Prima di iniziare, è opportuno spiegare una cosa:
Un password recovery tool, consente di fare un backup rapido delle password salvate in un dispositivo o in un browser, e di visualizzarle direttamente in plain text. Questo è molto utile, ci risparmia di farlo manualmente. Al termine, le password vengono salvate in output in un .txt, al cui interno vengono enumerate in colonna, insieme al sito in cui sono state immesse. Comodo vero? Ma se quest'utility, dopo aver salvate il .txt sul vostro desktop, inviasse le password ad un IP remoto? Non è più un utility, in questo caso è uno stealer. E la differenza fra i due è sottile. Fanno sostanzialmente la stessa cosa, con la differenza che uno stealer dopo aver fatto il suo lavoro, invierà cookies, cronologia e password a ignoti.
Quest'oggi, vi insegnerò a distinguere uno stealer da un utility di recupero. Niente source code, niente VirtualBox, niente AV.
1. Fai un backup manuale di tutte le password salvate nel browser, salva il backup in una zona isolata, possibilmente una zip con AES256 encryption + psw da 10 caratteri minimo;
2. Cancellale tutte, e salva delle password finte;
3. Lancia il programma sospetto (all'inizio non sai se è uno stealer o un utility);
4. Apri i terminal e digita netstat -a
Se durante l'esecuzione dell'utility noti che è spawnato un nuovo thread nel terminal, con una connessione ad un Indirizzo IP non familiare, è sicuramente uno stealer.
5. Apri Wireshark, conferma che si tratti di uno stealer analizzando il traffico in relazione all'Indirizzo IP sospetto.
6. A questo punto, hai le prove, e puoi mandare un'e-mail alla polizia postale, segnalando il sito che sta distribuendo lo stealer.
Metodo di indagine utilizzato da hacker medi, non richiede skill o ispezionare codici sorgente. E' alla portata anche di chiunque ha un po' di pazienza, in alternativa puoi sempre rinunciare a password recovery tools e fare tutto manualmente.
Un password recovery tool, consente di fare un backup rapido delle password salvate in un dispositivo o in un browser, e di visualizzarle direttamente in plain text. Questo è molto utile, ci risparmia di farlo manualmente. Al termine, le password vengono salvate in output in un .txt, al cui interno vengono enumerate in colonna, insieme al sito in cui sono state immesse. Comodo vero? Ma se quest'utility, dopo aver salvate il .txt sul vostro desktop, inviasse le password ad un IP remoto? Non è più un utility, in questo caso è uno stealer. E la differenza fra i due è sottile. Fanno sostanzialmente la stessa cosa, con la differenza che uno stealer dopo aver fatto il suo lavoro, invierà cookies, cronologia e password a ignoti.
Quest'oggi, vi insegnerò a distinguere uno stealer da un utility di recupero. Niente source code, niente VirtualBox, niente AV.
1. Fai un backup manuale di tutte le password salvate nel browser, salva il backup in una zona isolata, possibilmente una zip con AES256 encryption + psw da 10 caratteri minimo;
2. Cancellale tutte, e salva delle password finte;
3. Lancia il programma sospetto (all'inizio non sai se è uno stealer o un utility);
4. Apri i terminal e digita netstat -a
Se durante l'esecuzione dell'utility noti che è spawnato un nuovo thread nel terminal, con una connessione ad un Indirizzo IP non familiare, è sicuramente uno stealer.
5. Apri Wireshark, conferma che si tratti di uno stealer analizzando il traffico in relazione all'Indirizzo IP sospetto.
6. A questo punto, hai le prove, e puoi mandare un'e-mail alla polizia postale, segnalando il sito che sta distribuendo lo stealer.
Metodo di indagine utilizzato da hacker medi, non richiede skill o ispezionare codici sorgente. E' alla portata anche di chiunque ha un po' di pazienza, in alternativa puoi sempre rinunciare a password recovery tools e fare tutto manualmente.
