Aggiornamenti recenti Aprile 4th, 2025 12:39 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- L’Italia è tra gli obiettivi principali del cybercrime
- Colt ha completato il trial di crittografia quantistica sulla propria rete ottica
- Corea del Nord: la minaccia cyber si espande in Europa grazie ai professionisti IT
- Le vulnerabilità dei tool RMM aprono nuove opportunità ai cybercriminali
- Una campagna di phishing usa il DNS-over-HTTPS per eludere i controlli
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- L’Italia è tra gli obiettivi principali del cybercrime
Pirati sempre più scaltri: ecco le tecniche per collegarsi ai server C2
Per evitare il rilevamento delle connessioni dirette ai server Command and Control i cyber criminali utilizzano stratagemmi sempre più complessi.
Prima regola: passare inosservati. Per i pirati informatici l’uso di sistemi di offuscamento nella trasmissione dei dati tra i malware e i server Command and Control (C2) che permettono loro di inviare comandi e istruzioni è da sempre una priorità.
Da quando i cyber criminali si sono concentrati sugli attacchi alle aziende, questi sforzi si sono moltiplicati e gli esperti di sicurezza registrano ogni giorno “variazioni sul tema” che puntano ad aggirare controlli e rilevamenti.
Come si spiega in un articolo comparso su Threatpost a firma del CTO di Prevalion Nate Warfield, le nuove strategie adottate dai pirati mirano a utilizzare canali di comunicazione estremamente inusuali e risultano spesso difficili da individuare.
In alcuni casi, i criminali abusano di funzionalità pensate per la sicurezza e la privacy degli utenti, come DNS over HTTPS, normalmente abbreviato con DoH. Si tratta di un sistema che utilizza un algoritmo di crittografia per “nascondere” le richieste DNS e impedire che la navigazione sia tracciata.
Peccato che il protocollo DNS possa essere usato anche per le comunicazioni verso i server C2 e la protezione crittografica DoH sia in grado, da sola, di impedire a molti strumenti di cyber security di ispezionare le comunicazioni e rilevare quelle potenzialmente pericolose.
Un discorso simile vale anche per TOR (The Onion Router), anche se in questo caso il rilevamento di un collegamento diretto alla “rete nascosta” che offre anche l’accesso al famigerato Dark Web è decisamente più agevole.
Più complicato invece individuare le comunicazioni gestite da WebSocket, che di solito vengono implementati sotto forma di API sui Web Server della vittima. Il problema, a differenza di quanto avviene con TOR, è che in questo caso la presenza di un WebSocket non è necessariamente sospetta, anzi: è piuttosto comune in un network aziendale. Individuare quello malevolo diventa molto difficile.
Se i veri mal di testa li provoca uno strumento specializzato come Malleable C2, integrato nel pacchetto di strumenti di pen testing Cobalt Strike, una nota particolare la meritano software che riescono a mimetizzarsi nel traffico grazie al fatto che vengono considerati di uso comune. Quello più gettonato, negli ultimi mesi, è Telegram.
Insomma: il quadro per gli esperti di cyber security si fa sempre più intricato e le soluzioni sempre più complicate.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Ransomware: la serie
No posts found.
