HackInBo® Winter Edition 2022 #HiB22

In un contesto storico che assiste ad un netto aumento degli attacchi informatici ad aziende di tutto il mondo, è inevitabile porre la giusta attenzione all'analisi degli operatori ransomware e dei loro prodotti. Il reverse engineering dei ransomware attualmente in circolazione consente di avere una panoramica sull'operatività di questi gruppi criminali. E anche delle loro vulnerabilità. Questo lavoro è il frutto di mesi di studio sul ransomware Hive, che ha portato ad identificare diverse vulnerabilità nel codice rendendo possibile la decifrazione delle chiavi usate durante le operazioni di cifratura dei file. Gli studi presentati sono validi dalla versione 5 alla versone 5.2. In particolare il ransomware utilizza un algoritmo per la creazione delle chiavi di cifratura che, nonostante la presenza di una componente "temporale" (pensata per comportarsi come un generatore di numeri casuale), genera invece vettori di byte predicibili. Non è la prima volta che il ransomware Hive presenta delle vulnerabilità: gli "eccessi di creatività" dei suoi autori hanno consentito ai ricercatori di produrre "antidoti" alle sue passate versioni.

Fine prevista per le 11:30

With the constantly changing landscape of IoT botnets it requires a certain effort to stay on top of all the changes introduced by attackers daily to make sure that both adequate detections and the right naming constantly remain in place. Surprisingly, the quality and the arsenal of malware functionality is not always improving or increasing in quantity. In this presentation, we are going to explore some peculiar modifications introduced by the botnet developers over time and try to find an explanation for them. More specifically, in this talk we are going to describe what type of attacks are observed from our chain of honeypots as initial vectors, we will then describe the functionalities of two very similar samples distributed as second stage with the same initial vector. We will highlight their code similarities and differences, and compare them with the well known Mirai and Gafgyt IoT botnets. Finally we are going to explore some peculiar modifications introduced by the botnet developers over time and try to find an explanation to them.

Fine prevista per le 13:00

Un momento di svago prima di ricominciare con i talk del pomeriggio!

Fine prevista per le 14:30

In questo intervento presenteremo due tool GRATUITI molto utili, soprattutto al blue team, che ci permetteranno di migliorare la nostra postura di sicurezza e identificare i possibili path di attacco e privilege escalation su Active Directory ed Azure AD.

Fine prevista per le 16:00

Il principale strumento di comunicazione aziendale, la posta elettronica, deve essere configurata a dovere per garantire gli interlocutori affinchè i nostri messaggi partano da fonti attendibili e certificate. I protocolli SPF, DKIM e DMARC giocano un ruolo fondamentale per proteggere il brand aziendale dall'uso fraudolento del proprio dominio di posta elettronica. Le necessità di tutti gli uffici aziendali devono incontrare le esigenze dell'IT con buona grazia della sicurezza informatica e della praticità di utilizzo dei sistemi per gli invii di posta massivi. Oggi solo il 20% delle aziende Fortune 500 è protetto con una policy DMARC adeguata e solo il nuovissimo protocollo BIMI permette di autenticare le e-mail aziendali con il logo originale.

Fine prevista per le 17:30

Saluti ai Partecipanti e agli Sponsor

Fine prevista per le 18:15