LECS vola a DUBAI #2022
Hello everyone, it is pleasure to report that we have brought LECS Technology to Dubai ! After a selection, thanks to ITA/ICE (Italian Trade Agency) and Marche Region, we are at Gitex 2022 in the UAE to open new markets. Follow us on social for more information. #staysafe #LECS #cybersecurity Alessio
LECS vola in Europa #2 – Francia
Parigi – 19/06/22 E’ stato un onore essere invitati a partecipare al Viva Tech di Parigi nella date dal 15-18 Giugno. Presentare la tecnologia LECS anche in Francia ha permesso di arrivare a molti contatti per l’ export della tecnologia anche a Paesi molto stretti al commercio Francese. Inoltre, abbiamo ricevuto ben 3 Ministeri nel nostro stand, tra cui il Ministere des Armees e dell’ Economia al quale abbiamo presentato la nostra soluzione per ambiti Governativi. Stay tuned! Alessio
LECS vola in Europa – Germania
30/05/2022 Hannover, Germania Siamo orgogliosi di essere stati selezionati e quindi invitati Istituzionalmente a partecipare all’ Hannover Messe dal 30/05/2022 al 02/06/2022 con lo scopo di portare la tecnologia LECS all’estero. Molte industrie 4.0 ad oggi risultano completamente scoperte su un profilo di Cyber Security, pertanto crediamo fermamente che la tecnologia LECS aiuta concretamente le filiere produttive sia per il monitoraggio e Detection che nella fase di Response in modo del tutto automatico, abbattendo così enormi costi di implementazione e manutenzione. #StayTuned #StaySafe Alessio
Smartphone VS LECS
Update: 13/05/2022 Lo smartphone può essere un vettore di attacco? Si! Con l’incredibile aumento superficie d’attacco data dalla digitalizzazione, 4.0, Smart Work, BYOD, VPN… sono aumentati anche le tipologie ed i vettori d’attacco. Per questo troviamo IoT usati per attacchi DDoS e smartphone per fare pivoting. LECS con il suo controllo capillare all’ interno della rete, è indifferente alla tipologia di device. Per questo riesce a riconoscere pattern d’attacco usati nel mondo mobile come iOS o Android collegati alla rete wireless. Un esempio: Recentemente abbiamo inserito anche la detection dello spyware Origami che esegue connessioni TLS SNI. #staysafe Alessio
NEW UPDATE: Aggiornamento alla UI Reseller
Per tutti i clienti Reseller che hanno la Dashboard abilitata, dal 05/04/2022 è disponibile una nuova funzionalità di visualizzazione: Tiresia Intelligent Engine oltre ad altre ottimizzazioni UI. Changelog: Tiresia è il motore a valle di ottimizzazione intelligente della detection di LECS, con il preciso scopo di migliorare e sensibilizzare il rilevamento delle minacce eseguendo specifici matching tra la rete locale d’installazione e feed proprietari e globali di Intelligence. Proprio per questo è possibile avere immediatamente nella Dashboard, appena sotto i grafici, il report di quanto l’algoritmo sta monitorando, evidenziandolo tra tutti i LOG. Nuova Categoria “Minacce Gravi”: Nel menù laterale della Dashboard, si trova una modifica alla visualizzazione e classificazione dei pattern di LECS. Qui, sono riportati i LOG critici che hanno innescato la contromisura di LECS. Nel caso di LECS+, si attua la contromisura energetica, mentre nel caso del LECS normale, la contromisura procedurale. E’ contestuale anche l’invio di una mail di notifica immediata in questi casi. Nuova Categoria “Anomalie” (da Bassi): In questa categoria si trovano tutte le anomalie rilevate, utili per network debug o monitoraggi di protocolli e movimenti specifici all’interno della rete. Q&A Nei casi riportati nella tabella di Tiresia, LECS è intervenuto? Lo scopo di Tiresia Intelligent Engine è quello di fornire un’evidenza specifica di criticità che richiedono di essere analizzate a fondo rispetto ad altre. Dove trovo i LOG di quanto LECS è intervenuto con la contromisura? Nella voce di menù laterale “Minacce Gravi” sono riportate le minacce dove LECS è intervenuto con la contromisura elettrica (LECS+) o procedurale (LECS). #StaySafe Alessio
Tips: LECS e VLAN
Le reti VLAN permettono di eseguire segmentazioni di rete all’interno di una LAN. Queste tecnologie permettono quindi di poter gestire in modo molto più efficace network grandi (e non solo). I vantaggi di LECS Il posizionamento e l’approccio operativo che ha LECS, permette di monitorare costantemente diversi segmenti di VLAN, tutto senza “intromettersi” nella comunicazione o cambiando alcuna configurazione a riguardo, grazie all’ approccio stealth che la nostra tecnologia permette. Pertanto che l’ambiente d’implementazione abbia 1 rete singola o sia suddivisa in 15 VLAN differenti, è assolutamente indifferente per LECS. #staysafe Alessio
LECS Update
𝗨𝗽𝗱𝗮𝘁𝗲: – New detection of CVE-2022-25064 for TP-LINK device – New detection for Ghostwriter – New detection Kimsuky for Data Exfiltration #staysafe Alessio
Relevant Threat Update of Week: Cisco, Gamaredon e Exchange
Gamaredon APT Le tensioni nell’ est Europa si fanno sentire anche su un piano cibernetico. Difatti molti ricercatori hanno trovato IOC specifici e riconducibili al noto gruppo. ID G0047 CVSS 9 Exploitation vector Network “Gamaredon Group is a threat group that has been active since at least 2013 and has targeted individuals likely involved in the Ukrainian government. The name Gamaredon Group comes from a misspelling of the word “Armageddon”, which was detected in the adversary’s early campaigns.“ – Attack MITRE – Group Abbiamo inserito diversi IOC negli aggiornamenti di LECS per riconoscere le firme di questo gruppo APT. Cisco SD-WAN vManage Classificazione: CVE-ID CVE-2020-26073 CVSS Reserved (NIST) Exploitation vector Network Cisco SD-WAN vManage Software potrebbe consentire a un utente malintenzionato remoto di attraversare le directory del sistema, a causa di una convalida impropria della richiesta dell’utente alle interfacce programmatiche delle applicazioni (API). Un utente malintenzionato potrebbe inviare una richiesta URL appositamente elaborata contenente sequenze di “dot dot” (/../) per ottenere l’accesso a informazioni sensibili. In questi casi specifici il device LECS riconosce i tentativi di sfruttamento di questa pericolosa minaccia impedendo e bloccando che l’exploit vada a segno. Microsoft Exchange Server OWA GetWacUrl “Microsoft Exchange Server è un software di rete per consentire la collaborazione in linea tra vari utenti di un’organizzazione (impresa, ente, ecc.). È stato introdotto sul mercato da Microsoft nel 1996 come diretto concorrente di programmi quali Lotus Notes/Domino server di IBM e FirstClass Suite di OpenText. Il suo uso è molto diffuso nelle realtà aziendali in cui sono implementate infrastrutture informatiche basate su prodotti e tecnologie Microsoft (reti Microsoft).” – Wikipedia CVE-ID CVE-2020-17143 CVSS 8.8 Exploitation vector Network Attualmente non sono presenti dal portale Microsoft exploit specifici. In ogni caso il device LECS risponde a questa CVE, riconoscendola ed intervenendo di conseguenza per proteggere la rete, in quanto è sintomo di una possibile compromissione in corso. LECS SOC Team Alessio
LECS VS Malware type: Ransomware
LECS VS Ransomware La definizione: Il ransom malware, o ransomware, è un tipo di malware che blocca l’accesso ai sistemi o ai file personali degli utenti e chiede il pagamento di un riscatto per renderli nuovamente accessibili. Le prime varianti di ransomware risalgono alla fine degli anni ’80, e i pagamenti dovevano essere effettuati tramite posta. Oggi, il pagamento del riscatto viene richiesto mediante criptovaluta o carta di credito. Impatto ed evoluzione L’ impatto che tale minaccia può avere sui sistemi (e sui dati) può essere devastante, e purtroppo lo è nella stragrande maggioranza dei casi, statistiche alla mano. Cifrare i dati comporta blocchi operativi devastanti ed esosi in termini economici per un azienda. Cosa giustifica tale “successo” di questa minaccia, è l’ unione del fattore capillarizzazione dell’IT, smart work e 4.0. Tale estensione ha permesso un ingrandimento della superficie d’attacco ed un correlato numero sempre maggiore di possibili vittime di attacchi social engineering. Difatti, il principale vettore di attacco preferito attualmente è il phishing in ogni sua forma (vishing, whaling, spear…) ma ovviamente non si escludono molti altri vettori, come P2P illegale, webpage compromesse, ed in certi casi anche periferiche fisiche come le chiavette USB e memorie di massa, fino ad arrivare agli approcci gestionali aziendali “BYOD”. Analisi tecnica da un punto di vista del network security L’impatto di un ransomware su un singolo client è indubbiamente pericoloso, ma considerando l’ipotesi (realistica) di un’infezione di rete e quindi infezione massiva di n device significa un blocco completo operativo di intere infrastrutture, compiuto nel giro di pochi minuti. I ransomware sono malware evoluti, difatti portano con loro una serie di algoritmi che eseguono strategiche operazioni in relazione alla kill-chain. Lo scopo infatti è infettare quanti più host possibili per diminiure la possibilità di recupero ed aumentare le probabilità che il riscatto venga pagato. Pertanto non si limitano a compromettere solo i file del primo host, ossia il “paziente zero” ma anche tutti i backup in LAN, shared fodler di altri host, database, fino a raggiungere criticità di Directory AD e sistemi Cloud in alcuni casi. La Kill Chain La catena di attacco di un ransomware è ben definita e segue specifiche operazioni per arrivare al “Pay Day”. -Thanks: CyberVPN LECS VS Advanced Ransomware Ovviamente il primo step, è quello dell’infezione. Come anticipato nel paragrafo precedente i vettori principali sono mail di Phishing e tutto ciò che riguarda l’interazione diretta con l’utente esposto a social engineering. Quindi email, link malevoli e molto altro sono i preferiti dai cyber criminali, questo perché l’utente medio purtroppo cade molto spesso nella trappola nel phishing dando inizio allo step 1. Generalmente sono file PDF o documenti di varia natura, inclusi compressi (zip, 7z…), che una volta aperti danno inizio all’infezione. Gli attacchi via phishing, non solo fanno si che la minaccia abbia successo ma agevola tutte le manovre di bypassing/evasion da parte della minaccia. Questo perché è chiaramente più articolato mettere in piedi un attacco ad-hoc contro i PPS – servizi e protocolli- o addirittura attacchi alla supply-chain con un malware sviluppato a misura. Con una mail si bypassano le misure di sicurezza molto più facilmente. La mail infatti bypassa e sfugge completamente alle comuni misure di sicurezza perimetrali, arrivando direttamente all’ host target per dare il via alla sua esecuzione e quindi, all’inizio dell’infezione. A questo punto, dovremmo affidarci a sistemi di protezione endpoint locali, come gli antivirus. Come mai allora spesso non riescono a fermare queste minacce? I ransomware odierni sfruttano tecniche avanzate di obfuscation ed evading per compromettere il sistema senza fare trigger di sistemi di protezione, pertanto è molto complesso fare la detection di un codice cifrato che lavora in background, e proprio per questo siamo già entrati nella terza fase della kill-chain. Analizzando a fondo un malware del genere, ci si rende conto della complessità ed articolazione delle operazioni che possono eseguire. Al contrario di quanto si può pensare, questa minaccia su un piano tecnico non si limita a cifrare, difatti integra molti altri svariati algoritmi, ognuno con un target operazionale ben preciso e di diversa natura. Procedure e script di C2C (command & control), scanning, privilege escalation e molto altro permetto alla stessa cyber threat di progredire nei sistemi sia locali che di rete per arrivare al goal finale di compromissione totale. Una volta preso il possesso della macchina infatti, la minaccia eseguirà movimenti laterali sul network al fine di trovare ulteriori bersagli per importanza più delicati e sensibili, come file server AD o LAN storage di backup (come i NAS), mettendo completamente sotto scacco un’ intera azienda una volta infettati. Questi ransomware possono portare con sé anche strumenti di exploit specifici per certi PPS per continuare l’ infezione, come è accaduto per il famosissimo Emotet ed in molti altri casi. Proprio qui inizia ad interviene il sistema LECS, l’ultimo baluardo di cyber defence. Durante questi movimenti laterali, la minaccia esce “allo scoperto”, perdendo parzialmente la sua natura stealth in localhost per muoversi sull’ infrastruttura di rete. Infatti già nelle prime fasi di movimento laterale, il malware genera un traffico interno, in relazione alle scansioni e tentativi di connessione ad host interni, invisibili ai firewall perimetrali, e pertanto può agire indisturbato sull’intera subnet finchè non trova nuovi elementi, e possiamo parlare anche di interi giorni. Grazie alla cooperazione degli algoritmi proprietari brevettati Specto e Tiresia, la detection effettuata in realtime permette di spezzare la catena di attacco immediatamente, salvaguardando completamente ciò che deve essere protetto ad ogni costo, analizzando la morfologia del traffico. La tecnologia Raises di intervento arrivando fino al livello 1 dello stack, e lavorando quindi in un piano parallelo di azione rispetto alle comuni contromisure fa tendere il fattore efficacia al 100%. Infatti un sistema Airgapped fisicamente, blocca ogni tentativo di evasione da parte del ransomware e bloccando definitivamente l’accesso al segmento di rete. La forza del timing Già la semplice ricognizione di scansione eseguita da un ransomware del genere viene fermata, applicando la contromisura Raises, bloccando quindi la diffusione in TUTTA
Relevant Threat Update of Week: Apache & Lazarus APT and SonicWall SMA 100
Come LECS supporta sistemi firewall SonicWall SMA 100 Vulns CVE-ID CVE-2021-20039 CVSS 9 Exploitation vector Network Alcuni firewall SonicWall della serie 100 con firwmare < 10.2.1.2-24sv , firmware < 10.2.0.8-37sv e firmware < 9.0.0.11-31sv sono soggetti a vulnerabilità di tipo “iniezione di codice” che comporterebbe una grave violazione del perimetro. Questo può potenzialmente portare l’attaccante autenticato in remoto a prendere il controllo dell’ appliance SMA 100. Dettagli approfonditi: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-20038 Il sistema LECS, controllando il traffico di rete in real-time attua tutte le contromisure necessarie ad impedire che un cracker possa prendere il controllo del firewall qualora il firmware risultasse non ancora aggiornato alle versioni nuove. Apache Spark Exploit (Apache Log4j component) “Apache Spark è un framework open source per il calcolo distribuito sviluppato dall’AMPlab della Università della California e successivamente donato alla Apache Software Foundation.” – Wikipedia Classificazione: CVE-ID CVE-2021-20039 CVSS 9 Exploitation vector Network Log4shell porta con se un numero elevato exploit “correlati”. Nello specifico questo exploit, di tipo RCEn (remote code execution) purtoppo ad oggi non ha ancora una patch specifica, pertanto è necessario monitorare costantemente il servizio. Il framework LECS riconosce i tentativi di sfruttamento di questa pericolosa variante di minaccia impedendo e bloccando la minaccia. New Lazarus APT IOC LECS riconosce svariati IOC basati su IP di connessioni remote verso server C2. “Lazarus Group (also known by other monikers such as Guardians of Peace or Whois Team[1][2][3]) is a cybercrime group made up of an unknown number of individuals run by the North Korean state.” – Wikipedia Il sistema reputazionele di LECS basato su IOC sicuri, permette di evitare data-breach o avere la rete sotto scacco dell’attaccante, bloccando le connessioni verso server di C2. LECS SOC Team Alessio