PILLOLE DI #MALWAREANALYSIS

I laboratori per la malware analisi

Per analizzare un #malware è fondamentale avere un proprio laboratorio pronto all’utilizzo. La scelta ricade sempre tra un laboratorio “bare metal” oppure una macchina virtuale, ma è indubbio che la seconda è estremamente più flessibile da utilizzare soprattuto per la facilità con cui si può ristabilire la condizione preinfezione.

Infatti, un laboratorio durante un’analisi dinamica viene infettato volutamente dal malware da studiare per consentire all’analista di scoprirne gli effetti. Una vola terminata l’analisi è necessario ristabilire il laboratorio alla fase preinfezione, cosa estremamente semplice con gli snapshot.

Esistono diverse VM disponibili gratuitamente online ma nel mio corso di Dynamic Malware Analyst utilizzo #Flare VM, la macchina virtuale basata su Windows fornita dal famoso team #Mandiat di #FireEye. Dentro FlareVM troviamo tutto ciò che può servire ad un malware analyst da debugger, a disassembler, decompilatori, utilities per l’analisi statica e dinamica, Floss, Fakenet-NG etc…

PILLOLE DI #MALWAREANALYSIS
APC injection
Una delle tecniche utilizzate dai malware per infettare un device in ambiente windows è la #APCinjection.
APC è l’acronimo di Asyncronous Procedure Call e si riferisce ad una funzione che viene eseguita asincronamente nel contesto di uno specifico thread.
Quando una APC viene inserita nella coda di attesa di un thread viene inviata una interrupt da parte del sistema.
Quando il thread passa da uno stato alertable allo stato running, la APC viene eseguita.
Affinchè un #malware possa eseguire una APC injection per prima cosa deve individuare il thread target ed aprirlo con la funzione OpenThread().
Parlando di una APC injection in user mode, una volta ottenuto l’id del thread viene chiamata la funzione QueueUserAPC().
Questa ha 3 differenti parametri:

1) L’handle del thread target
2) Un puntatore alla funzione da iniettare
3) Una struttura contenente i parametri da passare alla funzione

Tipicamente un malware che esegue questa azione utilizza le seguenti funzioni:

1) Ottiene lo snapshot della memoria (CreatToolHelp32Snapshot)
2) cerca il processo target (Process32First e Process32Next
3) Lo apre (OpenProcess)
4) inietta la routine malevola con WriteProcessMemory
5) cerca il thread target (Thread32First e Thread32Next)
6) Lo apre con OpenThread
7) Inserisce la funzione nella coda APC con QueueUserAPC
8) Infine fa entrare il processo in uno stato alertable con Sleep (o funzioni simili).
Questa tecnica viene identificata con l’id T1055.004 all’interno della #Mitre Att&ck.

Pillole di #MalwareAnalysis
Visto che dopo la pillola di ieri è emerso un forte interessi riguardante la sicurezza di una Virtual Machine, e che oggi, per ovvi motivi, non posso neanche uscire a fare una passeggiata ?? ho deciso di parlarvi di #VENOM.
VENOM è una vulnerabilità (non un malware) scoperta da Jason #Geffner, Senior Security Researcher di #CrowdStrike nel 2015 e catalogata come CVE-2015-3456.
In particolare, il componente #QEMU, un driver open source che nella componete #FDC gestisce i floppy disk, adottato da #KVM, #XEN e #VirtualBox (i più stagionati sanno di cosa sto parlando), è stato trovato suscettibile di attacco a buffer overflow.
Un #bufferOverflow comporta la possibilità di iniettare codice al di fuori della memoria virtuale associata al processo target, con la possibilità di poter andare a scrivere in un’area di memoria appartenente al sistema host.
Le implicazioni di questa vulnerabilità sono spaventose: un malware potrebbe eseguire quello che viene definito #HyperJump, ovvero evadere dalla VM ed infettare il SO ospitante.
Dopo poche settimane dalla divulgazione di VENOM è stata prontamente creata la patch ed eliminata la vulnerabilità.
Questo però ha fatto tremare le gambe a tutti coloro che giocano con i malware in laboratori virtuali, me compreso?????? !
Per utilizzare un laboratorio virtuale è fondamentale l’isolamento della VM quindi:
· Nessun disco condiviso con il SO host
· Sistema Host e VM non devono poter comunicare tramite rete
· Lavorare su sistemi Host non in produzione (tanto per essere sicuri ??)
I malware, poi, possono utilizzare in maniera intelligente le macchine virtuali ma con obiettivi differenti dall’Hyperjump, come ad esempio #Ragnar o #Crisis … ma questa è un’altra storia e se volete ve ne parlerò in una prossima pillola.

Pillole di #MalwareAnalysis
Un Malware analyst non può non conoscere MITRE.
MITRE è una organizzazione no profit statunitense che ha attivi numerosi progetti di enorme importanza per il mondo della sicurezza cyber.
Il più famoso è sicuramente #ATT&CK, nel quale si studiano le #TTPs degli attaccanti con una loro capillare descrizione ed associazione ai gruppi #APT più conosciuti.
Ma oltre a questo progetto ne esistono molti altri:
MITRE #CVE (common vulnerability exposure), dove possiamo trovare il database di riferimento delle vulnerabilità note
MITRE #CWE (common weakness enumeration) contenente la lista delle principali debolezze dei sistemi software
MITRE #CPE (common product enumeration) che rappresenta il tentativo di uniformare i codici descrittivi dei sistemi software e hardware
#CAPEC (common attack pattern enumeration and classification) contenente il catalogo dei pattern di attacco più comuni
#SHIELD che fornisce una knowledge base per descrivere come mettere in atto tecniche di difesa attiva e threat engagement.
Insomma MITRE è un pozzo di conoscenza che sta dando moltissimo al mondo cyber e che chiunque abbia l’ambizione di lavorare in questo mondo deve conoscere.