware Analysis
• Un malware generalmente è rilevato sotto forma di un file eseguibile (es.
.exe, .bin)

• L’ analisi Statica di un malware consiste nell’esaminare l’eseguibile senza

mandarlo in esecuzione. E’ utile come prima analisi ma è poco efficace per
l’analisi di malware complessi e strutturati

• L’ analisi Dinamica di un malware consiste nell’esaminare l’eseguibile

durante l’esecuzione. Per evitare problemi di sicurezza è necessario
eseguire il malware in un’ambiente controllato Sandbox

SSS 26
Security Soft Start - Onstairs © 2020
 # LO SNIFFER WIRESHARK

SSS 27
Security Soft Start - Onstairs © 2020
 # COS'È UNO SNIFFER
• Uno sniffer, o packet sniffer o packet analyzer (analizzatore di pacchetti) è
un software utilizzato per l'analisi del traffico di rete.

• Interagendo con il sistema operativo, si mette in ascolto per intercettare

tutti i pacchetti che giungo tramite le interfacce di rete presenti nel
dispositivo in modo da consentire l'analisi del pacchetto, ispezionandolo in
base ai vari livelli previsti (applicativo, trasporto, etc.)

• Il suo scopo principale è l'eventuale risoluzione di problematiche di rete,

l'utilizzo didattico e lo sviluppo di nuovi protocolli, ma è possibile
ovviamente utilizzarlo per intercettare pacchetti e rubarne il contenuto.

SSS 28
Security Soft Start - Onstairs © 2020
 # COS'È UNO SNIFFER
• Poiché la maggior parte del traffico di una rete locale avviene in modalità
broadcast, ogni interfaccia riceve tale traffico, sia che esso sia diretto a
quello specifico host, sia che non lo sia. Il sistema operativo, in base
all'indirizzo fisico di destinazione processerà o meno i dati ricevuti.

Attenzione!

• usare uno strumento di questo tipo al di fuori della propria rete di casa ha
bisogno delle opportune autorizzazioni: ad esempio all'interno di un rete
aziendale o all'interno della rete dell'università. In alcuni stati è addirittura
considerato reato.
SSS 29
Security Soft Start - Onstairs © 2020
 # WIRESHARK
• Wireshark (precedentemente conosciuto come
Ethereal) è uno dei packet sniffer più conosciuti e
utilizzati.

• È un software open source e gratuito con licenza

GNU GPLv2 disponibile per i principali sistemi
operativi.

• Dispone di una semplice interfaccia grafica che

permette la scelta delle interfacce di rete da
analizzare, la configurazione di filtri, iniziare un
cattura, salvarla per poterla analizzare e studiare in
un secondo momento, etc.
SSS 30
Security Soft Start - Onstairs © 2020
 #HANDS-ON – UTILIZZO DI WIRESHARK
• Dimostrazione delle principali funzionalità di Wireshark:
• Avvio e scelta delle interfacce
• Inizio e fine cattura
• Analisi della cattura ai vari livelli
• Esempio analisi interazione HTTP

SSS 31
Security Soft Start - Onstairs © 2020