lunedì 4 marzo 2019

Outlook Quick Tip: Inoltrare un messaggio senza aggiungere il prefisso I: all'oggetto

Quando si inoltra un'email da Outlook viene automaticamente aggiunto il prefisso I: all'oggetto. Ci possono essere casi in cui si intende eseguire un inoltro senza che venga aggiunto il prefisso I:. Per pochi messaggi si può procedere manualmente eliminando il prefisso ogni volta ma quando le email da inoltrare diventano numerose può essere utile automatizzare tale processo.

Tramite i seguenti passaggi andremo a creare una nuova azione rapida che ci consente di inoltrare il messaggio senza l'aggiunta del prefisso:
  • Da Outlook, selezionare la scheda Home;
  • Nella sezione Azioni rapide cliccare su Crea nuova;
    Outlook, Creazione nuova azione rapida
    FIG 1 - Outlook, Creazione nuova azione rapida
  • Nell'apposita casella digitare un nome significativo da assegnare alla nuova azione rapida (ad es. Inoltra senza I:);
    Outlook, assegnazione nome alla nuova azione rapida
    FIG 2 - Outlook, assegnazione nome alla nuova azione rapida
  • Nella casella elenco a discesa selezionare l'azione Inoltra quindi cliccare su Mostra opzioni;
    Outlook, Scegli azione e visualizzazione opzioni
    FIG 3 - Outlook, Scegli azione e visualizzazione opzioni
  • Nella casella Oggetto rimuovere I: in modo che sia visualizzata solo la stringa <oggetto> come mostrato in FIG 4 e cliccare su Fine;
    Outlook, Azione rapida e rimozione prefisso dall'oggetto
    FIG 4 - Outlook, Azione rapida e rimozione prefisso dall'oggetto

Per inoltrare un'email senza l'aggiunta del prefisso I: all'oggetto, basterà utilizzare la nuova azione rapida appena creata
Outlook, inoltrare un messaggio senza l'aggiunta del prefisso I: all'oggetto
FIG 5 - Outlook, inoltrare un messaggio senza l'aggiunta del prefisso I: all'oggetto
In maniera analoga è possibile creare una nuova Azione rapida per rimuovere il prefisso R: quando si risponde ad un messaggio.





sabato 2 marzo 2019

VPN: Verifica dell'IP mostrato dal client Torrent

Una VPN (Virtual Private Network) è un tunnel sicuro tra due o più dispositivi che utilizzano un canale di trasmissione pubblico e condiviso, come ad esempio Internet. La VPN, oltre ad essere utilizzata per proteggere la propria connessione e il traffico da interferenze e monitoraggio dall'esterno, consente anche di camuffare il proprio indirizzo IP.

Quando connessi alla VPN è possibile effettuare una verifica veloce sull'indirizzo IP mostrato ai siti aprendo la pagina whatismyipaddress.com dal browser.
WhatIsMyIPAddress.com
FIG 1 - WhatIsMyIPAddress.com

Anche se nella normale navigazione il nostro indirizzo IP reale risulta nascosto dalla VPN, questo non ci garantisce che non venga esposto utilizzando altre applicazioni/protocolli come ad esempio i protocolli P2P, in particolare BitTorrent.

Appositi servizi online consentono di verificare se il nostro client Torrent rivela l' indirizzo IP reale all'esterno. Tra i servizi più noti troviamo:


Tutti funzionano all'incirca allo stesso modo: all'interno della pagina web mostrano un link/pulsante che l'utente dovrà cliccare per scaricare un torrent/magnet link fittizio attivando il client Torrent installato sul PC. Dopo qualche secondo, sulla stessa pagina web, verrà mostrato l'indirizzo IP rilevato. Nel caso in cui l'IP visualizzato sia quello assegnato alla VPN, allora il nostro indirizzo IP reale è nascosto, in caso contrario faremmo meglio a verificare la configurazione della nostra VPN e quella del client Torrent.


TorGuard verifica IP mostrato dal client BitTorrent
FIG 2 - TorGuard verifica IP mostrato dal client BitTorrent





martedì 26 febbraio 2019

Ransomware GandCrab: Recupero dei dati

GandCrab, le cui prime segnalazioni risalgono a gennaio 2018, è attualmente una delle famiglie di ransomware più diffuse sul mercato. Il ransomware, di probabile origine russa, viene distribuito nel Dark Web secondo la formula RaaS (Ransomware as a Service) e gli sviluppatori sono molto attivi continuando a rilasciare nuove versioni. La famiglia di GandCrab è composta da numerose varianti del ransomware come GDCB, KRAB, CRAB virus, GandCrab 2, GandCrab 3, GandCrab 4 e GandCrab 5. Le prime le versioni hanno in comune gli algoritmi RSA 2048 e AES 256 per cifrare i dati e dalla versione 5 viene utilizzato anche l'algoritmo SALSA20. Tutte le varianti aggiungono al file cifrato, un'estensione unica. 


GandCrab Ransomware
FIG 1 - GandCrab Ransomware


Come si diffonde il malware
Il ransomware utilizza diversi vettori per l'infezione tra cui gli exploit kit RIG, GradSoft, Magnitude, Fallout, ALPC Task Scheduler Zero-day inoltre viene distribuito anche tramite email, siti web contenenti malware, crack, keygen e update fasulli e sfruttando le vulnerabilità del sistema. 
Una volta infettato il sistema, il ransomware raccoglie informazioni sulla vittima come il nome utente, il nome del pc, il sistema operativo installato, ecc, quindi provvede alla creazione di un ID univoco e procede a cifrare i file presenti nel sistema. Ai file cifrati viene aggiunta una nuova estensione e la chiave per decriptarli viene salvata, almeno nelle prime versioni, sui server C&C (Command and Control). Al termine del processo l'utente non riuscirà più ad accedere e a visualizzare i propri file e, in ogni cartella, sarà presente un file del tipo GDCB-DECRYPT.txt, KRAB-DECRYPT.txt o [codice ID]-DECRYPT.txt contenente le istruzioni per il pagamento del riscatto (FIG 2). 
GandCrab, file Decrypt con le istruzioni per il pagamento del riscatto
FIG 2 - GandCrab, file Decrypt con le istruzioni per il pagamento del riscatto



Versione Data Estensione Note
GandCrab 01/2018 .GDCB Diffuso prevalentemente tramite email con allegato alla cui apertura viene eseguito il payload che provvede a cifrare i dati dell'utente e a creare il file GDCB-DECRYPT.txt, contenente informazioni per il pagamento del riscatto, sul desktop della vittima. L'entità del riscatto aumenta con il passare del tempo.
GandCrab v2 03/2018 .CRAB La seconda versione del ransomware è stata rilasciata dopo che un team di esperti di cybersecurity ha rilasciato un tool in grado di decriptare i file cifrati con la prima versione. La nuova versione provvede a cifrare i file utilizzando gli algoritmi AES-256 (CBC mode) e RSA-2048. Il ransomware è stato distribuito attraverso la campagna di malvertising Seamless che porta le vittime ad essere infettate attraverso il kit RIG exploit. Sul desktop viene creato il file CRAB-DECRYPT.txt contenente informazioni per il riscatto.
GandCrab v2.1 04/2018 .CRAB Il funzionamento è analogo a quello visto per la versione precedente
GandCrab v3 04/2018 .CRAB Nella sua terza versione il ransomware mantiene le stesse caratteristiche della versione precedente. L'estensione aggiunta ai file cifrati rimane .CRAB e anche il nome del file creato sul desktop rimane invariato (CRAB-DECRYPT.txt). L'unica differenza rilevante è che da questa versione il ransomware non consente più il pagamento del riscatto mediante la criptovaluta DASH ma solo in Bitcoin.
GandCrab v4 07/2018 .KRAB La quarta versione del ransomware continua ad utilizzare gli algoritmi AES-256 (CBC mode) e RSA-2048 per cifrare i dati della vittima. L'estensione aggiunta ai file cifrati diventa .KRAB. Il file creato sul desktop prende il nome di KRAB-DECRYPT.txt e contiene maggiori informazioni sull'attacco e sulle istruzioni per procedere alla creazione di un wallet per le criptovalute.
GandCrab v4.1 07/2018 .krab Rilasciata subito dopo la versione 4 apporta alcune modifiche al proprio funzionamento. Da tale versione il ransomware non utilizza più i server di C&C (Command and Control) e l'infezione può avvenire anche senza la connessione ad Internet. Per la sua diffusione il ransomware utilizza l'exploit SMB. La patch MS17-010 previene l'infezione rimediando alla vulnerabilità individuata su SMB e sfruttata da diversi ransomware.
GandCrab v5.0 e v5.0.1 09/2018 5 caratteri casuali L'estensione aggiunta ai file cifrati è composta da 5 caratteri casuali. Lo stesso dicasi per il file creato sul desktop il cui nome ora è del tipo estensione-DECRYPT.html. A partire dalla versione 5 gli algoritmi utilizzati per cifrare i dati dell'utente sono SALSA20 e RSA-2048.
GandCrab v5.0.2 10/2018 10 caratteri casuali Questa versione del ransomware è stata distribuita il 1° ottobre 2018. Ai file cifrati viene aggiunta un'estensione di 10 caratteri casuali e il file contenente le istruzioni per il riscatto è del tipo estensione-DECRYPT.htm. L'infezione viene portata a termine tramite il kit Fallout exploit.
GandCrab v5.0.3 10/2018 5 caratteri casuali L'estensione aggiunta ai file cifrati è composta da 5 caratteri casuali. Lo stesso dicasi per il file creato sul desktop il cui nome ora è del tipo estensione-DECRYPT.html. il ransomware viene distribuito prevalentemente tramite un allegato ad un'email di spam. Nascosto all'interno dell'allegato è presente un file JavaScript (il dropper) chiamato GandCrab 5.0.3 downloader.js che una volta eseguito lancia altri 2 eseguibili dsoyaltj.exe e Wermgr.exe che forniscono al malware privilegi amministrativi e avviano la cifratura dei dati.
GandCrab v5.0.4, v5.0.5 e v5.0.9 10/2018 numero variabile caratteri casuali Queste versioni del ransomware sono state rilasciate tutte ad ottobre 2018. L'estensione aggiunta ai file cifrati è composta da un numero variabile di caratteri casuali. Il comportamento e i metodi di diffusione sono analoghi a quelli già visti per le versioni precedenti.
GandCrab v5.1 01/2019 caratteri casuali In questa versione del ransomware viene utilizzato l'algoritmo Salsa20 per cifare i dati.




Come rimuovere il ransomware
Prima di tentare il recupero dei dati è necessario rimuovere il ransomware. Per rimuoverlo è possibile eseguire la scansione del sistema con un antivirus o antimalware aggiornato. Un buon prodotto gratuito e utile in questi casi è  Kaspersky Rescue Disk scaricabile da QUESTA PAGINA. Scaricata l'immagine è possibile masterizzarla su CD\DVD oppure creare una pendrive bootable tramite il tool rescue2USB. Eseguendo il boot con Kaspersky Rescue Disk è possibile fare in modo che l'antivirus scarichi automaticamente da Internet gli aggiornamenti prima di procedere alla scansione dell'intero sistema.
Terminata la scansione ed eliminati eventuali virus trovati, avviare il sistema in modalità provvisoria quindi installare ed eseguire una scansione con una versione di Malwarebytes e/o SpyHunter aggiornata.


Recupero Dati
Pochi giorni fa Bitdefender ha rilasciato una nuova versione del suo tool per decriptare i file cifrati dal ransomware GandCrab fino alla versione 5.1. Il tool può essere scaricato dal seguente link
DOWNLOAD
Il suo utilizzo è molto semplice e non richiede l'installazione: 
  • Avviare l'eseguibile come amministratore quindi accettare i termini di utilizzo e proseguire cliccando su Continue;
    Bitdefender Decryption Utility for GandCrab, licenza
    FIG 3 - Bitdefender Decryption Utility for GandCrab, licenza
  • Una finestra di dialogo ci avvisa che il tool funziona con le versioni 1, 4 e 5 di GandCrab e che per il suo funzionamento è necessario una connessione ad Internet. Cliccare su OK;
    Bitdefender Decryption Utility for GandCrab, richiesta connessione ad Internet
    FIG 4 - Bitdefender Decryption Utility for GandCrab, richiesta connessione ad Internet
  • A questo punto possiamo decidere se eseguire una scansione dell'intero sistema alla ricerca di file cifrati dal ransomware (selezionando la casella Scan entire system) oppure indicare noi una specifica cartella contenente i dati da recuperare (cliccando sul pulsante Browse e selezionando la cartella di nostro interesse). Una volta impostato cosa fare cliccare su Start tool;
    Bitdefender Decryption Utility for GandCrab, Impostazioni scansione
    FIG 5 - Bitdefender Decryption Utility for GandCrab, Impostazioni scansione
  • Verrà eseguita la scansione alla ricerca dei file cifrati da GandCrab. I file trovati verranno automaticamente decriptati dal tool.

    Bitdefender Decryption Utility for GandCrab - scansione
    FIG 6 - Bitdefender Decryption Utility for GandCrab - scansione

Purtroppo subito dopo il rilascio del nuovo tool da parte di Bitdefender è stata annunciata sul Dark Web la distribuzione della nuova versione di GandCrab v5.2. Per quest'ultima versione al momento non c'è possibilità di recuperare i dati cifrati.




lunedì 25 febbraio 2019

Kali Linux: Risalire alla data di installazione del sistema operativo

Un trucco per risalire alla data di installazione del sistema operativo Kali Linux consiste nel visualizzare la data di creazione del file system della partizione in cui è stato installato oppure consultare il log di installazione dei pacchetti apt (/var/log/apt/history.log ).


Verificare la data di creazione del file system

  • Da terminale eseguire il comando fdisk -l e individuare la partizione su cui è installato Kali Linux;
    Kali Linux, fdisk -l
    FIG 1 - Kali Linux, fdisk -l
  • In FIG 1 la partizione di nostro interesse è sda1. Utilizziamo il seguente comando da terminale per visualizzare le informazioni relative al file system della partizione individuata.
    tune2fs -l /dev/sda1 | grep 'Filesystem' 

    Nel campo Filesystem created verrà mostrata la data e l'ora di creazione del file system.
    Kali Linux, tune2f
    FIG 2 - Kali Linux, tune2f




Visualizzare il log di installazione dei pacchetti apt

Da terminale eseguire il comando 
head /var/log/apt/history.log 
Il comando visualizzerà le prime 10 righe del log storico history.log
Kali Linux, history.log
FIG 3 - Kali Linux, history.log
Come visibile da FIG 3 la data più 'vecchia' è quella riportata nella stringa Start-Date: 2018-10-26 05:25:04 che con buona probabilità rappresenta la data di installazione del sistema operativo.



I metodi sopra indicati non sono infallibili e i risultati vanno presi con le opportune considerazioni. Il primo metodo che fa uso di tune2fs è generalmente più affidabile ma il risultato potrebbe essere stato compromesso se sono stati utilizzati tool di terze parti per la creazione/modifica della partizione e del relativo file system. Per quanto riguarda il secondo metodo, invece, c'è da considerare che qualcuno potrebbe aver eliminato o sovrascritto per qualche motivo il log.






giovedì 21 febbraio 2019

Windows 10: Modificare il MAC address

Il MAC address, acronimo che sta per  Media Access Control e conosciuto anche come indirizzo fisico, è un codice di 48 bit che viene assegnato in modo univoco dal produttore ad ogni scheda di rete (ethernet o Wi-Fi) prodotta al mondo e viene utilizzato dal livello datalink per accedere al livello fisico secondo lo standard ISO/OSI.

I 48 bit (6 byte) del MAC address sono suddivisi in 12 cifre esadecimali: le prime 6 cifre individuano il produttore e vengono dette OUI (Organizationally Unique Identifier), mentre le altre 6 rappresentano il numero di serie della scheda. Generalmente l'indirizzo MAC viene scritto suddividendo le cifre in 6 ottetti separati da un trattino (es. E0-3F-49-A0-67-2C).

Per visualizzare rapidamente i MAC address delle schede di rete presenti nel sistema, è possibile eseguire dal prompt dei comandi
getmac /v /fo list 
Windows 10, visualizzare i MAC address delle schede di rete
FIG 1 - Windows 10, visualizzare i MAC address delle schede di rete

L'output del comando fornisce le seguenti informazioni per ciascuna scheda di rete presente nel sistema:
  • Nome connessione
    Indica il nome della connessione di rete
  • Scheda di rete
    Indica il modello di scheda di rete
  • Indirizzo fisico
    Indica il MAC address
  • Nome del trasporto
    Identifica il GUID (Globally Unique Identifier) della scheda di rete.

Per modificare il MAC address da Windows:
  • Avviare Gestione dispositivi (WIN+R e digitare devmgmt.msc seguito da invio);
  • Da Gestione dispositivi espandere la sezione Schede di rete, individuare la periferica di proprio interesse quindi cliccarci su con il tasto destro del mouse e selezionare Proprietà dal menu visualizzato;
    Windows 10, Gestione dispositivi, Schede di rete
    FIG 2 - Windows 10, Gestione dispositivi, Schede di rete
  • Nella finestra relativa alle proprietà della periferica, cliccare sulla scheda Avanzate;
  • Dall'elenco delle proprietà selezionare Indirizzo rete. Al suo posto potremmo trovare la voce Locally Administered MAC Address o Network Address. Se non troviamo nessuna delle voci sopra riportare allora il driver della scheda di rete non consente la modifica del MAC address.
  • Nell'apposita casella della sezione Valore inserire un MAC address valido senza trattini o segni di punteggiatura (ad es. volendo inserire il MAC 00:50:56:C0:00:01 va inserito il valore 005056C00001) e confermare cliccando sul pulsante OK.
    Windows 10, Proprietà scheda di rete
    FIG 3 - Windows 10, Proprietà scheda di rete


In alternativa è possibile utilizzare uno dei tanti software che consentono la modifica del MAC address in ambiente Windows come il tool gratuito Technitium MAC Address Changer.
Technitium MAC Address Changer
FIG 4 - Technitium MAC Address Changer



mercoledì 20 febbraio 2019

Kali Linux: Installare TeamViewer da terminale

Da quando TeamViewer, il noto software per il controllo remoto, è stato rilasciato per le versioni Linux Debian e Ubuntu è possibile installarlo facilmente anche su Kali Linux.
La versione di TeamViewer per Linux è scaricabile da https://www.teamviewer.com/en/download/linux/ scegliendo tra la versione a 32 e quella a 64 bit.
Kali Linux, TeamViewer
FIG 1 - Kali Linux, TeamViewer

Di seguito verranno mostrati i comandi da eseguire per installare la versione a 64 bit di TeamViewer su Kali Linux tramite terminale:
  • Da terminale utilizzare il seguente comando wget per scaricare il pacchetto di installazione
    wget https://download.teamviewer.com/download/linux/teamviewer_amd64.deb

    Kali Linux, wget TeamViewer
    FIG 2 - Kali Linux, wget TeamViewer
  • Procedere con l'installazione eseguendo il comando
    dpkg -i teamviewer_amd64.deb

    Kali Linux, installazione pacchetto teamviewer
    FIG 3 - Kali Linux, installazione pacchetto teamviewer
  • Terminata l'installazione eseguire
    apt -f install
    per installare anche eventuali dipendenze dei pacchetti;
    Kali Linux, installazione dipendenze tramite apt -f install
    FIG 4 - Kali Linux, installazione dipendenze tramite apt -f install
  • Eseguire TeamViewer lanciando il comando
    teamviewer

    Kali Linux, avvio TeamViewer
    FIG 5 - Kali Linux, avvio TeamViewer
  • Nel caso in cui venga visualizzato il messaggio Teamviewer daemon not running eseguire il comando
    teamviewer --daemon enable




martedì 19 febbraio 2019

Windows 10: Immagine account utente

Windows 10, come tutti i sistemi operativi moderni dotati di interfaccia grafica, consente di attribuire un'immagine personalizzata all'account dell'utente. 
Per attribuire un'immagine al proprio account:
  • Avviare l'app Impostazioni (WIN+I) quindi cliccare su Account;
    Windows 10, Impostazioni - Account
    FIG 1 - Windows 10, Impostazioni - Account
  • Selezionare la sezione Le tue info quindi creare/impostare l'immagine desiderata tramite la fotocamera o selezionandola da un file in locale.

    FIG 2 - Windows 10, Le tue info
Windows gestirà autonomamente il taglio dell'immagine se questa supera le dimensioni di 448 pixel per lato, pertanto è meglio assicurarsi che l'immagine desiderata non venga compromessa dall'operazione (ad esempio preparandola prima utilizzando apposite applicazioni per l'editing delle immagini).
Anche se la schermata Le tue info (FIG 2) visualizza solo le ultime 3 immagini utilizzate, Windows archivia tutte le immagini di profilo (anche quelle non più utilizzate) all'interno della cartella %AppData%\Microsoft\Windows\AccountPictures.
Accedendo a tale cartella è possibile eliminare le immagini di profilo non più utilizzate oppure, eseguendo un doppio click su un'immagine e cliccando sul pulsante Cambia nella finestra di conferma, si può riassegnare una vecchia immagine all'account utente.
Windows 10, Riassegnare una vecchia immagine all'account utente
FIG 3 - Windows 10, Riassegnare una vecchia immagine all'account utente