Windows 10: Abilitare BitLocker sull'unità di sistema

Introdotto a partire dalle versioni Enterprise e Ultimate di Windows Vista, BitLocker è una funzionalità inclusa nei sistemi operativi Microsoft che consente la protezione dei dati tramite cifratura con algoritmo AES.

Per abilitare la cifratura di un'unità di sistema con BitLocker:

• Aprire Esplora file;
• Cliccare su Questo PC;
• Cliccare, con il tasto destro del mouse, sull'unità di sistema (generalmente C:) che si intende cifrare e, dal menu contestuale, selezionare la voce Attiva BitLocker.

FIG 1 - Attiva BitLocker sull'unità di sistema

Per la cifratura BitLocker utilizza il chip TPM (Trusted Platform Module) presente sulla scheda madre. Nel caso in cui tale chip non fosse presente, nell'attivare BitLocker verrà visualizzato il messaggio mostrato in FIG 2.

FIG 2 - Impossibile utilizzare TPM (Trusted Platform Module)

In questi casi è necessario effettuare un ulteriore passaggio agendo tramite l'Editor Criteri di gruppo:

• Premere la combinazione di tasti WIN+R per aprire la finestra di dialogo Esegui e digitare gpedit.msc seguito da invio per aprire l'Editor criteri di gruppo locali;
• Nell’elenco ad albero, presente sulla sinistra, raggiungere la sezione Criteri Computer locale->Configurazione computer->Modelli amministrativi->Componenti di Windows->Crittografia unità BitLocker->Unità del sistema operativo;
  
  

  

  FIG 3 - Editor criteri di gruppo locali, Richiedi autenticazione aggiuntiva all’avvio

• Nei criteri elencati nella parte destra della finestra, aprire Richiedi autenticazione aggiuntiva all’avvio con un doppio click, selezionare l'opzione Attivata e spuntare la voce Consenti BitLocker senza un TPM compatibile quindi confermare su OK.
  

  

  FIG 4 - Attiva criterio Richiedi autenticazione aggiuntiva all’avvio

Il chip TPM viene utilizzato per cifratura e decifratura dei dati, se non presente bisogna scegliere se utilizzare una password da inserire ad ogni avvio oppure una pendrive che dovrà essere sempre inserita nel sistema per consentirne l'avvio. 
La cifratura dell'unità può richiedere diverso tempo. L'operazione viene eseguita in background e viene portata a termine automaticamente.

Tramite il criterio Richiedi autenticazione aggiuntiva all’avvio è possibile specificare un ulteriore fattore di autenticazione in aggiunta al TPM come un PIN (con una lunghezza compresa tra 6 e 20 cifre), oppure una pendrive contenente la chiave di decifratura. In questo caso è possibile rendere obbligatorio uno dei due elementi aggiuntivi selezionando la voce Richiedi al posto di Consenti dai relativi menu a discesa oppure renderli obbligatori entrambi selezionando, dalla casella Configurazione chiave e PIN, la voce Richiedi chiave e PIN di avvio con il TPM.

FIG 5 - Richiedi chiave e PIN di avvio con il TPM

Ransomare Petya: Rilasciata la master key

L'autore o gli autori del ransomware Petya hanno rilasciato la master key per decriptare i dati cifrati da tutte le versioni del malware che includono:

• Prima versione di Petya (teschio bianco su sfondo rosso visualizzato al boot del sistema);
• Seconda versione di Petya che include il ransomware Mischa (teschio verde su sfondo nero);
• Terza versione conosciuta come GoldenEye (teschio giallo su sfondo nero).

FIG 1 - Schermata visualizzata al boot dalla prima versione di Petya

La master key è stata rilasciata dall'utente Janus attraverso Twitter e può essere scaricata da Mega.nz

FIG 2 - Tweet dell'utente Janus che annuncia il rilascio della master key

Anton Ivanov, ricercatore di sicurezza di Kaspersky, ha verificato e confermato la validità della chiave.



Il ransomware Petya non va confuso con NotPetya che, anche se è nato modificando la versione originale del ransomware Petya, è stato creato da un'altro gruppo e adotta una routine di cifratura diversa.

Verificare la vulnerabilità della connessione Wi-Fi utilizzando un modulo ESP8266

In questo articolo verrà mostrato come testare, utilizzato una board dotata del modulo ESP8266, alcune vulnerabilità delle reti Wi-Fi e impedire ai client di connettersi. 

ATTENZIONE:
Danneggiare o violare un sistema informatico (anche da remoto) rappresenta un reato penale. Le informazioni presenti in quest'articolo vanno utilizzate solo per testare/verificare sistemi di cui si è titolari. Declino ogni responsabilità civile e penale derivante da un utilizzo non legale delle informazioni presentate in questo articolo a solo scopo didattico.

Come funziona

Il protocollo Wi-Fi 802.11 prevede un particolare frame, chiamato deauthentication frame, che viene utilizzato per disconnettere in modo sicuro i client dalla rete Wi-Fi.

La gestione di questo tipo di pacchetti, almeno nelle versioni più diffuse del protocollo, non è cifrata e basta trovarsi nel range della rete Wi-Fi e conoscere il MAC address del router e dei client per poter eseguire l'attacco.

Modulo ESP8266

L'ESP8266 è un modulo Wi-Fi a basso costo dotato di uno stack TCP/IP completo e di una MCU (microcontroller unit). Esistono una gran varietà di moduli ESP8266 che vengono impiegati anche per la costruzione di board adatte a determinati scopi e, ovviamente, per l'IoT (Internet of Things). Un elenco dei moduli ESP8266 disponibili è mostrato nella seguente tabella.

Name	Active pins	Pitch	Form factor	LEDs	Antenna	Shielded	Dimensions (mm)
ESP-01	6	0.1 in	2×4 DIL	Yes	PCB trace	No	14.3 × 24.8
ESP-02	6	0.1 in	2×4 castellated	No	U.FL connector	No	14.2 × 14.2
ESP-03	10	2 mm	2×7 castellated	No	Ceramic	No	17.3 × 12.1
ESP-04	10	2 mm	2×4 castellated	No	None	No	14.7 × 12.1
ESP-05	3	0.1 in	1×5 SIL	No	U.FL connector	No	14.2 × 14.2
ESP-06	11	misc	4×3 dice	No	None	Yes	14.2 × 14.7
ESP-07	14	2 mm	2×8 pinhole	Yes	Ceramic + U.FL connector	Yes	20.0 × 16.0
ESP-07S	14	2 mm	2×8 pinhole	No	U.FL connector	Yes	17.0 × 16.0
ESP-08	10	2 mm	2×7 castellated	No	None	Yes	17.0 × 16.0
ESP-09	10	misc	4×3 dice	No	None	No	10.0 × 10.0
ESP-10	3	2 mm?	1×5 castellated	No	None	No	14.2 × 10.0
ESP-11	6	0.05	1×8 pinhole	No	Ceramic	No	17.3 × 12.1
ESP-12	14	2 mm	2×8 castellated	Yes	PCB trace	Yes	24.0 × 16.0
ESP-12E	20	2 mm	2×8 castellated	Yes	PCB trace	Yes	24.0 × 16.0
ESP-12F	20	2 mm	2×8 castellated	Yes	PCB trace	Yes	24.0 × 16.0
ESP-12S	14	2 mm	2×8 castellated	Yes	PCB trace	Yes	24.0 × 16.0
ESP-13	16	1.5 mm	2×9 castellated	No	PCB trace	Yes	18.0 × 20.0
ESP-14	22	2 mm	2×8 castellated +6	No	PCB trace	Yes	24.3 × 16.2

Le caratteristiche principali di questi moduli sono

• CPU RISC Tensilica Xtensa L106 a 80MHz (160Mhz tramite overclock);
• Memoria flash esterna QSPI che varia da 512KB a 4MB a seconda del modello (il modulo supporta fino a 16MB);
• 64KB di memoria RAM per le istruzioni e 96KB di memoria RAM per i dati;
• Stack TCP/IP completo e supporto alle reti Wi-Fi IEEE 802.11 b/g/n;
• Fino a 16 pin GPIO;
• UART / SPI/ I2C / I2S/ 1 modulo ADC a 10bit

NodeMCU DevKit

In questo articolo utilizzerò la board NodeMCU DevKit basata sul modulo ESP8266 ESP-12E. La board può essere acquistata per pochi euro e integra già tutto quello che serve:

• Firmware NodeMCU;
• Tutti i pin del modulo ESP-12E a bordo vengono riportati all'esterno;
• Convertitore USB/seriale TTL (nella maggior parte dei casi si tratta del CP2102 prodotto da Silicon Labs) con connessione micro usb tramite la quale è possibile alimentare e programmare la board;
• Regolatore di tensione a 3.3V;
• Pulsanti Reset e Flash. Il primo riavvia il firmware caricato, il secondo viene utilizzato per riprogrammarlo.

FIG 1 - NodeMCU DevKit ESP8266 ESP-12E

FIG 2 - NodeMCU DevKit ESP8266 ESP-12E Pinout

Collegando la board alla porta USB del PC, Windows dovrebbe provvedere autonomamente a scaricare e installare i driver. In caso contrario, o nel caso si disponga di un sistema operativo diverso da Windows, è necessario provvedere al download e installazione manuale dei driver cercandoli in base al chip montato sulla board.

Chip CP2102 della Silicon Labs
Gran parte delle board NodeMCU DevKit montano un convertitore USB/Seriale TTL della Silicon Labs modello CP2102. I driver per Windows, Mac, Linux e Android per tale chip possono essere scaricati dal seguente link
Download Drivers CP2102 

Chip CH340G
Le schede più economiche montano il chip CH340G e generalmente non vengono riconosciute automaticamente da Windows. I driver possono essere scaricati da
Download Drivers CH340G 

Chip PL2303 
Se il chip montato sulla scheda è il modello PL2303, i driver ufficiali vanno scaricati da 
Download Drivers PL2303 

Installare il Firmware

I firmware disponibili per il dispositivo sono diversi, tra i più comuni ci sono:
- AT;
- MicroPython;
- NodeMCU.

Per il nostro scopo scarichiamo il firmware esp8266_deauther_1mb.bin da https://github.com/spacehuhn/esp8266_deauther/releases

Per flashare il firmware è necessario di un apposito programma. Consiglio di utilizzare NodeMCU flasher scaricabile dal seguente link
Download NodeMCU flasher 

NodeMCU flasher permette di caricare il firmware sul nostro NodeMCU DevKit. L'utilizzo è molto semplice:

• Avviare la versione a 32 o 64 bit a seconda del proprio sistema operativo;
• Selezionare, se non già impostata, la porta COM (virtuale) dove è collegato il NodeMCU DevKit;
  

  

  FIG 3 - NodeMCU flasher, selezione della porta COM

• Posizionarsi sulla scheda Config e, nella prima casella (Path of binary file), selezionare il file .bin del firmware che si intende caricare. Assicurarsi che nella casella relativa all'offset sia impostato 0x00000.
  
  

  

  FIG 4 - NodeMCU flasher, selezione del firmware da caricare

• Ritornare alla scheda Operation e cliccare sul pulsante Flash per avviare la programmazione della board. Attendere il completamento dell'operazione.
  

  

  FIG 5 - NodeMCU flasher, aggiornamento del firmware

• Al termine riavviare il dispositivo scollegando e ricollegando il cavo usb.

Avviare il test/attacco alla rete Wi-Fi

Il firmware precedentemente caricato trasforma la nostra board in un Access Point la cui rete Wi-Fi è identificata dal SSID pwned. Per avviare il test/attacco ad una rete Wi-Fi:

• Eseguire la scansione delle reti Wi-Fi con il proprio dispositivo (smartphone, tablet, notebook, ecc) e connettersi alla rete pwned utilizzando la password deauther;
• Una volta connessi, nella barra indirizzi del proprio browser digitare 192.168.4.1 seguito da invio. Verrà aperta una pagina con un messaggio di warning che mette in guardia sull'utilizzo del tool per scopi illeciti. Una volta lette le condizioni di utilizzo cliccare sul pulsante I've read and understood the notice above presente in fondo alla pagina;
  
  

  

  FIG 6 - ESP8266 Deauther, messaggio di Warning e condizioni di utilizzo

• Nella pagina successiva, cliccare sul tasto SCAN per effettuare la scansione degli Access Point Wi-Fi disponibili;
  

  

  FIG 7 - Scansione degli Access Point

• Le reti Wi-Fi trovate vengono elencate visualizzando informazioni come il canale utilizzato, il SSID, RSSI, il tipo di protezione. Selezionare la rete che si intende attaccare cliccando sul link SELECT.
  

  

  FIG 8 - Selezione della rete Wi-Fi da testare

• Cliccando su Stations è possibile eseguire la scansione dei clienti connessi alla rete Wi-Fi selezionata. In questa fase il modulo ESP8266 spegne il suo Access Point pertanto potrebbe essere necessario riconnettersi manualmente e aggiornare la pagina per visualizzare il risultato della scansione.
  
  

  

  FIG 9 - Scansione dei client connessi alla rete Wi-Fi selezionata

• Cliccando sul link Attacks in alto, si accede alla pagina degli attacchi che è possibile sferrare.
  Clone: consente di clonare il SSID della rete Wi-Fi in modo da confondere i client che tentano di connettersi. Una volta cliccato su Clone, scorrendo nella pagina, è necessario indicare nell'apposito campo il numero di cloni da creare quindi cliccare su ADD per procedere (FIG 11). Cliccando invece sul pulsante Random, verranno creati SSID con nomi casuali.
  Deauth: invia i deauthentication frame alla rete/client selezionati forzando la disconnessione del Wi-Fi.
  Beacon: invia numerosi frame beacon con il nome della rete selezionata. Semplificando il beacon non è altro che un piccolo messaggio con cui il dispositivo, ad es. l'Access Point, annuncia la sua presenza a chi è in "ascolto" fornendo informazioni come timestamp, SSID e altri parametri.
  Probe-Request: invia numerosi frame Probe-Request fino a saturare i dispositivi. Una stazione invia un Probe-Request frame quando ha necessità di recuperare informazioni da un'altra stazione.
  
  

  

  FIG 10 - Attacks

FIG 11 - Clone SSID

Impostazioni

Cliccando sul link Settings è possibile personalizzare alcune opzioni tra cui il SSID visualizzato dal dispositivo, la password, il canale utilizzato, abilitare/disabilitare la scansione degli Access Point nascosti, abilitare/disabilitare la selezione di più SSID, personalizzare numero di pacchetti inviati al secondo, ogni quanto tempo modificare il MAC address, ecc. Una volta effettuate le modifiche desiderate è necessario cliccare sul link SAVE presente in fondo alla pagina e riavviare.

FIG 12 - Settings

Come difendersi

L'unico modo per difendersi è assicurarsi che tutti i dispositivi della propria rete supportino il protocollo 802.11w-2009 che prevede la cifratura dei frame e che la protezione dei frame sia abilitata.

Ransomware WannaCry: Recuperare i dati criptati

Il ricercatore di sicurezza informatica Adrien Guinet, ha trovato un modo per recuperare la chiave per decriptare i file cifrati dal ransomware WannaCry: Il ransomware genera la chiave pubblica e quella privata sulla macchina della vittima e, a causa di un errore di programmazione, la memoria dove risiedono tali chiavi non viene ripulita ma viene semplicemente contrassegnata come libera. Basandosi su tali informazioni un'altro ricercatore di sicurezza, Benjamin Delpy, ha sviluppato un tool chiamato WannaKiwi che automatizza l'operazione di recupero della chiave privata. 

FIG 1 - WannaCry

Nel caso in cui il sistema sia stato infettato, non riavviarlo o spegnerlo.

• Scaricare WannaKiwi https://github.com/gentilkiwi/wanakiwi/releases e avviare il file eseguibile;
• Il tool cerca autonomamente il file 00000000.pky. Non resta che sperare che la chiave privata non sia stata sovrascritta in memoria e attendere che il tool riesca ad individuarla e a procedere al recupero dei file cifrati con estensione .wncry

WannaKiwi provvede a creare anche i file con estensione .dky fermando, in questo modo, l'infezione di ulteriori file.

Ransomware WannaCry: Come proteggersi

L'attacco informatico eseguito dal ransomware WannaCry (conosciuto anche con i nomi WanaCrypt0r 2.0 o WCry/WannaCry) è di carattere planetario. Il ransomware sfrutta una tecnica utilizzata da EternalBlue/DoublePulsar, uno strumento d'intrusione sviluppato dalla NSA che è stato trafugato e diffuso da alcune organizzazioni criminali. Il malware si diffonde da una rete locale all'altra attraverso Internet sfruttando le condivisione di rete SMB (SAMBA), generalmente attiva di default sui sistemi Windows, pertanto se un PC è stato infettato scollegarlo dalla rete per scongiurare l'infezione di altre postazioni/dispositivi. L'infezione è stata al momento bloccata: WannaCry verifica la presenza di un particolare domino esterno (www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com) e se non lo trova o non riesce ad accedervi provvede ad infettare il sistema. Il dominio è stato di recente creato per fermare l'infezione ma altre varianti del malware sprovviste di tale controllo si stanno diffondendo.
Purtroppo questo attacco dimostra ancora una volta la scarsa considerazione della sicurezza da parte degli utenti ma soprattutto da parte di molte aziende: sono stati colpite dall'infezione Università, Ospedali, compagnie di telecomunicazioni e persino banche. La patch diffusa da Microsoft che sistema la falla sfruttata dal ransomware è la MS17-010 disponibile già da Marzo. 

I sistemi interessati dal ransomware sono Windows XP, Windows Vista SP2, Windows Server 2008, Windows 7, Windows 8-8.1, Windows Server 2012 e R2, Windows 10, Windows Server 2016 non aggiornati.


Oltre ad installare la patch è opportuno verificare la disabilitazione della funzionalità Supporto per condivisione file SMB 1.0/CIFS come indicato di seguito:

• Da Windows premere la combinazione di tasti WIN+R e, nella finestra Esegui, digitare appwiz.cpl seguito da invio;
• Sul lato sinistro della finestra cliccare su Attivazione o Disattivazione delle funzionalità di Windows
  
  

  

  FIG 1 - Windows, Attivazione o disattivazione delle funzionalità di Windows

• Dall'elenco togliere la spunta alla voce Supporto per condivisione file SMB 1.0/CIFS (SMB1.0/CIFS File Sharing Support) e confermare cliccando su OK
  
  

  

  FIG 2 - Supporto per condivisione file SMB 1.0/CIFS

Per proteggersi da gran parte di virus/ransomware basta seguire pochi e semplici passaggi:

• Tenere sempre il sistema operativo aggiornato. Windows può essere aggiornato sia tramite il tool integrato nel sistema sia installando le patch di sicurezza manualmente scaricandole da http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598.
• Aggiornare il proprio antivirus/firewall;
• Non aprire email, allegati o file di dubbia provenienza senza prima aver effettuato almeno un controllo con un antivirus aggiornato;
• Eseguire frequenti backup dei dati importanti su supporti esterni è tenerli disconnessi dalla rete.

Ransomware JeepersCrypt: Recupero dati

Gli esperti di BleepingComputer  hanno scovato un nuovo ransomware proveniente dal Brasile chiamato JeepersCrypt (nome che si rifà al film horror Jeepers Creepers). Il ransomware aggiunge l'estensione .jeepers ai file cifrati e visualizza la richiesta di riscatto mostrata in figura in cui l'utente viene avvisato che dispone di 24 ore di tempo per pagare il riscatto.

FIG 1 - Ransomware JeepersCrypt

Come recuperare i dati

Prima di procedere a decriptare i dati, consiglio di effettuare una scansione approfondita con un antivirus e un antimalware (come Malwarebytes) aggiornati.
Il recupero dei dati è possibile grazie al tool StupidDecrypter sviluppato da Michael Gillespie (Demonslay335) e scaricabile da https://download.bleepingcomputer.com/demonslay335/StupidDecrypter.zip

Il tool permette di decriptare file cifrati con le seguenti estensioni: .android, .anon, .crypted, .deria, .devil, .FailedAccess, .fucked, .Harzhuangzi, .haters, .jeepers, .killedXXX, .lock, .MIKOYAN, .Nazi, .powned, .SnakeEye, .xncrypt, _crypt0, _nullbyte.


Scompattare il file .zip ed avviare l'unico file eseguibile StupidDecrypter.exe. 

FIG 2 - StupidDrecypter, recuperare i dati cifrati da JeepersCrypt

Cliccare sul pulsante Select Directory e selezionare la cartella o il disco contenente i dati cifrati quindi cliccare su Decrypt per avviare il processo di recupero dati. I dettagli dell'operazione verranno indicati nel riquadro alla sinistra dei pulsanti inoltre, all'interno della cartella in cui risiede l'eseguibile del tool, verrà generato un file di log.

Il tool consente anche di eliminare i file cifrati selezionando l'apposita opzione dal menu Settings.

FIG 3 - StupidDecrypter, Delete Encrypted Files

Verificare se un sito web è sicuro con Zulu URL Risk Analyzer

Capita spesso di ricevere email, apparentemente inviate da mittenti attendibili, contenenti link a siti web. Cliccando su quei link si corre il rischio di visitare pagine web non sicure ed essere infettati da virus, malware o ransomware. Prima di aprire un sito web non conosciuto possiamo verificarne l'affidabilità utilizzando il servizio web gratuito Zulu URL Risk Analyzer di Zscaler.

Nel caso dei link presenti nelle email è possibile procedere in questo modo:

• Cliccare con il tasto destro del mouse sul link/collegamento al sito web e, dal menu contestuale, selezionare la voce Copia collegamento ipertestuale (o Copia indirizzo link);
• Aprire il sito web di  Zulu URL Risk Analyzer, http://zulu.zscaler.com/
• Incollare, nell'apposita casella, l'indirizzo da analizzare e cliccare sul pulsante Submit URL.
  

  

  FIG 1 - Zulu URL Risk Analyzer

Il servizio effettuerà una serie di controlli di sicurezza, visibili nel dettaglio, e al termine visualizzerà un punteggio complessivo che rappresenterà il grado di affidabilità del sito.

Ransomware DoNotChange: Recuperare i dati

Il ransomware DoNotChange è stato individuato per la prima volta il 29 marzo 2017. Anche questo ransomware viene distribuito prevalentemente attraverso email di spam che sembrano provenire da mittenti attendibili come Amazon, PayPal, Facebook, Twitter e Microsoft. Se la vittima apre il file allegato ed esegue la macro, il ransomware si installa sulla macchina e provvede a cifrare i file sui dischi locali, sulle share di rete e sui dischi removibili utilizzando versioni custom di AES e RSA. 

I file interessati dal ransomware hanno le seguenti estensioni:
.3GP, .7Z, .APK, .AVI, .BMP, .CDR, .CER, .CHM, .CONF, .CSS, .CSV, .DAT, .DB, .DBF, .DJVU, .DBX, .DOCM, ,DOC, .EPUB, .DOCX .FB2, .FLV, .GIF, .GZ, .ISO .IBOOKS,.JPEG, .JPG, .KEY, .MDB .MD2, .MDF, .MHT, .MOBI .MHTM, .MKV, .MOV, .MP3, .MP4, .MPG .MPEG, .PICT, .PDF, .PPS, .PKG, .PNG, .PPT .PPTX, .PPSX, .PSD, .RAR, .RTF, .SCR, .SWF, .SAV, .TIFF, .TIF, .TBL, .TORRENT, .TXT, .VSD,.WMV, .XLS, .XLSX, .XPS, .XML, .CKP, .ZIP, .JAVA, .PY, .ASM, .C, .CPP, .CS, .JS, .PHP, .DACPAC, .RBW, .RB, .MRG, .DCX, .DB3, .SQL, .SQLITE3, .SQLITE, .SQLITEDB, .PSD, .PSP, .PDB, .DXF, .DWG, .DRW, .CASB, .CCP, .CAL, .CMX, .CR2.

A seconda della variante del ransomware ai file viene aggiunta l'estensione ".id-[id_vittima].cry" oppure ".Do_not_change_the_file_name.cryp". 

DoNotChange, per cifrare i dati, genera una chiave a 256-bit che non viene salvata in locale ma viene inviata ai server di Command and Control. Terminata la crittografia dei file viene visualizzato il messaggio di riscatto.

FIG 1 - Messaggio del riscatto del ransomware DoNotChange

Michael Gillespie ha creato il tool DoNotChangeDecrypter per decriptare i dati cifrati dal ransomware DoNotChange. Al momento il tool funziona prevalentemente con i file con estensione ".id-[id_vittima].cry".

L'utilizzo del tool è molto semplice. Una volta scaricato da QUI, scompattarlo ed eseguirlo. Cliccare su Select Directory per selezionare la cartella o il disco contenente i file criptati quindi cliccare su Decrypt per avviare il processo.

FIG 2 - DoNotChangeDecrypter

Windows: Session Hijacking utilizzando un account locale con i permessi di sistema

Alexander Korznikov, un ricercatore di sicurezza israeliano, ha di recente dimostrato come un account locale con elevati privilegi può eseguire l'hijacking delle sessioni di qualsiasi utente Windows loggato sulla postazione, persino di utenti con privilegi superiori o account di dominio.
In quest'articolo mostrerò quanto scoperto da Korznikov e vedremo come un account locale di Windows, con i permessi di sistema, può prendere il controllo di altre sessioni utente attive sulla postazione senza conoscerne la password.

ATTENZIONE:
Danneggiare o violare un sistema informatico (anche da remoto) rappresenta un reato penale. Le informazioni presenti in quest'articolo vanno utilizzate solo per testare/verificare sistemi di cui si è titolari. Declino ogni responsabilità civile e penale derivante da un utilizzo non legale delle informazioni presentate in questo articolo a solo scopo didattico.

La procedura  può essere eseguita sia utilizzando il Task Manager sia utilizzando Remote Desktop Protocol (RDP) tramite TSCON. In entrambi i casi è necessario procurarsi PSEXEC. L'utility può essere scaricata sia singolarmente da QUI sia come parte integrante della Sysinternals Suite.

Supponiamo che l'utente abbia bloccato il computer con la sua utenza (ad es. utilizzando la combinazione WIN+L o premendo CTRL+ALT+CANC e selezionando Blocca) e si sia allontanato dalla postazione. Possiamo prendere il controllo della sessione utente bloccata utilizzando uno dei seguenti metodi.

Metodo 1: Prendere il controllo della sessione dell'account vittima tramite il Task Manager

• Eseguire il logon con altro utente, amministratore locale della workstation.
  

  

  FIG 1 - Eseguire logon con altro account amministratore locale

• Avviare il Task Manager/Gestione attività e selezionare la scheda Utenti. Nella colonna ID prendere nota dell ID relativo all'account amministratore locale (in FIG 2 l'ID corrisponde ad 8).
  

  

  FIG 2 - Gestione attività, ID sessione utente amministratore locale

• Avviare il prompt dei comandi come amministratore.
• Accedere alla cartella contenente PSEXEC e utilizzarlo per lanciare il Task Manager con l'utenza System tramite il seguente comando
  psexec -s \\localhost -i 8 taskmgr
  dove 8 rappresenta l'ID recuperato nei passi precedenti. Cliccare sul pulsante Agree all'eventuale visualizzazione del messaggio relativo alle condizioni di licenza di PSEXEC.
  

  

  FIG 3 - Avvio del Task Manager con l'utenza System tramite PSEXEC

• Nella nuova finestra del Task Manager selezionare nuovamente la scheda Utenti, cliccare con il tasto destro del mouse sulla sessione della vittima di cui si vuole prendere il controllo e selezionare Connetti. A questo punto ci ritroveremo all'interno della sessione della vittima.
  
  

  

  FIG 4 - Connetti alla sessione della vittima tramite Task Manager/Gestione attività

Metodo 2: Prendere il controllo della sessione dell'account vittima tramite TSCON

• Aprire il prompt dei comandi come amministratore.
• Spostarsi nella cartella contenente PSEXEC  e utilizzarlo per aprire un prompt dei comandi con l'account System eseguendo
  psexec -s \\localhost cmd
• Per conoscere con quale utenza si sta lavorando eseguire il comando
  whoami
  Assicurarsi che in risposta si riceva nt authority\system.
• Digitare ed eseguire il comando
  query user
  e prendere nota dell'ID relativo alla sessione della vittima (In FIG 5 l'ID della vittima corrisponde a 9).
  

  

  FIG 5 - Recuperare l'ID della sessione della vittima

• Connettersi alla sessione della vittima eseguendo
  tscon 9 /dest:console
  dove 9 rappresenta l'ID della sessione verificata nel passo precedente. 

I metodi sopra descritti funzionano con tutte le versioni di Windows comprese le versioni Server.

Ransomware Dharma: Recuperare i dati

Il ransomware Dharma provvede a cifrare i dati dell'utente e aggiunge ai file cifrati una nuova estensione usando il formato .[indirizzo_email].Dharma. L'indirizzo email aggiunto al nome del file varia a seconda della versione del ransomware. Di seguito alcuni esempi:

.[3angle@india.com].dharma

.[amagnus@india.com].dharma

.[base_optimal@india.com].dharma

.[bitcoin143@india.com].dharma

.[blackeyes@india.com].dharma

.[doctor.crystal@mail.com].dharma

.[dr_crystal@india.com].dharma

.[emmacherry@india.com].dharma

.[google_plex@163.com].dharma

.[mr_lock@mail.com].dharma

.[opened@india.com].dharma

.[oron@india.com].dharma

.[payforhelp@india.com].dharma

.[savedata@india.com].dharma

.[singular@india.com].dharma

.[suppforhelp@india.com].dharma

.[SupportForYou@india.com].dharma

.[tombit@india.com].dharma

.[worm01@india.com].dharma

Dopo che su alcuni forum sono apparse alcune master key relative al ransomware, Kaspersky ed Eset hanno rilasciato i loro tool per la decriptazione dei file. In questo articolo mostrerò come recuperare i propri file utilizzando il tool di Kaspersky che ritengo più semplice da usare anche per i meno esperti.

Recupero dei dati

• Eseguire il download del tool di Kaspersky RakhniDecryptor;
• Scompattare il file .zip appena scaricato ed avviare il tool cliccando 2 volte sull'eseguibile RakhniDecryptor.exe;
  

  

  FIG 1 - Kaspersky RakhniDecryptor

• Cliccando su Change parameters è possibile indicare i dischi su cui il tool dovrà intervenire e se cancellare o meno i file cifrati una volta decriptati. Per confermare le impostazioni e ritornare alla schermata principale, cliccare su OK.
  
  

  

  FIG 2 - Kaspersky RakhniDecryptor, Settings

• Cliccare su Start Scan;
• Nella finestra successiva verrà richiesto di indicare un file criptato. Selezionare un file e cliccare su Apri per avviare il processo di recupero dei dati che può richiedere molto tempo a seconda del numero di file da analizzare e decriptare.
  
  

  

  FIG 3 - Kaspersky RakhniDecryptor, encrypted file