Pillole di #analisiforense
Le 6 fasi di Analisi Forense.
Identificazione(Identification) e Conservazione(Preservation) : è necessaria per rilevare e scovare cosa è effettivamente qual’è il target utile ai fini dell’indagine e, fermare o impedire qualsiasi attività che possa danneggiare la raccolta di informazioni digitali.
Acquisizione(Collection): le informazioni vengono duplicate in maniera fedele all’originale. Gli obiettivi di questa fase sono: acquisire il maggior numero di dati, rendere l’attività di acquisizione ripetibile e limitare i tempi di inattività di server “importanti”.
Analisi(Analisys): Si evidenziano i dati con contenuto informativo importante per l’indagine. Il processo di analisi viene documentato. I dati vengono visualizzati, si individuano le parole chiave, vengono decompressi gli archivi. I dati vengono poi acquisiti e decifrati per essere inseriti in una timeline.
Valutazione(Validation): In questo passaggio i dati evidenziati in fase di analisi vengono interpretati per sostenere le proprie tesi (sia a favore che a sfavore).
Adattamento(Interpretation): Il registro viene adattato in base all’interlocutore per essere di facile comprensione al ricevente finale, sia quest’ultimo tecnico o giurista.
Presentazione(Documentation and Reporting): L’analisi è conclusa. Viene documentato cosa è stato fatto, come è stato fatto, cosa è emerso e che significato hanno i dati rinvenuti.

PIllole di #MalwareAnalysis

I tipi di #Botnet

Le #botnet sono gruppi di device infetti (#zombie) controllati da un centro di comando e controllo (#C2)

Il numero di device tipicamente può superare il milione di unità e vengono comandati all'unisono dal C2 che è il punto debole.

Spento il C2, la botnet muore. Non vale la stessa cosa se viene eliminato un device dalla botnet.

Quindi il Re in questo scacchiere è proprio il C2 e deve essere superprotetto!

Per fare ciò le botnet si sono evolute da Botnet Centralizzate, dove il C2 risiede in un'unica infrastruttura, a quelle decentralizzate.

Nelle decentralizate, il c2 è composto da differenti zombie, quindi il #botMaster è in grado di controllare la botnet anche quando uno degli elementi del c2 viene spento.

Spesso queste utilizzano reti p2p già esistenti.

Le botnet sono una risorsa preziosa e vengono spessissimo affittate ad altri gruppi criminali per diffondere i propri #malware o per eseguire attacchi #DDoS a bersagli inconsapevoli.

Un esempio è il malware #Ryuk diffuso grazie alla botnet Trickbot.

Tra le botnet più pericolose degli ultimi anni troviamo #Emotet, #Trickbot e #Formbook.

Il protocollo di comunicazione utilizzato può essere sia di tipo pull che push, ma di questo vene parlo in un'altra pillola ;-)

Pillole di Malware Analysis

I protection Ring

I #malware possono essere classificati dividendoli per tipologia (#Trojan, #Ransomware, #AdWare etc...), per comportamento (rubare informazioni, negare un servizio, prosciugare le risorse di un host etc...) e per privilegi.

In questa piccola pillola vi voglio parlare di questo tipo di classificazione.

La CPU intel è stata progettata per lavorare su 4 differenti #Ring, da Ring 0 (privilegi più alti) a Ring 3 (privilegi più bassi). Il codice che lavora al ring più basso necessita di privilegi maggiori.

#Windows lavora solo su due ring: 0 e 3!

A Ring 3 lavora qualsiasi programma in User Mode, mentre un programma in Kernel Mode lavora a Ring 0. Capite al volo che un #RootKit lavora a Ring 0 e generalmente per poter operare su questo ring esegue tecniche di privilege escalation.

Vi sono però altri ring poco conosciuti: Ring -1, Ring -2 e Ring -3.

Il Ring -1 lavora su sistemi virtualizzati a livello dell'#Hypervisor. Naturalmente un malware operante a questo livello si trova sotto il SO host e quindi ha privilegi maggiori del Ring 0.

In Ring -2 lavora il software di sistema al boot del device quando ancora non è stato attivato il protected mode dalla CPU e gli indirizzamenti di memoria sono reali e non virtuali

E il Ring -3?

Per semplicità diciamo che a questo Ring lavora il firmware! (altrimenti dovrei spiegarvi l'Intel Management Engine, ma se vi interessa lo farò in un'altra pillola ;-))

Tipici malware che lavorano a Ring -3 sono quelli che infettano i dispositivi #IoT!

Pillole di #MalwareAnalysis

Uno degli #IoC facilmente identificabili di un #Malware è la sua firma #Hash.

Questa firma può essere generata con differenti algoritmi, e tra questi i più utilizzati abbiamo # MD5, # SHA1 e # SHA256. La caratteristica di queste firme è che se viene modificato anche un singolo bit del file sorgente gli Hash risultanti sono completamente differenti.

Se abbiamo due malware praticamente identici ma che all’interno contengono modifiche non sostanziali come ad esempio il dominio che viene contattato o che addirittura sono stati semplicemente compilati da due differenti compilatori avranno due hash completamente differenti.

Per superare questo problema ci viene in aiuto il #FuzzyHashing. Grazie al tool #SSdeep vengono creati hash incrementali dei differenti file e confrontati tra di loro per fornire poi la percentuale di similarità.

#Cybersecurity #ZeroDay #Hacker #APT