Bypass antivirus e sicurezza reale: best practice prima di costosi strumenti – BitArmor - HackInBo

Bene, buongiorno a tutti, grazie per averci invitato qui sul palco di Hackinbo.

Io sono Francesco Guiducci, sono fondatore insieme a Marvin di BitArmor e mi occupo, sì, Microsoft MVP Data Center and Cloud e sono certificato in Cyber Security, ci occupiamo di infrastrutture.

Io oggi sono qua per parlarvi di un argomento che mi sta molto a cuore.

Ho pensato, abbiamo pensato molto a che cosa portare oggi, che cosa avrei potuto portare.

In realtà, è tutto nato da un qualcosa che si è scoperto da da poco ed è, e lo vedremo dopo con un video che ho fatto e postato sui nostri canali, su come viene disabilitato, come vengono disabilitati, in questo caso, Endpoint Protection, antivirus, qualsiasi antivirus.

In realtà, non ci basiamo solo sulla sospensione di antivirus e Endpoint Protection.

Ma è la sospensione in generale di processi, quindi mettere in coma dei processi.

Quello che vi stavo dicendo, quindi, non siamo qua per parlare di me oggi, di BitArmor.

Ma siamo qua per farvi vedere la la difesa delle aziende.

Con senza vendor lock-in.

Ora, io ci tengo a seguire una una linea guida, un principio.

Che cos'è per noi la Cyber Security?

La Cyber Security non è un prodotto.

Questo è è chiaro a tutti, non è un prodotto.

Ma è un insieme di ostacoli, è un insieme di ostacoli che noi mettiamo tra l'azienda e l'attaccante.

Questo perché? Perché possiamo avere, lo sapete meglio di me, tutti i prodotti migliori al mondo.

Possiamo avere prodotti che ci garantiscono controllo 24 ore su 24, 7 giorni su 7.

Ma questo non fermerà gli attaccanti, ok?

E l'esempio che vi farò vedere, il video che vedrete dopo, su come vengono disabilitati gli antivirus, è un un esempio lampante di quello che vi sto dicendo.

Quello che, appunto, mi preme dire è che oggi, nelle nella maggior parte delle aziende, dove andiamo, gli IT manager, soprattutto gli IT manager e gli imprenditori, pensano che la soluzione sia comprare SOC, XDR, NOC, NDR.

Spendere un sacco di soldi, perché veramente spesso costano tantissimi soldi.

E essere protetti.

Certo, SOC, XDR, NOC, NDR, Endpoint Protection, che ci vogliono e che sono strumenti importanti, arrivano ma alla fine di un processo.

Io adesso non so qua in sala quanti tecnici, quanti IT manager, quanti tecnici ci sono.

Quindi, ecco.

Vi faccio un esempio, quello che vi voglio dire è questo.

Molte volte, quando arrivo nelle aziende, chiedo, e queste sono le domande che faccio, quanti di voi si connettono per resettare una password, per creare delle utenze, si connettono ai domain controller?

Solitamente, questa è una una pratica che viene fatta da quasi tutti gli IT manager.

Sbagliato.

Prima c'era il mio collega, la la persona che c'era prima qua a parlare, al mio posto, vi parlava di backup, ok?

Ma un altro esempio è, i domain controller vanno backuppati o no?

Quanti pensano che i domain controller vadano backuppati come gli altri server?

I domain controller vanno backuppati, ma non vanno mai ripristinati a backup.

Questa è una regola importantissima.

La gestione dei DNS all'interno delle infrastrutture.

La gestione dei permessi, quindi domain admin incontrollati.

Ecco che ci sono tantissime cose che vi potrei dimostrare, vi potrei mostrare, che si trovano oggi nelle aziende.

Oggi nelle aziende abbiamo tantissimi tantissime persone, tantissimi IT manager che sostengono.

Io mi ci sono trovato l'altro ieri a discutere con una persona che sostiene che il cambio password, quindi ogni 30, 60, 90 giorni, non è un qualcosa di utile, è un qualcosa di superato.

Quanti di voi pensano che sia superato il cambio della password ogni 30, 60 giorni oggi?

Il cambio delle password oggi non è superato.

Il cambio delle password oggi è una cosa importantissima.

Perché? Perché se una delle password che voi utilizzate al lavoro, la utilizzate nella vostra vita privata e finisce in un data breach, questa password rimarrà valida sempre, se non verrà cambiata.

Il multifactor authentication è bypassabile.

Sui nostri canali abbiamo fatto vedere come bypassare il multifactor authentication.

Quindi, quello che oggi ci preme affrontare è che la Cyber Security non è una questione di prodotti.

È una questione di best practice.

Non è una questione complessa.

Certo, non tutti fanno il nostro lavoro, non tutti fanno i tecnici di Cyber, i tecnici IT.

Quindi, in questo caso, è un po' più complesso.

Ma la Cyber Security è una questione semplice.

È una questione di best practice.

Cosa succede?

Un ricercatore che si chiama, lo trovate, io non posso dar troppi dettagli, perché in Italia c'è una legge per cui potrei essere perseguibile.

Però, già nel video lo vedremo, c'è un ricercatore di sicurezza che si chiama Zero Salarium.

Che ha scoperto che è possibile, attraverso un un processo, sospendere qualsiasi processo di Windows.

Quindi, attraverso il Windows Error Reporting, che è un servizio che gira in Windows e si occupa di far cosa?

Beh, quando un software crasha, quando un software ha dei problemi, di fare un dump del processo.

E di andare a fare che cosa? Inviare questo dump, queste informazioni a Microsoft o a un server interno.

E quindi raccogliere quello che è successo, quindi, qua andiamo avanti.

A raccogliere quello che è successo su quel processo.

Bene, che cosa succede? Succede che questo ricercatore ha detto, beh, quando viene il dump del processo, questo processo, e attenzione, viene fatto con un servizio di Windows, quindi un servizio legittimo, che invoca una funzione, che è il MiniDumpWriteDump.

Questo funzione mette in standby, in stato di idle, per un tempo impercettibile per voi, il processo, perché per fare il dump deve mettere in standby questo processo.

E voi direte, vabbè, ma è un tempo impercettibile.

Poi il processo riprende.

Sì, è vero.

Ma questo ricercatore cosa ha pensato? Ha detto, io utilizzo il il il mio tool che sto creando per chiamare, appunto, la funzione MiniDumpWriteDump.

E una volta che io la chiamo, questa mette, gli passo un un PID, quindi un ID del processo di Windows, e questo viene messo per una frazione di secondo, un tempo veramente breve, in idle.

A quel punto lì, cosa faccio? Io sospendo il tool che ha chiamato questa funzione.

E quindi cosa succede? Succede che sospendendo un tempo indefinito il tool che ha chiamato questa funzione, la funzione non uscirà mai da questo loop.

E quindi qual è il risultato? Il risultato è che l'antivirus, in questo caso, un qualsiasi processo, perché io posso prendere di mira un qualsiasi PID, viene sospeso.

E la sospensione cosa comporta? Che l'antivirus non lavora più.

Potete avere i migliori antivirus del mondo.

Ma l'antivirus non funziona.

Quindi, cosa succede? Succede che torniamo a quello che vi stavo dicendo, voi potreste avere i migliori strumenti al mondo.

Un SOC, un NDR, ma non servirebbero in questo caso.

Vediamo, appunto, il video, è un video di un minuto.

È un estratto del video che ho fatto sui miei canali, dove viene fatta vedere questa questa questa pratica, ok?

Come vedete, sulla sinistra ho il EvEvader, che è il mio il mio software sviluppato, che ingloba anche il software che andremo a, appunto, ad utilizzare per mettere in stato dormiente, in stato di coma, un processo specifico, che è quello, appunto, del mio agente antivirus.

Qua abbiamo un nuovo uno copia e nuovo uno TXT, che sono dei file EICAR, quindi sono dei file scaricati dal sito di EICAR con delle stringhe che tutti gli antivirus riconoscono come malware.

E sono file fatti appositamente per testare gli antivirus.

Questi, diciamo, questi queste questi file di testo contengono una stringa particolare, quindi EICAR standard antivirus test file.

E che se lanciati, se copiati, se si interagisce, appunto, con questi file, l'antivirus inizia a, insomma, a prendersela male, a bloccare.

Vediamo infatti che copio il file e il mio antivirus va a mitigare immediatamente la minaccia.

Come vedete, il il il PID 2592 è il PID, quindi il process ID del mio, diciamo, agent antivirus.

E quindi, in questo caso, io vado a lanciare l'EvEvader per andare proprio a bloccare questo processo.

Lanciando, quindi, il mio EvEvader, cosa succede?

Che intercetta in automatico l'antivirus che c'è a bordo, grazie al tool che ho sviluppato io, va a chiamare il tool del ricercatore su questo PID del processo.

E come vedete, l'agente viene sospeso.

Se io vado, infatti, a copiare il file, vado a interagire con il mio virus, ecco che a questo punto l'antivirus non reagisce più al al virus.

E quindi posso tecnicamente lanciare qualsiasi tipologia di malware a bordo, perché l'antivirus in questo momento è in coma.

Questo cosa comporta? Comporta che, come vedete, questi erano file EICAR, ok, però pensate a file offuscati, a payload offuscati.

Ovviamente, non verrebbero assolutamente individuati e da lì si aprirebbe una breccia.

Questo che cosa comporta, in realtà?

E voi direte, vabbè, Francesco, a questo punto, cioè, se sospendiamo i processi così, come ci difendiamo?

In realtà, si parla di best practice, perché questo.

Poi, un'altra cosa che, insomma, prima mi è sfuggita.

E quanti di voi vanno nelle aziende, adesso non so quanti di voi siano consulenti o quanti siano in azienda e ancora oggi trovate gli utenti sulle loro postazioni amministratori?

Adesso, io lo so.

Tutti diranno, eh no, ma è una cosa che non succede.

No.

L'altro ieri ero in un comune di 200 persone, 200 persone, dove, in un'azienda partecipata la settimana scorsa, dove gli utenti sono amministratori locali.

Perché così gli IT manager hanno meno lavoro, perché sono sempre qua.

Ovviamente, gli utenti possono lavorare.

E certo che possono lavorare.

Sono amministratori, quindi fanno quello che gli pare.

In questo caso, come ci si fa, come si fa a difendersi?

C'è una una policy, una Group Policy Object, lo si può fare in tanti modi.

Ma c'è una Group Policy Object che va a definire il SeDebugPrivilege.

Cioè, i privilegi che vengono assegnati al servizio di Windows per fare dei dump, perché è vero, questo, quello che avete visto prima, è un tool che ho sviluppato io.

Che non fa altro che inglobare il tool di questo ricercatore e cosa fa questo tool?

Cerca antivirus, quindi tutti gli antivirus conosciuti sulla macchina, in automatico, prende i PID.

Dà un tempo, frizza l'antivirus, ok?

Attraverso la questa chiamata.

Ma questa chiamata viene fatta su un processo tale, per cui servono dei privilegi elevati.

Quindi, se si è amministratori della macchina, questo gioco è presto che fatto.

Non serve più.

Non serve più provare un'escalation di privilegi.

Perché?

Perché questo processo, per accedere, per accedere a processi come l'antivirus, come processi delicati, come software di sicurezza, ha bisogno di privilegi elevati.

Che non vuol dire essere amministratori, eh.

Privilegio elevato non vuol dire essere amministratori.

Infatti, SeDebugPrivilege si può impostare a livello di Group Policy per definire chi ha l'accesso con permessi elevati per agganciarsi in debug ai processi con quella funzione che vi ho fatto vedere prima.

Ora, ricapitolando.

Voi mi direte, vabbè, Francesco, allora.

Devo settare solo alcuni utenti che possono agganciarsi a quei processi.

No.

Io solitamente nelle infrastrutture disabilito questa funzionalità.

Cioè, nessuno si può agganciare ai processi.

E la domanda sorge spontanea.

Ok, quindi non funziona più niente.

Non è vero.

No.

Perché in rari casi, questa questa SeDebugPrivilege serve in rarissimi casi.

Ovvero, quando, ad esempio, abbiamo degli sviluppatori che sviluppano dei software con Visual Studio o con altri software e hanno bisogno di agganciarsi a dei processi di sistema in debug, ok?

Ma in quante aziende c'è questa esigenza?

Il 5%, il 10%?

Quindi abbiamo già ristretto il campo.

Inoltre, per far questo, si può creare un gruppo di utenti privilegiati.

Che ha la possibilità di andare a agganciarsi in debug alle macchine, oppure ad account di servizio, come i Managed Service Account o altro.

Ora, quello che io vi ho fatto vedere.

Ed è l'ultima domanda che che io vi ho fatto.

Non funziona più niente?

No, non è vero.

Perché in realtà, andando a limitare il SeDebugPrivilege, tutto continua a funzionare.

Quindi, log negli event viewer, ci sono ancora.

Il Windows Error Reporting, che è il servizio che funziona su Microsoft, continua a funzionare.

Che cosa non funzionerà?

Beh, non funzionerà l'agganciarsi a, diciamo, servizi o a processi che girano con privilegi elevati all'interno della macchina e per i quali ci sono, c'è la necessità di avere privilegi elevati.

Voi starete pensando, vabbè, allora a questo punto.

Io non do privilegi elevati, non è amministratore.

Il gioco è fatto.

Voi che siete a una convention di Cyber Security.

E quindi siete nel settore.

Lo sapete benissimo che se io atterro su una macchina dove non ho i privilegi elevati.

Quanto mai ci vorrà per fare un'escalation di privilegi?

Per diventare system.

È la prima cosa che si fa.

Si cerca l'escalation di privilegi con una vulnerabilità, con un software vulnerabile.

Ce ne sono sempre nelle infrastrutture.

E poi si cerca di avere persistenza.

Quindi, l'escalation dei privilegi è la prima cosa, una volta fatta eventualmente l'escalation dei privilegi, se non sono già amministratore.

Io faccio questo giochetto e la macchina è a terra.

Ma non la macchina solo.

L'intera infrastruttura.

Movimenti laterali, uso la stessa tecnica.

Quanti utilizzano, e questa è una domanda classica che faccio, nelle infrastrutture dove andate.

Trovate centinaia di computer, decine di server.

E qual è la best practice, fra virgolette, la best practice?

È creare un utente amministratore con la stessa password per tutti i computer, ok?

Questa è una cosa che molti di voi penseranno, eh, ma non è.

Quante volte andate nelle aziende e trovate questa cosa qua?

Il 90% delle volte.

Non viene usato, ad esempio, Microsoft LAPS per gestire le password in maniera automatica all'interno dell'infrastruttura con password diverse per gli amministratori locali.

Quindi, perché vi sto dicendo queste cose?

Perché alla fine è vero, SOC sono bellissimi, XDR sono bellissimi.

EDR, fantastico, da avere, eh.

Non sto dicendo che non ci vogliono.

Ci vogliono su tutte le macchine.

Io settimana scorsa ero a un altro evento dove parlavo di Endpoint Protection e ho chiesto, ragazzi, quindi gli EDR vanno su tutte le macchine.

Due persone, una persona ha alzato la mano e ha detto, no.

E io ho chiesto, dove non va?

Sui domain controller non ci vanno gli EDR.

Attenzione, adesso alcuni di voi rideranno, penseranno, ma chi è questo?

Questo è un IT manager che gestisce un'azienda di centinaia di postazioni.

Dove non ha messo gli EDR sui domain controller, perché pensa che la risposta è quella, i domain controller sono macchine che sono iper protette.

Sono l'ultimo scoglio per la nostra azienda.

Un attaccante prima si occupa di attaccare macchine.

Come client, come altre tipologie di server.

Quindi, il fatto che non siate amministratori non è scontato.

E questa cosa qua tira dal suolo l'infrastruttura, perché disabilito qualsiasi tipologia di processo, ok?

Quindi, SeDebugPrivilege, ci sono delle delle cose da fare, quindi Group Policy.

Ed è questo che che ci tengo tantissimo a a far passare come messaggio.

La Cyber Security è un insieme di ostacoli, è un insieme di best practice, ok?

Amministratori locali, password uguali.

Il reset delle password.

Tutti in cloud.

Le amministrazioni pubbliche che adesso vanno tutte in cloud.

Il cloud sembra diventata la panacea di tutti i mali.

Non funziona così.

Il cloud è importante.

Ma la situazione va analizzata correttamente.

In questo caso, cosa viene prima dei prodotti?

In questo caso, vengono, viene la formazione degli IT manager.

Audit.

Quindi, noi, ad esempio, la prima cosa che facciamo quando andiamo nelle aziende, non è offrire dei servizi.

La prima cosa che facciamo è fare un'analisi.

Noi facciamo un'analisi completa di tutto quello che c'è nell'infrastruttura.

E l'esempio è vedere come sono impostati i DNS.

Vedere come sono le regole del firewall.

Vedere come sono gestiti i permessi.

Vedere come sono gestite le utenze.

Quali software ci sono.

Perché anche questo è parte del nostro lavoro.

Come viene, ad esempio, il traffico dei DNS?

Se ci sono dei filtri interni.

Pensate, chiedetevi se sapete esattamente come dovrebbe girare un traffico DNS all'interno delle vostre infrastrutture.

Quante volte io arrivo nelle infrastrutture e anche qua ci facciamo un'altra risata.

Guardo sulle macchine e le macchine hanno un DNS che è interno, che punta a un domain controller e l'altro DNS che è esterno, sull'8888.

Non ci sono regole che filtrano il traffico da dentro.

Quindi, tutte le macchine, potenzialmente, possono cambiare il loro DNS.

E questo traffico DNS andrà all'esterno.

Sbagliato.

Ci devono essere dei filtri su firewall che bloccano il traffico interno dei DNS.

E lo consentono solo per i domain controller.

Quanti hanno nelle loro infrastrutture domain controller con DNS Microsoft che non sono sulle macchine del domain controller?

Quindi, sono servizi configurati in maniera errata.

Perché il DNS installati, il servizio DNS installato sulle macchine domain controller è un servizio che ha DNS integrato.

E si possono fare un sacco di cose in più.

Quindi, quello che noi facciamo non è offrire un prodotto.

Quello che, in generale, secondo me, noi tecnici dovremmo fare, è non offrire subito dei prodotti, non offrire del ferro.

Un mese fa siamo andati da un'azienda, rasa al suolo.

50, 60 postazioni.

Una decina di di macchine virtuali.

Rasa al suolo.

Quindi, hanno dovuto recuperare i file che sono riusciti a recuperare da un vecchio backup e stanno cercando di ripartire.

Quando siamo arrivati noi, cosa è successo?

Che loro ci hanno detto, sì, bellissimo, quanto ci fate pagare per revisionare l'infrastruttura?

X.

Noi non abbiamo più budget, perché chi ci seguiva.

È arrivato.

E ci ha detto, ok, vi hanno raso al suolo, perfetto, vi diamo del ferro.

Cambiamo i server.

E hanno lasciato l'infrastruttura esattamente così.

Certo, hanno speso 50.000, adesso hanno un XDR fantastico che nessuno segue.

Perché l'XDR è un comunque uno strumento complesso da seguire.

Hanno un accentratore di log che nessuno sa come utilizzare e l'hanno pagato 5.000.

E l'infrastruttura è come prima.

Senza autenticazione a doppio fattore sulle VPN.

Un altro esempio.

Quindi, l'importanza che noi dovremmo dare, noi tecnici, voi stessi dovreste dare alla Cyber Security.

Secondo me, dovrebbe vertere di più sulla la formazione.

E sulle tecniche che dovete utilizzare all'interno dell'infrastruttura.

Per la gestione delle utenze.

Quindi, quante volte aprite il gruppo Domain Admins, Schema Admin, Enterprise Admin e trovate tantissime utenze?

Quante volte nelle Enterprise Admin e nello Schema Admin trovate decine di utenze?

Anche solo tre o quattro.

Questi gruppi devono rimanere vuoti.

Nessuno deve essere domain admin all'interno dell'infrastruttura.

Nessuno.

Dovreste averne due di sicurezza che usate solo ed esclusivamente per operazioni complesse durante l'anno.

Trust tra domini.

Ma quanti di voi fanno più di una volta all'anno un trust tra un dominio e l'altro?

Ma io non non non conosco aziende che tutti gli anni fanno trust.

E quella volta che serve, usate il domain admin.

Voi tecnici IT non dovreste essere domain admin.

Dovreste essere utenti normali, dovreste avere quattro utenze separate.

Una per l'amministrazione del server, una per l'amministrazione dei client.

Quanti di voi hanno segmentato la vostra infrastruttura Microsoft in livelli tier?

Chi è che sa cos'è un livello tier?

Chi sono i livelli tier qua?

Non abbiate paura, alzate la mano chi sa che cos'è un livello tier.

Qua siamo in 50, 60, hanno alzato la mano in cinque.

Che cos'è un livello tier?

I livelli tier nell'infrastruttura sono dei livelli logici che poi trovano una traduzione tecnica.

Tale per cui voi i domain controller li dovete isolare dal resto del mondo, in reti separati e ai domain controller ci accedono solo i domain admin.

Quindi, non ci accedete mai.

Poi c'è la parte server.

Quindi, solo gli utenti amministrativi isolati possono accedere a ai server come amministratori.

E non possono accedere ai client e non possono accedere ai domain controller.

E il livello due tier è quello dei client.

Dove voi IT manager dite, un utente dedicato per accedere ai client in maniera amministrativa.

E quell'utenza non può accedere agli altri livelli.

Ok?

Quindi, è un po' come la cosa del backup, se l'avete vista prima.

Che va isolato.

Quindi, per andare in conclusione, ok, forse mi sono dilungato un po' troppo.

Per andare in conclusione, quello che noi facciamo, ma è quello che noi, quello in cui noi crediamo, è che la Cyber Security oggi sia un argomento che noi portiamo.

Noi tecnici, anch'io a volte, me ne rendo conto, portiamo in maniera troppo complessa alle persone.

La Cyber Security nel 90% dei casi non è una cosa complessa.

È una questione di abitudine.

Non è una questione di un prodotto che costa, è una questione di best practice.

Grazie.