Informazioni nascoste nel Registro di Windows


10 luglio 2020, di Guus Beckers, Specialista in Sicurezza di Bureau Veritas Cybersecurity
Xpbliss

I nostri investigatori si imbattono in tutti i tipi di informazioni sensibili durante gli incarichi di Red Teaming. Sebbene queste informazioni siano solitamente riservate alla raccolta di dati forensi da parte delle forze dell'ordine, sono anche di grande valore per gli aggressori che cercano di infiltrarsi nelle reti informatiche.


La raccolta di informazioni per elevare i privilegi sui sistemi chiave all'interno di un'organizzazione è parte integrante della kill chain del Red Teaming, in particolare delle fasi di "Scoperta" e "Innalzamento dei privilegi". Vengono raccolte informazioni che, a loro volta, vengono utilizzate per fare perno tra i sistemi all'interno dell'infrastruttura di rete più ampia.

In questo blog Guus Beckers descriverà come il Registro di Windows nasconda informazioni di grande valore per i potenziali aggressori.


1. Introduzione

"Ogni contatto lascia una traccia", questo principio è stato coniato dal Dr. Edmond Locard nel XX secolo. Da allora è diventato una pietra miliare delle scienze forensi. Il Dr. Locard si riferiva alle tracce nel mondo fisico, tracce di sangue, fibre di tessuto e ciocche di capelli, tra gli altri. Tuttavia, è altrettanto vero nel dominio dei dispositivi informatici e delle reti informatiche, con i nomi dei documenti, le posizioni della rete e i comandi del sistema che sono solo alcuni esempi equivalenti. Tutte queste informazioni vengono inserite senza pensarci due volte e conservate dal sistema operativo per comodità. Quando i sistemi informatici dei dipendenti vengono compromessi, queste tracce di informazioni possono essere utilizzate dagli aggressori per ottenere una maggiore comprensione del dipendente, del sistema informatico o della rete informatica colpiti. Una delle fonti più importanti del sistema operativo Windows è il Registro di sistema, che è un database e conserva la maggior parte delle impostazioni del sistema.

Memorizza un'ampia gamma di informazioni quali:

  • Informazioni relative alle reti collegate;
  • Nome e informazioni di rete dettagliate su qualsiasi rete wireless (precedentemente collegata);
  • Contenuto delle finestre di dialogo Apri/Salva (per avere una panoramica dei file esistenti);
  • La frequenza con cui è stato lanciato un programma, la posizione del programma, anche se è stato cancellato o disinstallato;
  • Software che viene avviato all'avvio del computer;
  • Fuso orario;
  • Dispositivi collegati;
  • Dispositivi di archiviazione USB collegati.

Con un'adeguata competenza, queste conoscenze possono essere trovate e riutilizzate.

Adobestock 69955791

2. Raccolta di informazioni sensibili

Consideriamo il seguente scenario: un dirigente sta utilizzando il suo computer portatile e un hacker è riuscito a prendere piede su questo computer portatile. Una delle fonti di informazioni più preziose è il registro di Windows, che è il cuore del sistema operativo Windows. Funziona come database di configurazione e tiene traccia dei file di sistema essenziali, delle applicazioni installate, delle impostazioni utente e di molti altri tipi di dati. Come tale, contiene una grande quantità di informazioni. Sebbene sia ben protetto, ogni singolo account utente deve avere accesso al registro per poter caricare parti vitali del sistema operativo. Pertanto, ogni account utente ha accesso al registro ed è in grado di leggere i dati da esso. I dati disponibili nel registro possono essere utilizzati per un'ampia varietà di scopi.

Utilizzando alcuni comandi di sistema, l'aggressore è in grado di visualizzare l'elenco dei punti di accesso wireless precedentemente collegati. Per comodità, Windows memorizza la posizione delle reti collegate in precedenza, per garantire che funzionino anche durante le visite future. L'hacker può vedere che il dirigente ha visitato alcuni hotel e diversi uffici della sua azienda, situati negli Stati Uniti. Le informazioni sul fuso orario ottenute dal registro corrispondono a uno degli uffici, rendendo probabile che il dirigente abbia sede in quella particolare località. Scavando più a fondo nel registro si scoprono le applicazioni informatiche più utilizzate da questo utente, tra cui una vecchia versione di Microsoft Office con alcune promettenti vulnerabilità. È probabile che molti dispositivi all'interno dell'azienda utilizzino la stessa versione. L'aggressore ha ora un'idea abbastanza precisa di cosa fare in seguito e può utilizzare le stesse tecniche (e altre posizioni all'interno del registro) per raccogliere informazioni preziose su altri dispositivi.

Il passo successivo consiste nel setacciare il sistema alla ricerca di ulteriori informazioni sulla persona stessa. Una fonte ideale di informazioni è la cronologia del browser web, che informerà l'aggressore sulle attività più recenti dell'utente, compresi i siti web visitati e il numero di visite specifiche. Queste informazioni, correlate ad altri dati temporali, possono informare un aggressore sugli hobby, il lavoro, la famiglia e una serie di altri interessi del suo obiettivo. I browser web contengono dati sensibili sulle persone; utilizzando i dati raccolti e la cronologia condivisa (che include i file scaricati e le informazioni sui motori di ricerca), un aggressore senza remore etiche sarà in grado di farsi un'idea dei desideri e dei dubbi dell'individuo. Le informazioni acquisite possono, a loro volta, essere utilizzate durante le campagne di (spear) phishing. Ovviamente, anche gli altri file presenti sul dispositivo sono un bersaglio interessante per gli hacker, e potrebbero rivelare informazioni ancora più interessanti.

Person behind computer

3. Prevenzione

Lo scenario esatto descritto sopra è fittizio, ma è possibile eseguirlo in un incontro reale. Tutti i dati descritti nello scenario possono essere ottenuti abbastanza facilmente una volta che l'account di un dipendente viene compromesso e l'attaccante accede con i privilegi dell'utente. Le informazioni ottenute possono essere utilizzate come trampolino di lancio per infiltrarsi ulteriormente nell'organizzazione. Le regole della prevenzione sono ancora valide: proteggere gli account utente con una password forte, mantenere la consapevolezza della sicurezza e utilizzare le migliori pratiche relative alla sicurezza delle informazioni per proteggere la sua organizzazione.

Per qualsiasi domanda sulla sua sicurezza informatica, ci contatti all'indirizzo cybersecurity@bureauveritas.com.