Nishang

Nebbia e luci / Fog and lightsCon Nishang ci si avventura un una zona grigia del software, in cui la differenza tra difesa e offesa diventa indistinguibile.

Lo scopo di quanto segue non è quello di incitare la violazione delle leggi, ma di documentare l’esistenza di questi strumenti, per poterli riconoscere in caso di attacchi.

La PowerShell di Windows è uno strumento molto potente, molto più di quanto possa sembrare ad un osservatore superficiale o prevenuto. Era, quindi, naturale che prima o poi sarebbero arrivati degli script PowerShell per eseguire operazioni non del tutto legittime ai danni della vittima.

Nishang gratta solamente la superficie, ma contiene esempi molto interessanti. Tipicamente gli script contenuti in Nishang vengono eseguiti sul computer vittima una volta che l’attaccante è riuscito a penetrare le difese, quindi non troverete script di penetrazione, bensì di controllo e ricognizione remoti, tra cui un utilizzo… creativo del record TXT del DNS.

Mouse di Troia

Oramai il vettore di penetrazione a mezzo chiavette USB disseminate nel parcheggio o spedite per posta è noto a (quasi) tutti: le persone che lavorano in ambienti sensibili sanno che eventuali chiavette USB di provenienza ignota devono essere analizzate prima dal personale IT.

Netragard era stata incaricata di eseguire un test di penetrazione in una ditta in cui le persone erano difficilmente ingannabili con la solita chiavetta persa nel parcheggio. I termini dell’incarico prevedevano che non venissero utilizzati metodi di social engineering, mail, telefoni o accessi fisici alla vittima.

I tecnici di Netragard hanno, quindi assemblato con materiale off the shelf un mouse all’interno del quale si trovava un hub USB e una flash USB. Collegando il mouse al computer si collegava, in realtà un hub USB a cui erano collegati il mouse e una chiavetta USB con del malware costruito ad hoc.

Il tutto è stato confezionato in un confezione regalo con depliant e documentazione fasulli e inviato per posta alla vittima. Inutile dire che l’attacco è riuscito. (via Netragard Blog, con molti dettagli tecnici)