Apertura Evento & Saluti Sponsor
Fine prevista per le 10:45
Il DLL Sideloading è una tecnica applicata dagli attaccanti per conseguire diversi obiettivi tattici tra cui l'esecuzione di codice e l'elusione delle difese endpoint. Il DLL Sideloading può anche essere inteso come una vulnerabilità che risiede sia in una purtroppo ingente quantità di eseguibili, che nel DLL Loader del sistema operativo Microsoft Windows. Al cuore della tecnica/vulnerabilità c'è una mancanza di validazione delle librerie caricate dal DLL Loader su richiesta degli applicativi. In questo talk, si cerca di comprendere l'impatto del DLL Sideloading sul panorama attuale delle minacce alla sicurezza informatica con riferimento ai gruppi criminali cosiddetti APT. Si esplorano in dettaglio due casi di studio recenti dove il DLL Sideloading è stato un elemento fondamentale nella riuscita di attacchi ad ampia rilevanza internazionale con innumerevoli organizzazioni colpite. Infine, si forniscono indicazioni e risorse utili a costruire strumenti per individuare sia DLL malevole destinate ad attacchi per DLL Sideloading, che eseguibili vulnerabili. Tali strumenti, qualora implementati, consentono di acquisire un punto di osservazione sull'applicazione del DLL Sideloading e, conseguentemente, di intercettare (o anche prevenire!) le azioni di gruppi APT e non solo.
Fine prevista per le 11:30
Inizio gioco
Fine prevista per le 16:45
ToddyCat è un attore APT che ho identificato nel 2021 e che si è reso responsabile di diversi attacchi, rilevati a partire da Dicembre 2020, contro entità di alto profilo in Europa e Asia. I suoi target sono principalmente entità governative e militari di vari paesi. I dati ad oggi disponibili mostrano che il gruppo predilige target nel sud-est asiatico, ma estende le sue attività anche nel resto dell’Asia e dell’Europa. Inizialmente, le informazioni a disposizione su questo gruppo erano alquanto limitate e sono state riportate in un’analisi pubblicata da Kaspersky nel 20211 in cui veniva descritto il gruppo ToddyCat ed in particolare i principali malware da loro sviluppati: un ampio set di loader e dropper utilizzato per caricare i malware principali, Samurai, una backdoor passiva utilizzata principalmente su server Microsoft Exchange e Ninja, un avanzato strumento di post-exploitation che solitamente è possibile rilevare solo in memoria. Sfortunatamente la ricerca copriva soltanto le prime fasi della catena di attacco ed in particolare mostrava come l’attaccante infettava i target e come poi manteneva la persistenza sul sistema colpito. Le conoscenze sulle TTP del gruppo erano limitate e non si aveva visibilità su quel che accadeva successivamente all’infezione iniziale. In questa presentazione vorrei fornire una breve introduzione del gruppo e delle precedenti scoperte, in modo da permettere una miglior comprensione del resto dei contenuti. Andrò poi a descrivere le ultime scoperte effettuate durante l’analisi di una nuova campagna di attacchi lanciata dall’attore durante il 2022 e 2023 contro entità militari e governative in Tailandia, Malesia, Taiwan e Pakistan. Nello specifico descriverò i nuovi strumenti utilizzati dall’attaccante e descriverò la completa catena di attacco utilizzata dal gruppo, la quale in passato era rimasta oscura. Durante l’ultimo anno, ToddyCat ha sostituito buona parte dei propri loader e dropper, presumibilmente nella speranza di poter scomparire nuovamente evitando i rilevamenti e continuare indisturbato le proprie operazioni. Le recenti scoperte hanno permesso di ottenere informazioni su tutti gli step dell’attacco e comprendere quindi come ToddyCat lavora all’interno delle reti prese di mira ed in particolare che strumenti e tecniche utilizzano per i movimenti laterali, per rubare dati sensibili e come esfiltrano le informazioni utilizzando servizi leciti di terze parti. Il nuovo toolset consiste in diversi loader utilizzati per caricare codice in memoria ed altri malware privati come LoFiSe e PcExter, utilizzati per collezionare informazioni, rubare ed esfiltrare file. Include inoltre una nuova variante dello strumento di post-exploitation “Ninja”. Inoltre, descriverò come l’attaccante abbia tentato di evadere i rilevamenti e complicare le attività di analisi utilizzando diversi trucchi, quali ad esempio, l’uso di componenti di loading create su misura per target specifici. L’obiettivo della presentazione è mostrare le caratteristiche ed il modus operandi di un attore APT che dimostra una elevata qualità tecnica ed il come riesce ad effettuare attacchi contro obiettivi di alto livello passando quasi del tutto inosservato. I dettagli relativi alle recenti scoperte sono stati descritti in un articolo pubblicato su securelist.com in data 12 Ottobre 20232. 1 https://securelist.com/toddycat/106799/ 2 https://securelist.com/toddycat-keep-calm-and-check-logs/110696/
Fine prevista per le 12:15
Nella moderna società, i conflitti militari si combattono anche nello spazio digitale; L’intervento si propone di esplorare gli avversari, gli interessi ed i dettagli tecnici dietro le botnet e gli attacchi (D)DoS che esse supportano. Verrà inoltre fornita una panoramica sulle dinamiche che guidano tali attacchi nonché sulle strategie utilizzate sia da gruppi attivisti che State-sponsored. L’analisi infine mirerà ad estendere la consapevolezza su tale tipologia di minaccia ed a suggerire strategie e pratiche per la difesa in questo scenario sempre più mutevole.
Fine prevista per le 13:00
Ci rivediamo tra pochissimo...
Fine prevista per le 14:15
Un momento di svago prima di ricominciare con i talk del pomeriggio!
Fine prevista per le 14:30
Nel contesto delle azioni offensive verso target particolarmente presidiati e maturi diventa utile valutare tecniche in grado di aggirare i tradizionali sistemi di detection basati sul controllo delle reti e dei sistemi. Tipologie di attacco note come Side-channel Attack e Air-gap Attack possono essere impiegate per attaccare un sistema target evitando di utilizzare “canali” tipicamente controllati per inviare informazioni all’esterno della rete della vittima. Durante la sessione discuteremo le principali peculiarità delle due tipologie di attacco al fine di identificare i contesti in cui ha senso prenderle in considerazione, i vantaggi ed i limiti che presentano. Faremo riferimento al concetto di “azioni non tradizionali” per comprendere meglio gli scenari di applicazione e analizzeremo uno specifico scenario in cui questa tipologia di tecniche, nel contesto dei security test come per i Threat Actor, possono diventare appetibili. La sessione sarà organizzata in due parti: nella parte introduttiva verranno presentati i concetti base delle rispettive tipologie di attacco, nella seconda parte verranno presentate le esperienze di due laboratori pratici e - con un po’ di ingegno - facilmente replicabili. I laboratori si riferiscono in particolare a due differenti attività di Data Exfiltration in un contesto air-gap, utilizzando quindi canali “alternativi” per rubare informazioni da un sistema target isolato dalla rete.
Fine prevista per le 15:15
Negli ultimi 20 anni la diffusione esponenziale dei dispositivi informatici e della relativa connettivit`a, ha portato alla produzione di enormi quantit`a di dati, che hanno assunto un’im- portanza sempre maggiore, comportando la costante crescita di un valore monetario ad essi associato. I dispositivi ed i dati contenuti da questi ultimi costituiscono i sistemi informativi, che alla luce di ci`o che `e stato appena esposto, rappresentano un bene di enorme valore. Proprio per questa ragione, sono nate tecniche per violare questi sistemi, con lo scopo di manipolare i dati per ottenere un guadagno. Queste tecniche prendono il nome di minacce informatiche, che si tramutano in malware. La loro crescente complessit`a, volta a produrre profitti sempre pi`u considerevoli, ha reso la si- curezza informatica un imperativo per le organizzazioni di tutto il mondo. In particolare, sempre pi`u imprese ed organi istituzionali si affidano ai Security Operations Cen- ter (SOC), che garantiscono loro la protezione da attacchi informatici sempre pi`u sofisticati, attraverso l’utilizzo di strumenti che consentono la rilevazione, l’analisi e la risposta alle minac- ce nel minor tempo possibile, arrivando addirittura ad operare in tempo reale come nel caso dell’utilizzo di un Endpoint Detection & Response (EDR). Gli attaccanti progettano e sviluppano nuove tecniche di attacco con una rapidit`a sorprendente e la sfida oggigiorno `e quella di sviluppare dei sistemi di sicurezza che siano sempre al passo con queste minacce o che addirittura le anticipino. Il presente talk si concentra proprio su quest’ultimo punto, ovvero l’anticipo di potenziali mi- nacce future, attraverso un’immersione nel mondo delle minacce informatiche e la realizzazione di un ransomware: uno dei malware pi`u diffusi e distruttivi in circolazione, capace di criptare i dati di un sistema per poi richiedere il pagamento di un riscatto per il loro ripristino. Vengono inoltre analizzate le tecniche utilizzate per diffonderli, e presentati i principali sistemi di sicurezza adottati come difesa dai malware. Il fulcro di questo talk, estratto dalla tesi dal titolo ”Progettazione e sviluppo di un ransomware per test di resilienza di un SOC - Design and development of ransomware for SOC resilience testing” di Luca Antognarelli, con relatore il Professore Luca Veltri e correlatore Tommaso Olmastroni, risulta quindi essere la presentazione del processo di ingegnerizzazione utilizzato per la creazione di un ransomware, volto al bypass di un EDR. Il primo periodo di attivit`a `e stato impiegato interamente dall’attivit`a di ricerca, analizzando in maniera approfondita i ransomware in circolazione. Solo una volta acquisite tutte le informa- zioni necessarie ha preso il via l’attivit`a di sviluppo vero e proprio, rielaborando e mettendo in pratica le informazioni raccolte in modo da creare un ransomware. La progettazione del malware `e basata sui pilastri dell’Offensive Cyber Capability (OCC), ov- vero l’insieme di una vasta gamma di abilit`a interdisciplinari legate al mondo della sicurezza informatica, che hanno consentito di scoprire pattern progettuali che si sono resi fondamentali nelle fasi successive: di sviluppo e di test. Lo sviluppo di ScaiRansomware, questo `e il nome dato al malware, `e stato svolto in varie fasi, che hanno portato alla nascita di varie versioni dello stesso, ognuna delle quali ha comportato lo studio e l’utilizzo di diverse tecniche e tecnologie, che si sono susseguite a seconda degli esiti dei test d’attacco effettuati.
Fine prevista per le 16:00
Un momento tranquillo per fare domande ai relatori!
Fine prevista per le 16:45
Presentazione Report & Premiazione Squadre
Fine prevista per le 17:30
Saluti ai Partecipanti e agli Sponsor
Fine prevista per le 17:45