Ransomware Vindows

Il ransomware Vindows è stato individuato per la prima volta dal ricercatore di sicurezza Jakub Kroustek di AVG. Il ransomware, realizzato in C#, agisce sui file aventi le seguenti estensioni:

txt, doc, docx, xls, xlsx, ppt, pptx, odt, jpg, png, csv, sql, mdb, sln, php, asp, aspx, html, xml, psd

Il ransomware, individuando tali file sul sistema, provvede a crittografarli utilizzando l'algoritmo AES e aggiungendo l'estensione .Vindows. Terminata questa operazione apparirà a video la seguente schermata (FIG 1) in cui in cui si invita l'utente a chiamare un servizio di supporto per sbloccare i file dopo il pagamento del riscatto di $349.

FIG 1 - Vindows si spaccia per un supporto tecnico e chiede soldi per il recupero dei file

Chiamando il numero indicato nel messaggio, risponde un'operatore di un call center (presumibilmente dislocato in India) che si spaccia per il servizio di assistenza Microsoft. L'operatore accede da remoto al computer della vittima, apre una pagina del supporto Microsoft per poi sostituirla con un indirizzo diverso ospitato da JotForm. In questo modo la vittima, credendo di trovarsi ancora sul sito Microsoft, compilerà il modulo mostrato a video con i propri dati personali.

FIG 2 - Vindows, viene richiesto di compilare un form con i propri dati e la carta di credito

All'interno del codice del ransomware sono presenti 2 API Pastebin (api_dev_key e api_user_key) utilizzate per salvare su una pagina Pastebin il nome del computer infetto e la chiave AES con cui sono stati crittografati i file.

Come Decriptare i file

Malwarebytes e un esperto di sicurezza indipendente @TheWack0lian, hanno rilasciato tool per decriptare le varianti di questo nuovo ransomware. Per recuperare i file criptati dal ransomware Vindows è possibile utilizzare uno dei seguenti tool:

• VindowsDecryptionTool di Malwarebytes 
• VindowsUnlocker di @TheWackOlian 

Il tool più semplice da utilizzare è VindowsUnlocker: una volta avviato basta cliccare sul pulsante Decrypt e attendere che termini il recupero dei file.

FIG 3 - VindowsUnlocker (Vindows Locker Decrypter)

Windows Quick Tip: Velocizzare la comparsa del pop-up menu

In ambiente Windows posizionando il mouse su un oggetto, come ad es. sulla data e ora nella system tray, dopo un pò appare un pop-up menu contenente del testo con maggiori informazioni sull'oggetto.

FIG 1 - Pop-up menu

Per anticipare o ritardare la visualizzazione del pop-up menu è possibile agire tramite il registro di sistema come indicato nei seguenti passaggi:

• Avviare l'editor del registro di sistema (WIN+R e digitare regedit seguito da invio);
• Posizionarsi su
  HKEY_CURRENT_USER\Control Panel\Mouse
• Modificare il Valore stringa nominato MouseHoverTime. Il valore di default è 400. Il valore indica il ritardo, espresso in millisecondi, nella visualizzazione del menu pertanto a valori più bassi corrisponde una maggiore velocità.

La modifica sarà effettiva al successivo logon.

FIG 2 - Editor del registro, MouseHoverTime

Android: Malware Gooligan, verificare se il proprio account è stato violato

A partire da Agosto 2016 oltre un milione di account Google sono stati violati al ritmo di 13.000 al giorno dal malware Gooligan.

Gooligan esegue il root dei dispositivi Android vulnerabili per rubare indirizzi email e i token utilizzati per l'autenticazione dell'utente sulla piattaforma di Google. Con tali informazioni il malintenzionato può accedere all'account Google della vittima e di conseguenza a tutti i dati sensibili (Gmail, Google Photos, Google Docs, Google Play, Google Drive, ecc) presenti; inoltre,  può eseguire comandi da remoto sul dispositivo infetto.

I dispositivi a rischio sono quelli su cui è installato Android 4 (Jelly Bean e KitKat) e Android 5 (Lollipop).

Il malware si annida su molte App presenti su App-Store di terze parti (alternative a Google Play) e può essere distribuito anche tramite phishing inviando alla vittima un collegamento all'app infetta. Una volta che l'applicazione infetta viene installata sul dispositivo, Gooligan si attiva e procede al download di un rootkit dai server Command and Control (C&C server). Il rootkit sfrutta le vulnerabilità di Android 4 e 5 non aggioranti utilizzando gli exploit VROOT (CVE-2013-6282) e Towelroot (CVE-2014-3153). L'attacco in molti casi riesce in quanto le patch di sicurezza che sistemano queste falle non sono state rilasciate per tutti i dispositivi Android o non sono state mai installate dagli utenti. Una volta eseguito il rooting, il malvivente ha pieno controllo del dispositivo è può eseguire comandi da remoto.
Dopo aver ottenuto l'accesso alla root, Gooligan scarica e installa un altro modulo dai server C&C che viene utilizzato per inserire codice malevolo all'interno dell'App Google Play. Questo permette a Gooligan di rubare l'email e il token utilizzati per l'autenticazione dell'utente, di installare e valutare le App da Google Play in modo da incrementarne il rating, di installare adware che visualizzano spot pubblicitari.

FIG 1 - Gooligan

Verificare se il proprio account è stato violato

Per verificare se il proprio account è stato violato basta andare su https://gooligan.checkpoint.com/ e inserire l'indirizzo email relativo al proprio account Google.

Nel caso in cui l'account risultasse violato è necessario effettuare un'installazione pulita di Android sul dispositivo (flashing della rom) e successivamente procedere al cambio della password dell'account Google.

FIG 2 - Gooligan Checker

Windows 10 Exploit: Bypassare BitLocker durante l'aggiornamento del sistema

Premendo la combinazione di tasti SHIFT+F10 quando Windows 10 sta effettuando un'aggiornamento ad una nuova Build, viene aperto una CLI (command-line interface) con i privilegi di SYSTEM. Tramite tale command-line è possibile avere pieno accesso al disco della workstation anche se protetto da BitLocker.
Durante l'update di Windows 10, infatti, il sistema operativo provvede a disabilitare BitLocker mentre Windows PE (Preinstallation Environment) installa una nuova immagine del sistema.

Un malintenzionato può forzare il sistema ad effettuare l'aggiornamento e, tramite SHIFT+F10, accedere all'intero contenuto del disco o rendere la propria utenza Amministratore del sistema.
La versione Windows 10 LTSB (Long time Servicing Branch) non sembra affetta da tale vulnerabilità.

La vulnerabilità è stata scoperta dall'esperto di sicurezza Sami Laiho e Microsoft sta lavorando ad una fix per sistemare il problema.
SCCM (System Center Configuration Manager) può bloccare l'accesso alla CLI durante l'update se sulle postazioni viene creato un file con nome DisableCMDRequest.tag all'interno della directory %windir%\Setup\Scripts\.

MS Word Quick Tip: Aggiungere il comando Calcola alla barra di accesso rapido

MS Word integra un comando per analizzare le espressioni inserite come testi all'interno del documento. Per aver a portata di click il comando può essere utile posizionarlo all'interno della barra di accesso rapido procedendo nel seguente modo:

• Da MS Word cliccare sulla freccia che punta verso il basso all'interno della barra di accesso rapido e, dal menu che appare, selezionare la voce Altri comandi...;
  

  

  FIG 1 - MS Word, Barra di accesso rapido, Altri comandi...

• Nella casella a discesa nominata Scegli comandi da, selezionare la voce Tutti i comandi;
• Nell'elenco sottostante sono elencati tutti i comandi in ordine alfabetico. Selezionare il comando Calcola e cliccare sul pulsante Aggiungi, quindi confermare l'operazione cliccando su OK;
  

  

  FIG 2 - MS Word, Aggiungere il comando Calcola alla barra di accesso rapido

• A questo punto all'interno della barra di accesso rapido apparirà una nuova icona a forma di un cerchio;
  

  

  FIG 3 - MS Word, barra di accesso rapido con comando Calcola

• Per utilizzare il comando basta selezionare l'espressione aritmetica presente all'interno del documento e cliccare sul pulsante appena aggiunto alla barra. Il risultato sarà visualizzato all'interno della barra di stato di MS Word.
  
  

  

  FIG 4 - MS Word, risultato del calcolo

Windows 10: Abilitare percorsi lunghi

Fin dai tempi di Windows 95, Microsoft ha imposto un limite sulla massima lunghezza dei percorsi in Windows. Tale imposizione non è dovuta ad un limite intrinseco del file system utilizzato bensì ad una decisione arbitraria. In Windows 10 è possibile abilitare i percorsi lunghi (rimuovendo il limite massimo di 260 caratteri) seguendo le indicazioni riportate di seguito.

• Assicurarsi che il sistema operativo sia aggiornato;
• Avviare l'editor del registro di sistema (WIN+R e digitare regedit seguito da invio);
• Posizionarsi su 
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem
• Individuare il valore LongPathsEnabled. Eseguire un doppio click sull’elemento e, nella casella Dati valore, sostituire il valore 0 con 1.
• Riavviare il sistema per rendere la modifica effettiva.

La modifica può provocare problemi di compatibilità con applicazioni a 32bit obsolete.

Cliccando sul link di seguito è possibile scaricare i file .reg per abilitare/disabilitare i percorsi lunghi in Windows 10.
DOWNLOAD

FIG 1 - Windows 10, abilitare percorsi lunghi tramite LongPathsEnabled

Android: Resettare Google Play Services e Google Play Store

Può capitare che sui dispositivi Android non si riesca più ad installare nuove APP dal Play Store nonostante lo spazio libero disponibile. In questi casi la prima operazione da eseguire per tentare di risolvere il problema consiste nel resettare alcuni componenti del sistema Android legati al download delle nuove applicazioni come Google Play Services e Google Play Store.

Per effettuare il reset di tali componenti, accedere alla finestra Impostazioni e posizionarsi sulla pagina contenente le informazioni delle APP installate.
Scorrere l'elenco e cercare Google Play Store. All'interno della pagina contenente le informazioni di Google Play Store è disponibile un pulsante che permette di disinstallare gli aggiornamenti dell'APP.

FIG 1 - Android, informazioni su Google Play Store

Terminata la disinstallazione degli aggiornamenti di Google Play Store, ritornare alla schermata precedente e cercare Google Play Services. In questo caso è sufficiente procedere alla cancellazione della cache tramite l'apposito tasto.

FIG 2 - Android, informazioni su Google Play Services

Windows 10: Resettare Cortana tramite PowerShell

Per resettare e ripristinare Cortana a seguito di un malfunzionamento è possibile agire tramite PowerShell.

Avviare PowerShell come amministratore: Dal menu Start ricercare PowerShell quindi cliccare sul collegamento con il tasto destro del mouse, selezionare Esegui come amministratore e accettare al messaggio del UAC (Controllo dell'account utente). 

FIG 1 - Windows 10: Avviare PowerShell come amministratore

Registrare Cortana eseguendo il comando
Get-AppXPackage -Name Microsoft.Windows.Cortana | Foreach {Add-AppxPackage -DisableDevelopmentMode -Register "$($_.InstallLocation)\AppXManifest.xml"}

La registrazione provvede a resettare e ripristinare l'APP Cortana.

FIG 2 - Windows 10: Reset Cortana tramite PowerShell

Windows 10: Abilitare la shell Bash su Windows 10 Anniversary Update

Una delle novità introdotte (in maniera definitiva) in Windows 10 Anniversary Update è la shell Bash caposaldo di molte distribuzioni Linux. Questa nuova funzione sarà prevalentemente apprezzata dagli utenti più evoluti che utilizzano anche l'ambienta Unix/Linux.

La shell Bash è stata inserita in Windows 10 come componente opzionale e non è attiva di default; per abilitarla:

• Accedere alla finestra Programmi e funzionalità (WIN+R e digitare Appwiz.cpl seguito da invio);
  

  

  FIG 1 - Esegui, Appwiz.cpl

• Nella finestra Programmi e funzionalità cliccare sul link Attivazione o disattivazione delle funzionalità di Windows presente sul lato sinistro;
  

  

  FIG 2 - Windows 10, Attivazione o disattivazione delle funzionalità Windows

• Nella finestra Funzionalità Windows, spuntare la voce Sottosistema Windows per Linux e confermare cliccando su OK;
  

  

  FIG 3 - Windows 10, Sottosistema Windows per Linux

• Verrà richiesto di riavviare il sistema. Cliccare su Riavvia ora per procedere con il riavvio.

Prima di poter completare l'installazione della shell Bash è necessario abilitare la Modalità sviluppatore:

• Dal menu Start selezionare Impostazioni e cliccare su Aggiornamento e sicurezza;
  

  

  FIG 4 - Windows 10, Impostazioni - Aggiornamento e sicurezza

• Cliccare sul link Per sviluppatori presente sul lato sinistro della finestra, quindi, sul lato destro, abilitare la voce Modalità sviluppatore;
  

  

  FIG 5 - Windows 10, Modalità sviluppatore

• Alla richiesta di conferma relativa all'attivazione cliccare su Si.
  

  

  FIG 6 - Windows 10, Conferma attivazione modalità sviluppatore

Una volta abilitata la modalità sviluppatore si procede all'installazione di Ubuntu on Windows:

• Avviare il prompt dei comandi (WIN+R e digitare cmd seguito da invio);
• Digitare ed eseguire il comando Bash;
• Al primo avvio verrà chiesto di installare Ubuntu on Windows. Confermare digitando S seguito da invio. Verrà avviato il download dei componenti dal Windows store.
  

  

  FIG 7 - Windows 10, installazione Ubuntu on Windows

• Al termine del download verrà richiesto di inserire un nuovo nome utente UNIX (ad es. possiamo inserire root).
  

  

  FIG 8 - Windows 10, Nuovo nome utente Unix

A questo punto possiamo utilizzare i classici comandi della shell Unix/Linux come ls, cp, rm e anche utilizzare una versione specifica del package manager Apt.

Dalla shell Bash possiamo lanciare i seguenti 2 comandi per aggiornare tutti i pacchetti installati alle versioni più recenti
sudo apt-get update
sudo apt-get upgrade

FIG 9 - Aggiornare i pacchetti con apt-get update e apt-get upgrade

La shell Bash consente di creare script che possono essere avviati anche dal Prompt dei comandi utilizzando il comando
bash -c "/path/to/script.sh"

Windows Quick Tip: Visualizzare informazioni su un file WIM (Windows Imaging)

Il formato Windows Imaging (WIM) è un formato dell'immagine disco basata su file sviluppato dalla Microsoft per distribuire i suoi sistemi operativi. Il primo sistema operativo ad essere distribuito in tale formato è stato Windows Vista.

Sui supporti di installazione dei sistemi operativi Microsoft il file WIM è generalmente nominato in install.wim e si trova all'interno della cartella Sources. É facilmente riconoscibile sia dall'estensione .WIM sia dalla sua dimensione (si tratta del file più grande presente all'interno del supporto).

Per recuperare o modificare le informazioni contenute nei file WIM viene utilizzato il Deployment Image Service and Management Tool (DISM). 

Tra le informazioni visualizzabili tramite DISM troviamo il nome del sistema operativo, versione, architettura, dimensione e data di creazione del file WIM.

Per visualizzare tali informazioni basta eseguire pochi e semplici passaggi:

• Avviare il Prompt dei comandi (come amministratore);
• Eseguire il comando
  Dism /Get-WimInfo /WimFile:X:\sources\install.wim /index:1
  ovviamente sostituendo a X:\sources\install.wim il percorso e il nome del file .wim che si intende analizzare.

FIG 1 - DISM, visualizzare informazioni su file WIM

PowerShell: Mandare in stampa determinati file presenti in una cartella

Per mandare in stampa un determinato file utilizzando PowerShell è possibile utilizzare il comando
Start-Process -FilePath <path_e_nome_file> –Verb Print

Ad es. per stampare il file c:\temp\list.pdf il comando da eseguire è
Start-Process -FilePath c:\temp\list.pdf –Verb Print

Il file verrà aperto, mandato in stampa sulla stampante predefinita e quindi verrà chiuso.

Per stampare tutti i file PDF contenuti nella cartella c:\temp\ 
Dir c:\temp\*.pdf | Foreach-Object { Start-Process -FilePath $_.FullName –Verb Print }

FIG 1 - PowerShell, stampare tutti i file PDF presenti in una cartella

In caso di file di solo testo si può scegliere di utilizzare i cmdlet Get-Content e Out-Printer
Get-Content c:\temp\list.txt | Out-Printer

PowerShell: Visualizzare il tipo di avvio e lo stato dei servizi di sistema utilizzando Get-WMIObject

Per visualizzare lo stato dei servizi di Windows e il relativo tipo di avvio impostato è possibile utilizzare il cmdlet di PowerShell Get-WMIObject.
Da PowerShell eseguire il comando
Get-WMIObject Win32_Service | Select-Object Name, StartMode, State

Se si intende visualizzare le informazioni relative ad un solo servizio possiamo filtrare il risultato con Where {$_.name -eq "Nome_Servizio"}. 
Ad es. volendo visualizzare il tipo di avvio e lo stato del servizio Spooler eseguiamo il comando
Get-WMIObject Win32_Service | Where {$_.name -eq "Spooler"} | Select-Object Name, StartMode, State

FIG 1 - PowerShell, visualizzare il tipo di avvio e lo stato di un servizio

In modo analogo è possibile visualizzare solo i servizi in esecuzione utilizzando il filtro Where {$_.state -eq "Running"}
Get-WMIObject Win32_Service | Where {$_.state -eq "Running"} | Select-Object Name, StartMode, State

oppure quelli che hanno impostato come tipo di avvio Automatico con Where {$_.StartMode -eq "Auto"}
Get-WMIObject Win32_Service | Where {$_.StartMode -eq "Auto"} | Select-Object Name, StartMode, State

Per utilizzare più condizioni nello stesso comando basta utilizzare -and. Ad es., lanciando il seguente comando uniamo le 2 condizioni viste precedentemente e verranno mostrati tutti i servizi in esecuzione che hanno impostato come tipo di avvio Automatico
Get-WMIObject Win32_Service | Where {$_.state -eq "Running" -and $_.StartMode -eq "Auto"} | Select-Object Name, StartMode, State

Per visualizzare le informazioni relative ai servizi di una macchina remota, basta utilizzare il parametro -Computer specificando il nome o l'indirizzo IP della postazione. Ad es. volendo verificare il servizio Spooler sulla postazione Server1 il comando da utilizzare è il seguente:
Get-WMIObject Win32_Service -Computer Server1 | Where {$_.name -eq "Spooler"} | Select-Object Name, StartMode, State

Windows Quick Tip: Visualizzare informazioni sulla scheda madre utilizzando WMIC

Tramite WMIC (Windows Management Instrumentation Command-line) è possibile visualizzare informazioni sulla scheda madre del sistema. Per farlo basta lanciare il seguente comando dal Prompt dei comandi

WMIC baseboard get Manufacturer, Model, Name, PartNumber, serialnumber

Per visualizzare le informazioni della scheda madre di workstation/server remoti, basta aggiungere a WMIC il parametro /Node: indicando il nome della worstation/server remoto:

WMIC /node:<nome_wks> baseboard get Manufacturer, Model, Name, PartNumber, serialnumber

ad es., supponiamo di volere visualizzare le informazioni della scheda madre del server Server1, il comando da eseguire sarà

WMIC /node:Server1 baseboard get Manufacturer, Model, Name, PartNumber, serialnumber

FIG 1 - WMIC baseboard

Le informazioni visualizzate non saranno dettagliate come quelle visualizzate da appositi programmi di terze parti (come AIDA64 o HWiNFO) ma consentono comunque di avere un'idea sull'hardware installato.

Windows Quick Tip: Disabilitare il riavvio automatico in caso di errori di sistema (BSOD)

Per impostazione di default, Windows si riavvia automaticamente quando si verifica un errore di sistema con schermata blu (BSOD -  blue screen of death). Prima di riavviarsi, il sistema provvede a generare file di dump contenenti dettagli sull'errore consentendo in questo modo ai sistemisti l'analisi del problema. Può capitare che l'operazione sia talmente veloce da non permettere di leggere il messaggio a video oppure, in alcuni casi, il file di dump non viene creato rendendo difficile la ricerca della causa scatenante dell'errore. In questi casi può essere utile disabilitare il riavvio automatico a seguito  di errori di sistema procedendo nel seguente modo:

• Accedere alla finestra Proprietà del sistema (WIN+R e digitare SystemPropertiesAdvanced seguito da invio);
  
  

  

  FIG 1 - SystemPropertiesAdvanced

• Nella scheda Avanzate cliccare sul pulsante Impostazioni presente nella sezione Avvio e ripristino;
  
  

  

  FIG 2 - Proprietà del sistema

• Rimuovere la spunta alla voce Riavvia automaticamente presente nella sezione Errori di sistema e cliccare su OK per confermare l'impostazione.
  

  

  FIG 3 - Riavvia automaticamente

• Riavviare il sistema per rendere effettiva la modifica.

Da questo momento in poi al verificarsi di un errore di sistema con conseguente schermata blu, il sistema non verrà riavviato automaticamente.

Windows 10: Disabilitare la visualizzazione dell'immagine di sfondo nella schermata di logon

Nella schermata di logon, Windows 10 visualizza un'immagine di sfondo che può essere rimossa agendo tramite l'editor del registro di sistema:

• Avviare l'editor del registro di sistema (WIN+R e digitare regedit seguito da invio);
• Posizionarsi su
  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System
• Creare, nel caso in cui non fosse già presente, un nuovo Valore DWORD (32 bit), assegnargli il nome DisableLogonBackgroundImage e settarlo a 1.

FIG 1 - Windows 10, Immagine di sfondo nella schermata di logon

Al successivo riavvio del sistema l'immagine di sfondo non sarà più visualizzata.

FIG 2 - Windows 10, Immagine di sfondo rimossa dalla schermata di logon

Per ripristinare la visualizzazione del wallpaper, basta eliminare il valore DisableLogonBackgroundImage.

Dal seguente link è possibile scaricare i file .reg per disabilitare/abilitare la visualizzazione dell'immagine di sfondo nella schermata del logon.
DOWNLOAD

Windows Quick Tip: Velocizzare l'apertura dei menu agendo tramite il registro di sistema

Le ultime versioni di Windows sono abbastanza snelle e veloci nella visualizzazione degli elementi a video ma la reattività può essere ulteriormente migliorata agendo tramite il registro di sistema. In questo articolo mostrerò come velocizzare la visualizzazione dei menu. É possibile eseguire l'operazione indicata su tutte le versioni di Windows da XP, Vista, Windows 7, 8, 8.1 e 10.

• Avviare l'editor del registro di sistema (WIN+R e digitare regedit seguito da invio);
• Posizionarsi su
  HKEY_CURRENT_USER\Control Panel\Desktop
• Creare, se non presente, un nuovo Valore stringa,  rinominarlo in MenuShowDelay  e assegnargli un valore compreso tra 0 e 600 (il valore di default è 400). Il valore indica il ritardo, espresso in millisecondi, nella visualizzazione del menu pertanto a valori più bassi corrisponde una maggiore velocità.

La modifica diventerà effettiva al successivo logon.

FIG 1 - Windows, velocizzare la visualizzazione dei menu

Windows 10: Aumentare la trasparenza della Barra delle Applicazioni tramite registro di sistema

In Windows 10 è possibile aumentare la trasparenza della Barra delle Applicazioni agendo tramite il registro di sistema:

• Avviare l'editor del registro di sistema (WIN+R e digitare regedit seguito da invio);
• Posizionarsi su
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
• Creare, nel caso in cui non fosse già presente, un nuovo Valore DWORD 32 bit), assegnargli il nome UseOLEDTaskbarTransparency e settarlo a 1.

Affinché le modifiche diventino effettive è necessario disconnettersi/riconnettersi al sistema o riavviare il processo Explorer.exe.

FIG 1 - Windows 10, Aumentare la trasparenza della Barra delle Applicazioni

Per ripristinare l'impostazione di default basta eliminare il valore  UseOLEDTaskbarTransparency creato.


Dal link che segue è possibile scaricare i file .reg per aumentare e ripristinare la trasparenza della Barra delle Applicazioni
DOWNLOAD

Windows 10: Rimuovere l'icona del disco rimovibile da Questo PC

Quando viene collegato un disco rimovibile su un sistema Windows 10 in Esplora file (Esplora Risorse) viene riportato 2 volte nel Navigation Pane: viene riportato sia all'interno di Questo PC che come icona/collegamento a se stante.

FIG 1 - Windows 10, disco rimovibile riportato 2 volte nel Navigation Pane

Per rimuovere la doppia icona del disco rimovibile mantenendo solo quella presente in Questo PC è possibile agire tramite registro di sistema:

• Avviare l'editor del registro di sistema (WIN+R e digitare regedit seguito da invio);
• Posizionarsi su
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\DelegateFolders;
• Eliminare la chiave {F5FB2C77-0E2F-4A16-A381-3E560C68BC83};
• Nel caso di Windows 10 a 64 bit la stessa chiave va eliminata anche da
  HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\DelegateFolders

FIG 2 - Windows 10,  rimuovere la chiave {F5FB2C77-0E2F-4A16-A381-3E560C68BC83} dal registro di sistema

La modifica sarà subito attiva e non è necessario procedere al riavvio del sistema.

FIG 3 - Windows 10, disco rimovibile visualizzato una sola volta nel Navigation Pane

Per chi è poco pratico con il registro di sistema può scaricare i file .reg per abilitare/disabilitare la visualizzazione della doppia icona del disco rimovibile in Windows 10 tramite il seguente link
DOWNLOAD

Kali Linux: Clonare un sito per rubare le credenziali utilizzando SET

In questo articolo mostrerò come viene utilizzato uno degli strumenti del Social-Engineer Toolkit (SET) per realizzare un attacco basato sul phishing. In pratica si procede alla clonazione della pagina di inserimento credenziali di un sito (ad es. facebook) e a creare un'apposito collegamento a tale pagina. Quando un utente sprovveduto accederà alla pagina clonata e inserirà le credenziali, queste verranno memorizzate sul sito esca.

ATTENZIONE:

Danneggiare o violare un sistema informatico (anche da remoto) rappresenta un reato penale. Le informazioni presenti in quest'articolo vanno utilizzate solo per testare/verificare sistemi di cui si è titolari. Declino ogni responsabilità civile e penale derivante da un utilizzo non legale delle informazioni presentate in questo articolo a solo scopo didattico.

La prima operazione da effettuare consiste nel verificare se Kali Linux e SET siano aggiornati. Per aggiornare il sistema operativo e il toolkit SET rimando all'articolo Kali Linux: Messaggio "Something went wrong, printing the error: name 'src' is not defined" nell'utilizzo di SET presente su questo blog.

Vediamo passo passo come si prepara l'attacco.

• Da terminale lanciare SET eseguendo il comando
  setoolkit
• Accettare le condizioni del servizio se visualizzate;
• Avviare l'opzione 1) Social-Engineering Attacks;
  

  

  FIG 1 - SET, Social-Engineering Attacks

• Nel menu successivo selezionare l'opzione 2) Website Attack Vectors;
  

  

  FIG 2 - SET, Website Attack Vectors

• Scegliere l'opzione 3) Credential Harvester Attack Method;
  

  

  FIG 4 - SET, Credential Harvester Attack Method

• Per procedere alla clonazione di una pagina di un sito è necessario selezionare l'opzione 2) Site Cloner;
  

  

  FIG 5 - SET, Site Cloner

• Nella schermata successiva ci viene chiesto di inserire il proprio indirizzo IP. La vittima si connetterà alla pagina clonata sulla nostra macchina, quindi viene richiesto il nostro IP.
  

  

  FIG 6 - SET, IP

• Successivamente viene richiesto di indicare la pagina da clonare. (Ad es. inserire https://www.facebook.com);
  

  

  FIG 7 - SET, Clonazione del sito

• Per poter funzionare questo tipo di attacco richiede che il servizio Apache sia avviato, in caso contrario verrà richiesto se si intende avviarlo. All'eventuale richiesta rispondere affermativamente.
  

  

  FIG 8 - SET, avvio di Apache

Adesso il sito clonato gira sul nostro server Apache all'indirizzo IP specificato. Non resta che mascherare l'IP all'interno di un link e inviarlo alla vittima. Cliccando sul link, il malcapitato si ritroverà davanti la pagina clonata del tutto simile all'originale.

FIG 9 - Pagina clonata

Quando la vittima proverà ad inserire le proprie credenziali queste verranno sia visualizzate sul terminale di Kali Linux sia salvate all'interno di un file di testo dal nome harvest<data_e_ora>.txt in /var/www/html mentre l'utente verrà dirottato sul sito originale.

FIG 10 - Credenziali catturare visualizzate nella finestra del terminale

FIG 11 - File contenente le credenziali catturate