RAT: Cos’è e come funziona

RAT: Cos’è e come funziona

RAT è l’acronimo di Remote Access Trojan, come si può facilmente intuire, si tratta di un malware spesso sotto forma di payload all’interno di programmi genuini (Trojan).

A cosa serve

Come da nome, garantisce all’attaccante un accesso remoto alla macchina attaccata. Alcuni software per il controllo remoto sono legali e molto utili (TeamViewer), ammesso che questi siano rilevabili dall’utente che può decidere se accettare o meno il controllo.

Il RAT si nasconde da antivirus e firewall, oltre che dagli occhi dell’utente, garantendo così all’attaccante di operare sul computer della vittima senza destare alcun sospetto.

Come funziona

Il funzionamento è molto semplice. Prendiamo in considerazione Back Orifice programma progettato per il controllo remoto dei sistemi Microsoft nel 1998.

Il suo funzionamento si basava su un’architettura client-server. Il 90% dei RAT continua ad utilizzare questa scelta di programmazione.

Per essere piu chiari possibili, immaginate il PC della vittima come un server a cui possiamo connetterci quando vogliamo inviando i suoi dati direttamente alla nostra macchina attraverso il nostro IP e una porta da noi scelta.

Abbiamo dunque un software (Trojan) che farà da server sulla macchina della vittima, e un software lato client, con interfaccia grafica per il controllo remoto, installato sulla macchina dell’attaccante.

Una volta infettati l’attaccante avrà il pieno accesso alla nostra macchina, le funzioni presenti su quasi tutti i RAT sono:

  • Controllo Webcam
  • Controllo Desktop
  • File Manager
  • Audio Recorder
  • Keylogging
Backdoor Attacks: cos’è e come funziona

Backdoor Attacks: cos’è e come funziona

La backdoor è un metodo per aggirare, la sicurezza di un sistema informatico, già il nome stesso dovrebbe suggerirvi qualcosa, (porta sul retro).

Consiste in un software, spesso nascosto, che permette all’attaccante di avere il pieno controllo del sistema informatico. La backdoor riceve gli stessi privilegi dell’utente che l’avvia, in casa quasi tutti utilizziamo un account amministratore e la cosa non può che far bene all’attaccante.

Ovviamente è facile intuire che non si tratta sempre di un qualcosa di negativo. Vengono spesso utilizzate anche dagli amministratori di grosse reti, per poter gestire da remoto le macchine, o ripristinare contenuti e password.

Come Funziona

Viene generato un software da far eseguire alla macchina, una volta eseguito, l’amministratore del sistema o l’attaccante in base alla backdoor potrà gestire il sistema informatico da una posizione remota.

Quando si tratta di malware, l’attaccante utilizza la backdoor per ricevere quante più informazioni possibili dal sistema attaccato. Potrebbe ricevere istantanee della webcam, registrare dal microfono, eseguire il keylogging, copiare il contenuto dell’intero disco.

Buona parte si nasconde dietro un software pulito, dunque parliamo di trojan horse.

 

 

Botnet: cos’è e come funziona

Botnet: cos’è e come funziona

Botnet è la combinazione delle parole Robot e Net ossia una rete di robot. Consiste nel prendere il controllo attraverso malware/trojan una serie di dispositivi (Bot) collegati fra loro in rete, in modo da poterli utilizzare a piacimento per amplificare gli attacchi o raccogliere informazioni, senza che il proprietario di tale dispositivo (bot) si accorga di nulla.

Lo scopo di chi crea una botnet è quello di avere sotto il proprio controllo piu bot possibili, in modo da poter sfruttare la loro potenza di calcolo per automatizzare attacchi come DDoS (Distribuited Denial Of Service) o spamming.

 

Come funziona

L’attaccante rende disponibile in rete un malware che avvia una connessione ad un server C&C (command & control) con il quale il bot herder o bot master può controllare ogni macchina infettata. A questo punto il criminale può decidere se rubare le informazioni di ogni macchina, o le credenziali (kelogging), click fraud (frode sui click) ossia far visitare alle vittime determinati siti senza che ne sia consapevole, o addirittura bitcoin mining.

 

Social Engineering: cos’è e come funziona

Social Engineering: cos’è e come funziona

Social Engineering o ingegneria sociale, nel contesto della sicurezza delle informazioni, si riferisce alla manipolazione psicologica al fine di carpire, informazioni sensibili e segreti personali, che possono essere utilizzati dal malintenzionato per aggirare sistemi informatici, o raccogliere segreti aziendali.

Per fortuna con l’avanzare della tecnologia, e dei sistemi, lo sviluppo dei software presenta sempre meno bug (errori commessi dagli sviluppatori durante la scrittura del codice), dunque anche un esperto Hacker/Cracker, in mancanza di errori nella progettazione e nella scrittura, avrà serie difficoltà tecniche, per poter violare quel sistema o software.

E qui che si fonde l’informatica con la psicologia. E’ un argomento abbastanza complesso e articolato, quanto scritto è solo una sintesi generica di quello che realmente è.

Quando il bug non è nel software basta utilizzare l’errore più grande della storia, il cervello umano, per quanto possa essere complesso e intelligente, è stupido e pieno di bug.

Chi è l’ingegnere sociale

Può essere una qualsiasi persona capace di sfruttare le vulnerabilità della mente umana, con una buona capacità di mentire e fingere, cambiando il suo comportamento e le sue manie in base alla personalità della vittima.

Come funziona

Le tecniche di ingegneria sociale si basano quasi tutte su bias cognitivi ossia euristiche inefficienti, che portano l’uomo a commettere errori, possiamo definirli i bug del cervello umano, se sei uno psicologo o studi psicologia avrai già capito cosa voglio intendere.

L’uomo al contrario di ogni macchina ha delle emozioni, sentimenti, e le sue decisioni al 90% sono influenzate da questo.

Ammettiamo che un hacker non utilizzi l’ingegneria sociale, per raggiungere il suo scopo dovrà obbligatoriamente seguire questi passaggi:

  1. Utilizzo degli strumenti (software e hardware indispensabili per l’attacco).
  2. Accesso al sistema per mezzo degli strumenti.
  3. Recupero dei risultati grazie all’accesso.
  4.  Conseguimento del suo obbiettivo.

Attraverso l’uso dell’ingegneria sociale i passaggi saranno:

  1. Utilizzo della manipolazione psicologica. (Social Engineering)
  2. Recupero informazioni (risultati).
  3. Conseguimento del suo obbiettivo

Come si può notare risulta molto meno faticoso.

Fasi dell’ingegneria sociale
  1. Analisi preliminare: Studiare il comportamento della vittima, le sue manie le sue perversioni, i suoi hobby e passioni, creando così un profilo psicologico.
    1. Sfruttare i social network: l’hacker grazie ai social network, può conoscere una persona senza neanche averla vista mai di persona, conoscere i suoi figli, sua moglie, le sue manie, le passioni condivise, i pensieri politici o religiosi, si possono ottenere numerosissime informazioni riguardanti la vita privata, e fungono da attack vector.
    2. Attacchi Informatici: Creare attacchi per ricavare informazioni, esempio abbiamo già sentito parlare di MITM (man-in the-middle) un attacco Session Hijacking, grazie a questo si potrebbe ad esempio ascoltare una conversazione in voip.
  2. Attacco: Una volta creato un profilo comportamentale della vittima l’hacker inizierà il vero e proprio attacco.
    1. Elicitazione dell’interesse: Consiste nel creare interesse nella vittima, e mantenere quell’interesse costante, o meglio far crescere l’interesse con il passare del tempo. A questo punto l’hacker sarà obbligato a variare il suo comportamento in base a quello del soggetto.
    2. Abbattimento delle difese: Sono tutte quelle tecniche di persuasione che rendono la vittima sicura dell’hacker.
      1. Creare una sorta di autorità e marcare questa posizione.
      2. Evitare di rispondere alle obiezioni della vittima, ritardando nelle risposte (marca il senso di figura autoritaria).
      3. Prendere in considerazione fenomeni irrazionali, come ad esempio la religione, esperienze extrasensoriali, purtroppo molte persone sono influenzate da argomenti simili.
      4. Utilizzare frasi fatte, (fallo per te, non perdere l’occasione, il treno passa una volta sola)
      5. Creare scenari perfetti, irreali e allettanti.
      6. Sfruttare il principio di coerenza. Se un individuo afferma di credere in una divinità religiosa, difficilmente cambierà le sue ideologie, rimarrà coerente, per questo motivo potrebbe compiere azioni a favore dell’hacker.
      7. Cercare di non avere fretta, il raggiungimento dell’obbiettivo finale passa in secondo luogo, l’obbiettivo attuale e guadagnare la fiducia e allettare la vittima.
  3. Conferma: Una volta raggiunto l’obbiettivo l’hacker non sparirà nel nulla, continuerà ad essere quello di prima e inizierà a svanire lentamente, questo crea una sorta di sicurezza nella vittima, e si illude del fatto che non sia accaduto nulla di strano.

 

Come difendersi
  • Evitare di inserire informazioni strettamente personali sui social network.
  • Impostare la privacy di ogni piattaforma social in modo da rendere disponibili meno informazioni possibili.
  • Evitare di accettare amicizie da persone sconosciute.
  • Evitare di condividere le credenziali d’accesso o codici carta di credito tramite sms, messaggistica o email.
  • Quando si inizia una conversazione con una nuova persona mantenere un atteggiamento neutrale, e evitate di credere a qualsiasi promessa.
Session Hijacking: cos’è e come funziona

Session Hijacking: cos’è e come funziona

Il session Hijacking o dirottamento di sessione, è una tecnica utilizzata per dirottare i cookie sulla macchina attaccante e ricevere l’accesso non autorizzato.

Ne ho già parlato nell’argomento Phishing.

Come funziona

Prendiamo in considerazione l’attacco MITM, un attacco che spesso viene effettuato in una rete pubblica.

L’attaccante intercetta il flusso di dati fra la vittima e il server di destinazione, dunque crea così u nodo che fa da tramite alla connessione.

Per capirci meglio i dati inviati faranno questo ciclo:  PC Utente -> Macchina Attaccante -> Router -> Server di destinazione (Facebook)

Così facendo, l’attaccante avrà a disposizione tutti i cookie che vengono trasmessi fra utente e destinazione, gli basterà solo copiare il contenuto dei cookie e utilizzarli per avere l’accesso al profilo.

Esistono altre tipologie di attacchi con lo stesso fine:

  • Fissaggio della sessione: Questo metodo consiste nell’appropriarsi del SID della vittima. Il SID è quel codice che identifica l’utente sul sito, ad esempio www.sitoinsicuro.it/?ID=0Q1234W56789ER, l’attaccante, sa che la vittima visita un sito poco sicuro, dunque invierà alla vittima un link contenente un SID da lui generato. Una volta che la vittima visiterà il sito con quel sid, automaticamente il server, fisserà la sua sessione con il sid creato dall’attaccante. Da quel momento conoscendo la sua identità, potrà abusare dei contenuti privati della vittima.
  • Sniffing: Come nell’esempio dell’attacco man-in-the-middle, consiste nell’intercettare i flussi di pacchetti e appropriarsi dei cookie della vittima.
  • Scripting cross-site (XSS): L’attaccante genera uno script sulla sua pagina web,  a prima vista può sembrare innocuo, come ad esempio un filmato, o una slide immagini, anche il sito stesso non rileva anomalie sul contenuto dello script. Ma interagendo con esso, l’attaccante potrebbe catturare la sessione dell’utente vittima, o clonare i cookie utilizzati per l’accesso.
  • Malware: Quando si parla di queste cose non manca mai questa voce. Si tratta di software malevolo che ha la capacità di catturare le sessioni, clonare i cookie, o generare il dirottamento del browser, (browser hijacking).

 

Come difendersi

Non inserite mai vostre informazioni personali in questi casi:

  • Connessioni pubbliche, dunque hotspot dei bar, tavole calde.
  • WiFi liberi, molti attacchi sfruttano la generazione di hotspot liberi da password per eseguire ad esempio attacchi MITM.
  • Prima di inserire numeri di carta di credito e codice su un sito, assicuratevi che questo abbia i certificati SSL, ossia risulti HTTPS invece che HTTP. Questa tipologia di protocollo si occupa di crittografare il flusso dei dati fra utente e server.
  • Avere un buon antivirus.
Keystroke logging (Keylogger): cos’è e come funziona

Keystroke logging (Keylogger): cos’è e come funziona

Il keystroke logging o meglio conosciuto come keylogger è un software o hardware di sorveglianza, volto a catturare le informazioni digitate dalla tastiera, ergo, ogni tasto premuto viene automaticamente registrato e inviato al malintenzionato, o all’azienda.

 

A cosa serve

Gli usi più comuni interessano le aziende, utilizzando questo metodo, per tenere sotto controllo le macchine aziendali, e determinare gli usi fraudolenti dei dispositivi.

Un altro utilizzo del tutto illegale è quello di rubare informazioni personali da utenti ignari della minaccia. Ne abbiamo già parlato trattando l’argomento phishing, possono far parte di un malware, o nascosti sotto trojan horse.

Come già accennato possono suddividersi in hardware o software:

  • Hardware: Dispositivi che vengono collegati fra la macchina e la tastiera, o installati all’interno della tastiera stessa. Salvano i dati su una memoria interna o vengono trasmessi in rete, l’amministratore può accedere ai dati registrati utilizzando una chiave segreta.
  • Software: Sono programmati per memorizzare ogni sequenza di tasti digitata, solitamente il loro funzionamento e avvio è nascosto. Fanno parte di questa categoria anche gli spyware destinati al keystroke logging, questi inviano i dati digitati al malintenzionato, su richiesta possono essere registrate anche sessioni, o istantanee dello schermo.

 

come proteggersi

Ovviamente evitate di utilizzare computer pubblici per accedere ai vostri profili personali.

Utilizzare l’autenticazione a 2 fattori, la dove è possibile farlo, smorzerà ogni tentativo di accesso anche conoscendo le vostre credenziali.

Dotarsi di un buon antivirus ed evitare di scaricare documenti o file da siti poco sicuri.