Ultima modifica:
Sophos Labs, una nota agenzia di cyber security, ha redatto nel 2019 un bellissimo documento su come migliorare la propria sicurezza in ambito di ogni tipo di infrastruttura informatica. La maggior parte degli attacchi infatti non sono orientati esclusivamente ai sistemi Windows, che risultano comunque i più colpiti a causa della loro maggiore diffusione, ma anche ad altri servizi, come per l'appunto SSH: un "ponte" per inviare comandi ad un server remoto, che supporta 2 metodi d'autenticazione. Purtroppo, uno di questi metodi d'autenticazione, è la famigerata password, che non sempre è sicura. Documento: https://assets.sophos.com/X24WTUEQ/...xposed-cyberattacks-on-cloud-honeypots-wp.pdf
Nella pagina 7 e 8 del file, Sophos Labs riporta una lunga serie di "password più comunemente utilizzate". Attenzione: non si tratta delle password più comunemente scelte dagli Amministratori, ma come specificano loro, le password più usate dagli attaccanti nel tentativo di accedere ad un server. Il guessing più diffuso, è la password "123456", seguito da "admin" e da "1234", allegate alle password, una lista dei dispositivi attaccati, e ai primi posti ci sono le telecamere di sicurezza. E' fondamentale seguire le indicazioni riportate da Sophos Labs nella scelta delle proprie password, perché questi tentativi di login provengono da honeypot impiantati dalla società stessa. Da notare che Sophos è tutt'altro che un'azienda comandata dal Dottor Fraudster, poiché alla pagina 10, invece di usare questi dati come scusa per sponsorizzare il loro sistema EDR, danno consigli molto utili su come mettere in sicurezza la propria infrastruttura, consigli specifici e rivolti separatamente a privati e a compagnie.
Ogni mese, Sophos afferma di rilevare innumerevoli tentativi di login anonimi nei loro honeypot da più parti del mondo. E dal momento che la notizia circola dal 2019, dubito che siano numeri contraffatti, altrimenti sarebbe stata contestata già da tempo.
Alla pagina 4, Sophos fa un'affermazione molto intelligente in merito agli autori di questi attacchi, una frase che dovrebbe essere compresa specialmente dai finti white hat assunti in nero grazie a 26 raccomandazioni fatte a rotazione da parenti stretti/lontani, migliori amici, o vecchi compagni di classe:
"95.4% of the traffic we tracked appeared to originate in China. This doesn’t necessarily mean that the attackers conducting these brute-force attempts are also located in China, because attacks may be routed through other machines under the attackers' control."
Quanto scritto, insieme all'articolo, dimostra la professionalità di un'azienda. Sophos, curiosamente, è un EDR che nei test in laboratorio mi ha causato più di un'irritazione (e attenzione, sto usando la parola EDR stavolta, non AV, c'è un abisso di differenza fra EDR e AV):
- Lateral movement con Powershell fallito;
- Lateral movement con WScript.exe fallito;
Solo una tecnica ha funzionato: DLL Injection con Rundll32.exe. Ma questa DLL, preciso, non è stata fatta coi tollazzi buggati (e talvolta pieni di malware) scaricati dalla repository del Dottor Fraudster. Inoltre, è stato problematico hostare questa DLL, a causa della naturale tendenza di ogni EDR a scoraggiare i tentativi di download di .EXE o .DLL, a meno che non abbiano un digital signature valido. Sophos EDR può avere una reazione "violenta" a questi download sospetti a differenza di Microsoft Defender (smartscreen.exe, che si limita ad avvisare), facendo rischiare all'analista di ritrovarsi in quarantena un malware che 10 secondi fa era FUD, per il solo fatto che non è stato possibile verificare l'autenticità della fonte di download - E che da questa fonte "non verificabile" sia stata scaricata una .dll piuttosto che un semplice file come una .jpeg
Cosa dire quindi? Sophos Labs ha un EDR che mette ansia, paranoia, in alcuni casi depressione.. Ma sto parlando di ciò che suscita in me, che sono l'attaccante. Per quanto riguarda l'acquirente del prodotto invece, direi che può stare fin troppo tranquillo. Sophos EDR merita il terzo posto negli EDR system migliori al mondo, almeno per me.
Nella pagina 7 e 8 del file, Sophos Labs riporta una lunga serie di "password più comunemente utilizzate". Attenzione: non si tratta delle password più comunemente scelte dagli Amministratori, ma come specificano loro, le password più usate dagli attaccanti nel tentativo di accedere ad un server. Il guessing più diffuso, è la password "123456", seguito da "admin" e da "1234", allegate alle password, una lista dei dispositivi attaccati, e ai primi posti ci sono le telecamere di sicurezza. E' fondamentale seguire le indicazioni riportate da Sophos Labs nella scelta delle proprie password, perché questi tentativi di login provengono da honeypot impiantati dalla società stessa. Da notare che Sophos è tutt'altro che un'azienda comandata dal Dottor Fraudster, poiché alla pagina 10, invece di usare questi dati come scusa per sponsorizzare il loro sistema EDR, danno consigli molto utili su come mettere in sicurezza la propria infrastruttura, consigli specifici e rivolti separatamente a privati e a compagnie.
Ogni mese, Sophos afferma di rilevare innumerevoli tentativi di login anonimi nei loro honeypot da più parti del mondo. E dal momento che la notizia circola dal 2019, dubito che siano numeri contraffatti, altrimenti sarebbe stata contestata già da tempo.
Alla pagina 4, Sophos fa un'affermazione molto intelligente in merito agli autori di questi attacchi, una frase che dovrebbe essere compresa specialmente dai finti white hat assunti in nero grazie a 26 raccomandazioni fatte a rotazione da parenti stretti/lontani, migliori amici, o vecchi compagni di classe:
"95.4% of the traffic we tracked appeared to originate in China. This doesn’t necessarily mean that the attackers conducting these brute-force attempts are also located in China, because attacks may be routed through other machines under the attackers' control."
Quanto scritto, insieme all'articolo, dimostra la professionalità di un'azienda. Sophos, curiosamente, è un EDR che nei test in laboratorio mi ha causato più di un'irritazione (e attenzione, sto usando la parola EDR stavolta, non AV, c'è un abisso di differenza fra EDR e AV):
- Lateral movement con Powershell fallito;
- Lateral movement con WScript.exe fallito;
Solo una tecnica ha funzionato: DLL Injection con Rundll32.exe. Ma questa DLL, preciso, non è stata fatta coi tollazzi buggati (e talvolta pieni di malware) scaricati dalla repository del Dottor Fraudster. Inoltre, è stato problematico hostare questa DLL, a causa della naturale tendenza di ogni EDR a scoraggiare i tentativi di download di .EXE o .DLL, a meno che non abbiano un digital signature valido. Sophos EDR può avere una reazione "violenta" a questi download sospetti a differenza di Microsoft Defender (smartscreen.exe, che si limita ad avvisare), facendo rischiare all'analista di ritrovarsi in quarantena un malware che 10 secondi fa era FUD, per il solo fatto che non è stato possibile verificare l'autenticità della fonte di download - E che da questa fonte "non verificabile" sia stata scaricata una .dll piuttosto che un semplice file come una .jpeg
Cosa dire quindi? Sophos Labs ha un EDR che mette ansia, paranoia, in alcuni casi depressione.. Ma sto parlando di ciò che suscita in me, che sono l'attaccante. Per quanto riguarda l'acquirente del prodotto invece, direi che può stare fin troppo tranquillo. Sophos EDR merita il terzo posto negli EDR system migliori al mondo, almeno per me.
