Ransomware DoNotChange: Recuperare i dati

Il ransomware DoNotChange è stato individuato per la prima volta il 29 marzo 2017. Anche questo ransomware viene distribuito prevalentemente attraverso email di spam che sembrano provenire da mittenti attendibili come Amazon, PayPal, Facebook, Twitter e Microsoft. Se la vittima apre il file allegato ed esegue la macro, il ransomware si installa sulla macchina e provvede a cifrare i file sui dischi locali, sulle share di rete e sui dischi removibili utilizzando versioni custom di AES e RSA. 

I file interessati dal ransomware hanno le seguenti estensioni:
.3GP, .7Z, .APK, .AVI, .BMP, .CDR, .CER, .CHM, .CONF, .CSS, .CSV, .DAT, .DB, .DBF, .DJVU, .DBX, .DOCM, ,DOC, .EPUB, .DOCX .FB2, .FLV, .GIF, .GZ, .ISO .IBOOKS,.JPEG, .JPG, .KEY, .MDB .MD2, .MDF, .MHT, .MOBI .MHTM, .MKV, .MOV, .MP3, .MP4, .MPG .MPEG, .PICT, .PDF, .PPS, .PKG, .PNG, .PPT .PPTX, .PPSX, .PSD, .RAR, .RTF, .SCR, .SWF, .SAV, .TIFF, .TIF, .TBL, .TORRENT, .TXT, .VSD,.WMV, .XLS, .XLSX, .XPS, .XML, .CKP, .ZIP, .JAVA, .PY, .ASM, .C, .CPP, .CS, .JS, .PHP, .DACPAC, .RBW, .RB, .MRG, .DCX, .DB3, .SQL, .SQLITE3, .SQLITE, .SQLITEDB, .PSD, .PSP, .PDB, .DXF, .DWG, .DRW, .CASB, .CCP, .CAL, .CMX, .CR2.

A seconda della variante del ransomware ai file viene aggiunta l'estensione ".id-[id_vittima].cry" oppure ".Do_not_change_the_file_name.cryp". 

DoNotChange, per cifrare i dati, genera una chiave a 256-bit che non viene salvata in locale ma viene inviata ai server di Command and Control. Terminata la crittografia dei file viene visualizzato il messaggio di riscatto.

FIG 1 - Messaggio del riscatto del ransomware DoNotChange

Michael Gillespie ha creato il tool DoNotChangeDecrypter per decriptare i dati cifrati dal ransomware DoNotChange. Al momento il tool funziona prevalentemente con i file con estensione ".id-[id_vittima].cry".

L'utilizzo del tool è molto semplice. Una volta scaricato da QUI, scompattarlo ed eseguirlo. Cliccare su Select Directory per selezionare la cartella o il disco contenente i file criptati quindi cliccare su Decrypt per avviare il processo.

FIG 2 - DoNotChangeDecrypter

Google Chrome: Esportare ed importare le credenziali salvate

Le recenti versioni di Google Chrome dispongono di una nuova funzione che consente di esportare ed importare le credenziali di accesso ai siti web salvate all'interno del browser. Al momento si tratta ancora di una funzionalità sperimentale pertanto va abilitata manualmente eseguendo semplici passaggi:

• Avviare Chrome e nella barra degli indirizzi digitare chrome://flags/#password-import-export
• Individuare la sezione Importazione ed esportazione di password e modificare l'impostazione da Predefinito ad Attiva;
• Cliccare sul pulsante Riavvia Ora per rendere effettiva la modifica;
  

  

  FIG 1 - Google Chrome flags

• Al riavvio del browser digitare nella barra degli indirizzi chrome://settings/passwords in alternativa cliccare sul pulsante Personalizza e controlla Google Chrome (quello con i 3 puntini in alto a destra della finestra), Impostazioni -> Mostra impostazioni avanzate -> Gestisci password;
• Cliccare sul pulsante Esporta per esportare le credenziali all'interno di un file di testo in formato CSV (potrebbero essere richiesto di inserire le credenziali di accesso al sistema).
  

  

  FIG 2 - Google Chrome, Esporta credenziali salvate

In modo del tutto analogo, cliccando sul pulsante Importa, è possibile importare le credenziali precedentemente salvate all'interno di un file CSV.

ATTENZIONE!: Il file CSV non è altro che un file di testo non protetto. Le informazioni al suo interno sono in chiaro e possono essere lette con un semplice editor di testo da chiunque. Fare attenzione a dove si salva il file.

Windows 10: Forzare la visualizzazione della barra degli indirizzi all'avvio di Edge

Edge, il nuovo browser web della Microsoft, all'avvio non mostra la barra degli indirizzi come gli altri browser. Al momento non è possibile modificare tale comportamento tramite le opzioni del browser e l'unico modo è quello di procedere tramite il registro di sistema:

• Avviare l'editor del registro di sistema (WIN+R e digitare regedit seguito da invio); 
• Spostarsi sulla seguente chiave
  HKEY_CURRENT_USER\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\ServiceUI
• Creare un nuovo valore DWORD (32bit) e rinominarlo in StartPageAddressBarPinned;
• Cliccare 2 volte sull'elemento creato, assegnargli il valore 1 quindi cliccare su OK per confermare la modifica.
  

  

  FIG 1 - StartPageAddressBarPinned, Abilita barra indirizzi all'avvio di Edge

A questo punto avviando Edge verrà mostrata la barra degli indirizzi.

FIG 2 - Edge, barra degli indirizzi mostrata all'avvio del browser

Dal seguente link è possibile scaricare i file .reg per abilitare/disabilitare la visualizzazione della barra indirizzi all'avvio di Edge.
DOWNLOAD

Windows Quick Tip: Visualizzare un messaggio prima del login

Windows consente di impostare un messaggio da visualizzare ad ogni avvio del sistema prima della schermata di login degli utenti. Tale funzionalità è utile soprattutto in ambito aziendale per visualizzare un avviso prima che l'utente acceda al sistema. L'operazione può essere effettuata tramite l’editor dei criteri di gruppo locali (solo per le versioni Pro ed Enterprise del sistema operativo) oppure agendo tramite il registro di sistema (unica via percorribile nel caso di versioni Home/Basic di Windows)

Metodo 1: Tramite Editor dei criteri di gruppo locali

• Premere la combinazione di tasti WIN+R per aprire la finestra di dialogo Esegui e digitare gpedit.msc seguito da invio per aprire l'editor criteri di gruppo locali;
• Nell’elenco ad albero, presente sulla sinistra, raggiungere la sezione Configurazione computer->Impostazioni di Windows->Impostazioni sicurezza->Criteri locali->Opzioni di sicurezza;
• Nei criteri elencati nella parte destra della finestra, cercare Accesso interattivo: titolo del messaggio per gli utenti che tentano l’accesso e aprirlo tramite doppio click;
  

  

  FIG 1 - Accesso interattivo: titolo del messaggio per gli utenti che tentano l’accesso

• Nell'apposita casella digitare il titolo del messaggio da mostrare all'avvio (rappresenta il titolo della finestra di dialogo contenente il messaggio) e cliccare su OK per confermare;
  

  

  FIG 2 - Titolo del messaggio

• Aprire, tramite doppio click, il criterio Accesso interattivo: testo del messaggio per gli utenti che tentano l’accesso;
  

  

  FIG 3 - Accesso interattivo: testo del messaggio per gli utenti che tentano l’accesso

• Nell'apposita casella inserire il testo del messaggio che si intende visualizzare e cliccare su OK.

FIG 4 - Testo del messaggio

Metodo 2: Tramite registro di sistema

• Premere la combinazione di tasti WIN+R per aprire la finestra di dialogo Esegui e digitare regedit seguito da invio per avviare l'editor del registro di sistema;
• Posizionarsi sulla chiave
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
• Se non presente creare un nuovo valore STRINGA e rinominarlo in LegalNoticeCaption;
• Eseguire un doppio click su LegalNoticeCaption e, nella casella Dati valore, inserire il testo che rappresenterà il titolo della finestra di dialogo contenente il messaggio quindi cliccare su OK per confermare;
  

  

  FIG 5 - Registro di sistema, Titolo del messaggio

• Se non presente creare un nuovo valore STRINGA e rinominarlo in LegalNoticetText;
• Cliccare 2 volte su LegalNoticetText e, nella casella Dati valore, inserire il testo che rappresenterà il messaggio visualizzato. Confermare la modifica cliccando su OK.

Indipendentemente dal metodo utilizzato, riavviando il sistema il messaggio impostasto verrà visualizzato prima della schermata di logon.

FIG 6 - Messaggio visualizzato prima del login

Kali Linux: Recuperare le informazioni di un sito web utilizzando il Framework Katana

Per verificare l'attendibilità di un sito web può essere utile recuperare più informazioni possibili sul dominio. Informazioni come data di registrazione del dominio, intestatario, data di creazione e di scadenza, ecc. possono essere recuperate tramite lo strumento WHOIS. 

Online si trovano diversi servizi specializzati che offrono lo strumento WHOIS e, indicando il sito web che si intende verificare, visualizzano tutte le informazioni disponibili. In questo articolo mostrerò come recuperare tali informazioni utilizzando lo strumento Katana in Kali Linux.

Aggiornare Kali Linux

La prima operazione da effettuare è quella di aggiornare la distribuzione Kali Linux utilizzando i seguenti comandi da terminale
apt-get update
apt-get dist-upgrade

Installare Katana

Il passo successivo consiste nell'installazione del Framework Katana:

• Avviare il terminale;
• Digitare il comando
  git clone https://github.com/PowerScript/KatanaFramework.git
  seguito da invio e attendere il download del framework;
  

  

  FIG 1 - Download Framework Katana

• Accedere alla directory KatanaFramework con il comando
  cd KatanaFramework 
• Impostare i permessi sulla directory install con il comando
  chmod 777 install 
• Procedere con l'installazione eseguendo
  ./install 
  

  

  FIG 2 - Installazione Framework Katana

Recuperare le informazioni di un dominio tramite Katana

• Terminata l'installazione eseguire la console di Katana digitando
  ktf.console 
  
  

  

  FIG 3 - Console Framework Katana

• Per visualizzare i moduli messi a disposizione dal Framework digitare
  showm
  

  

  FIG 4 - Elenco moduli del Framework Katana

• Il modulo da utilizzare per il nostro scopo è web/whois. Avviarlo tramite il comando
  use web/whois
• Eseguire il comando set target seguito dal sito che si intende analizzare, ad es. set target www.example.com 
• A questo punto, per visualizzare le informazioni del sito web indicato nel passo precedente, basta digitare il comando run
  

  

  FIG 5 - Visualizzare le informazioni del sito web utilizzando il modulo web/whois

macOS Sierra: Disabilitare/Abilitare Gatekeeper

Gatekeeper è una funzione di sicurezza introdotta a partire da Mac OS X Leopard, e successivamente ampliata con l'integrazione di nuove funzionalità, che ha lo scopo di proteggere il sistema dall'installazione/esecuzione di app potenzialmente dannose:  vengono autorizzate solo le app scaricate dall'App Store e da sviluppatori riconosciuti.
Per disabilitare tale funzionalità e permettere l'installazione di app di terze parti è possibile procedere da Terminale.

FIG 1 - Gatekeeper

Disabilitare Gatekeeper

Da terminale eseguire il comando
sudo spctl --master-disable
Verrà richiesto di inserire la password di amministratore.

Abilitare Gatekeeper

Da terminale eseguire
sudo spctl --master-enable
e inserire la password di amministratore.

Verificare lo stato di Gatekeeper

Per verificare se Gatekeeper è abilitato o disabilitato, utilizzare il seguente comando da terminale
spctl --status

Windows: Session Hijacking utilizzando un account locale con i permessi di sistema

Alexander Korznikov, un ricercatore di sicurezza israeliano, ha di recente dimostrato come un account locale con elevati privilegi può eseguire l'hijacking delle sessioni di qualsiasi utente Windows loggato sulla postazione, persino di utenti con privilegi superiori o account di dominio.
In quest'articolo mostrerò quanto scoperto da Korznikov e vedremo come un account locale di Windows, con i permessi di sistema, può prendere il controllo di altre sessioni utente attive sulla postazione senza conoscerne la password.

ATTENZIONE:
Danneggiare o violare un sistema informatico (anche da remoto) rappresenta un reato penale. Le informazioni presenti in quest'articolo vanno utilizzate solo per testare/verificare sistemi di cui si è titolari. Declino ogni responsabilità civile e penale derivante da un utilizzo non legale delle informazioni presentate in questo articolo a solo scopo didattico.

La procedura  può essere eseguita sia utilizzando il Task Manager sia utilizzando Remote Desktop Protocol (RDP) tramite TSCON. In entrambi i casi è necessario procurarsi PSEXEC. L'utility può essere scaricata sia singolarmente da QUI sia come parte integrante della Sysinternals Suite.

Supponiamo che l'utente abbia bloccato il computer con la sua utenza (ad es. utilizzando la combinazione WIN+L o premendo CTRL+ALT+CANC e selezionando Blocca) e si sia allontanato dalla postazione. Possiamo prendere il controllo della sessione utente bloccata utilizzando uno dei seguenti metodi.

Metodo 1: Prendere il controllo della sessione dell'account vittima tramite il Task Manager

• Eseguire il logon con altro utente, amministratore locale della workstation.
  

  

  FIG 1 - Eseguire logon con altro account amministratore locale

• Avviare il Task Manager/Gestione attività e selezionare la scheda Utenti. Nella colonna ID prendere nota dell ID relativo all'account amministratore locale (in FIG 2 l'ID corrisponde ad 8).
  

  

  FIG 2 - Gestione attività, ID sessione utente amministratore locale

• Avviare il prompt dei comandi come amministratore.
• Accedere alla cartella contenente PSEXEC e utilizzarlo per lanciare il Task Manager con l'utenza System tramite il seguente comando
  psexec -s \\localhost -i 8 taskmgr
  dove 8 rappresenta l'ID recuperato nei passi precedenti. Cliccare sul pulsante Agree all'eventuale visualizzazione del messaggio relativo alle condizioni di licenza di PSEXEC.
  

  

  FIG 3 - Avvio del Task Manager con l'utenza System tramite PSEXEC

• Nella nuova finestra del Task Manager selezionare nuovamente la scheda Utenti, cliccare con il tasto destro del mouse sulla sessione della vittima di cui si vuole prendere il controllo e selezionare Connetti. A questo punto ci ritroveremo all'interno della sessione della vittima.
  
  

  

  FIG 4 - Connetti alla sessione della vittima tramite Task Manager/Gestione attività

Metodo 2: Prendere il controllo della sessione dell'account vittima tramite TSCON

• Aprire il prompt dei comandi come amministratore.
• Spostarsi nella cartella contenente PSEXEC  e utilizzarlo per aprire un prompt dei comandi con l'account System eseguendo
  psexec -s \\localhost cmd
• Per conoscere con quale utenza si sta lavorando eseguire il comando
  whoami
  Assicurarsi che in risposta si riceva nt authority\system.
• Digitare ed eseguire il comando
  query user
  e prendere nota dell'ID relativo alla sessione della vittima (In FIG 5 l'ID della vittima corrisponde a 9).
  

  

  FIG 5 - Recuperare l'ID della sessione della vittima

• Connettersi alla sessione della vittima eseguendo
  tscon 9 /dest:console
  dove 9 rappresenta l'ID della sessione verificata nel passo precedente. 

I metodi sopra descritti funzionano con tutte le versioni di Windows comprese le versioni Server.