Pillole
Visite: 5802

PIllole di #MalwareAnalysis

I tipi di #Botnet

Le #botnet sono gruppi di device infetti (#zombie) controllati da un centro di comando e controllo (#C2)

Il numero di device tipicamente può superare il milione di unità e vengono comandati all'unisono dal C2 che è il punto debole.

Spento il C2, la botnet muore. Non vale la stessa cosa se viene eliminato un device dalla botnet.

Quindi il Re in questo scacchiere è proprio il C2 e deve essere superprotetto!

Per fare ciò le botnet si sono evolute da Botnet Centralizzate, dove il C2 risiede in un'unica infrastruttura, a quelle decentralizzate.

Nelle decentralizate, il c2 è composto da differenti zombie, quindi il #botMaster è in grado di controllare la botnet anche quando uno degli elementi del c2 viene spento.

Spesso queste utilizzano reti p2p già esistenti.

Le botnet sono una risorsa preziosa e vengono spessissimo affittate ad altri gruppi criminali per diffondere i propri #malware o per eseguire attacchi #DDoS a bersagli inconsapevoli.

Un esempio è il malware #Ryuk diffuso grazie alla botnet Trickbot.

Tra le botnet più pericolose degli ultimi anni troviamo #Emotet, #Trickbot e #Formbook.

Il protocollo di comunicazione utilizzato può essere sia di tipo pull che push, ma di questo vene parlo in un'altra pillola ;-)

Pillole
Visite: 5737

Pillole di #MalwareAnalysis

Uno degli #IoC facilmente identificabili di un #Malware è la sua firma #Hash.

Questa firma può essere generata con differenti algoritmi, e tra questi i più utilizzati abbiamo # MD5, # SHA1 e # SHA256. La caratteristica di queste firme è che se viene modificato anche un singolo bit del file sorgente gli Hash risultanti sono completamente differenti.

Se abbiamo due malware praticamente identici ma che all’interno contengono modifiche non sostanziali come ad esempio il dominio che viene contattato o che addirittura sono stati semplicemente compilati da due differenti compilatori avranno due hash completamente differenti.

Per superare questo problema ci viene in aiuto il #FuzzyHashing. Grazie al tool #SSdeep vengono creati hash incrementali dei differenti file e confrontati tra di loro per fornire poi la percentuale di similarità.

#Cybersecurity #ZeroDay #Hacker #APT

Pillole
Visite: 6133

Pillole di #MalwareAnalysis

Nella pillola precedente vi avevo parlato di Fuzzy Hashing, ora di #Imphash. Questo particolare hash riguarda la tabella #IAT (Importa Address Table) contenente tutte le funzioni importate dal #Malware. Queste funzioni e le relative librerie vengono messe in ordine di apparizione, riportate tutte in lettere minuscole, private delle estensioni (per le dll) e poi viene generato l’#hash #md5. Questo valore, che di per sé è poco indicativo, può permettere di capire se due differenti malware appartengono alla stessa famiglia e se sono stati generati dallo stesso threat actor.

Questo valore viene anche fornito da #VirusTotal il famoso motore di identificazione malware di proprietà di #Google.

#Hacker #ZeroDay #Cybersecurity

Pillole
Visite: 11577

Pillole di #MalwareAnalysis

Uno degli #IoC facilmente identificabili di un #Malware è la sua firma #Hash.

Questa firma può essere generata con differenti algoritmi, e tra questi i più utilizzati abbiamo # MD5, # SHA1 e # SHA256. La caratteristica di queste firme è che se viene modificato anche un singolo bit del file sorgente gli Hash risultanti sono completamente differenti.

Se abbiamo due malware praticamente identici ma che all’interno contengono modifiche non sostanziali come ad esempio il dominio che viene contattato o che addirittura sono stati semplicemente compilati da due differenti compilatori avranno due hash completamente differenti.

Per superare questo problema ci viene in aiuto il #FuzzyHashing. Grazie al tool #SSdeep vengono creati hash incrementali dei differenti file e confrontati tra di loro per fornire poi la percentuale di similarità.

#Cybersecurity #ZeroDay #Hacker #APT

Pillole
Visite: 5402

Pillole di #MalwareAnalysis

Durante il processo di #malware analisi è fondamentale l’ analisi dinamica. Durante questa fase è necessario attivare il Malware infettandosi volontariamente con lo scopo di analizzarne il comportamento. Tra i tools utilizzati sono fondamentali quelli appartenenti alla suite #Sysinternals di #Microsoft.

Tra questi il più importante di tutti è sicuramente #ProcessoMonitor.

Tramite PM è possibile catturare una quantità elevatissima di eventi riguardanti il processo da analizzare. In particolare, gli eventi di tipo Write attivati dell’esecuzione delle primitive #CreateFile e #RegSetValue che consentono di identificare i file creati dal malware e le chiavi di registro modificate o create ex novo.

#cybersecurity #hacker #penetrationtesting #zeroday #apt

  1. Pillole di Pentration Testing: Le forme di occupazione di dominio
  2. Pillole di Analisi Forense: LNK artefact and LECmd tools
  3. IAT Hooking
  4. Botnet e tecniche di fluxing

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:00 - 13:00
14:00 - 18:00

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2025 Fata Informatica. Tutti i diritti riservati.
We use cookies

Utilizziamo i cookie sul nostro sito Web. Alcuni di essi sono essenziali per il funzionamento del sito, mentre altri ci aiutano a migliorare questo sito e l'esperienza dell'utente (cookie di tracciamento). Puoi decidere tu stesso se consentire o meno i cookie. Ti preghiamo di notare che se li rifiuti, potresti non essere in grado di utilizzare tutte le funzionalità del sito.

Ok Rifiuta