Pillole
Visite: 5808

Pillole di #MalwareAnalysis

Le #DLL sono dei particolari file utilizzati in ambiente #Windows con lo scopo di rendere disponibili ad altri programmi specifiche funzioni.

Questa caratteristica permette al programma fruitore di poter utilizzare funzioni fornite dalla DLL senza doverle riscrivere nuovamente .

Ad es. User32.dll fornisce tutte le API per poter lavorare con l’interfaccia grafica, come ad esempio MessageBox(), un programma che deve utilizzare questa primitiva potrà caricare User32.dll ed utilizzare la funzione per poter mostrare una finestra di messaggio senza la necessità di doverla riscrivere di nuovo.

Naturalmente i #malware approfittano di questa caratteristica vanno a manipolare le DLL per iniettare codice malevolo all’interno del programma fruitore.

Questo viene ottenuto con diversi tipi di attacchi, uno di questi è il DLL search order hijacking che prevede di ingannare Windows sfruttando l’ordine di ricerca delle DLL all’interno del file system.

In pratica Windows quando deve caricare una dll la ricerca secondo uno schema predefinito, se l’attaccante riesce a mettere nella catena di ricerca una DLL malevola prima di quella legittima il gioco è fatto.

#cybersecurity #cybersecurityup #hacker #dllsearchorderhijacking #zeroday

Pillole
Visite: 5926

Pillole di #MalwareAnalysis
Una delle principali tecniche utilizzate dai #malware è quella della #DLLinjection   Da una semplice analisi dinamica è difficile individuare questo comportamento ma non impossibile. Le principali primitive utilizzate, e da ricercare eventualmente nelle stringhe sono #OpenProcess (utilizzata per ottenere l’handle del processo vittima), #VirtualAllcEx (per allocare spazio nell’area di memoria del processo vittima), #WriteProcessMemory(per scrivere nell’area di memoria creata in precedenza il nome della dll da iniettare), #LoadLibrary (per permettere di caricare in memoria la dll) ed infine #CreateRemoteThread (per creare un thread nel processo vittima che lanci LoadLibray e carichi la dll scritta nell’area creata da VirtualAllocEx).
Un gioco da ragazzi 😉
#Cybersecurity #CybersecurityUp #ZeroDay #Hacker

Pillole
Visite: 5712

Pillole di #MalwareAnalysis

Il processo Explorer.exe

Come ho detto più volte la fase di analisi dinamica del Malware, necessita di una approfondita conoscenza dei processi attivi all’interno del sistema operativo Host.

Naturalmente Windows è il principale bersaglio, quindi è necessaria una conoscenza dei processi legittimi che girano nel SO Windows e del loro comportamento per poter scovare poi quelli ‘illegittimi’.

Tra i processi legittimi abbiamo sicuramente la shell di #Windows eseguita dal processo #Explorer.exe.

E' fondamentale notare che Explorer è un processo orfano, non ha padre. Infatti, viene lanciato dal processo Userinit.exe che ha il compito di lanciare tutti i programmi della shell utente, compresa la shell stessa ed una volta adempiuta la sua funzione termina la sua esecuzione, lasciando così Explorer orfano.

Un’altra peculiarità di Explorer è che NON segue traffico di rete. Avete capito bene, Explorer non manda in rete neanche un bit! Lo fanno invece i suoi processi figli, come potrebbe essere ad esempio un browser.

Quindi ricapitolando, analizzando i processi con Process Explorer, dobbiamo notare che Explorer non ha PPID (PID del processo padre) e non fa traffico il rete.

Il vostro Explorer non risponde a queste caratteristiche? Probabilmente è stato alterato o sostituito, in ogni caso avete un problema!

Pillole
Visite: 4667

Pillole di #MalwareAnalysis
Durante un’analisi dinamica di un potenziale #malware è fondamentale la conoscenza dei processi (legittimi) che vengono eseguiti in #Windows e quali di questi sono gli obiettivi preferiti per un attacco.
Sicuramente uno dei più bersagliati ma anche dei più importanti è il processo #Svchost.exe che nasce per poter lanciare servizi che si trovano all’interno di DLL .
Con l’opzione -k è in grado di lanciare gruppi di servizi come il gruppo DcomLaunch responsabile dell’esecuzione delle librerie DCOM e COM.
Su ogni sistema esistono decine di servizi Svchost e tutti hanno in comune lo stesso padre il #ServiceControlManager (Services.exe).
Provate a lanciare ‘Process Explorer’ della famiglia #SysInternals (si scarica gratuitamente dal sito Microsoft) ed andate a controllare i servizi in esecuzione, ma attenzione, se vi accorgete che un Svchost non è figlio di Services.exe (SCM) allora …”Huston, abbiamo un problema!” 😉
#cybersecurityup #cybersecurity #hacker #penetesting

Pillole
Visite: 6623

Pillole di #MalwareAnalysis
I processi #WinLogon.exe e #Userinit.exe
Il processo Winlogon gestisce il login interattivo dell’utente e rimane sempre in ascolo della SAS (secure attention sequence) che è la famosissima sequenza di tasti CTRL-ALT-CANC
Quando viene rilevata lancia il processo #LogonUI.exe che cattura le credenziali Login e Password e le invia al processo #LSASS.exe (Local Security Authentication Service) per la generazione del Token che definisce i diritti utente.
A questo punto LogonUI.exe si stoppa ma il token generato viene utilizzato da Winlogon.exe per inizializzare il processo utente. Ora viene chiamato in causa proprio UserInit.exe che ha il compito di inizializzare lo user environment e lanciare la shell di windows Explorer.exe. Dopo aver eseguito il suo compito, proprio come ha fatto LogonUI.exe, il processo Userinit.exe si stoppa lasciando la shell di windows (Explorer.exe) orfana.
Userinit viene spesso presa di mira dal malware prova a creare processi con nomi simili, ma dovete ricordare che questo processo è attivo solo all’inizializzazione dell’ambiente e una volta lanciato Explorer.exe cessa di esistere.
Quindi esplorando i vostri servizi NON dovete trovare nessun processo attivo che abbia questo nome.

  1. La Persistenza dei malware
  2. I Packer
  3. Image File Execution Option
  4. Il Process Hollowing

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:00 - 13:00
14:00 - 18:00

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2025 Fata Informatica. Tutti i diritti riservati.
We use cookies

Utilizziamo i cookie sul nostro sito Web. Alcuni di essi sono essenziali per il funzionamento del sito, mentre altri ci aiutano a migliorare questo sito e l'esperienza dell'utente (cookie di tracciamento). Puoi decidere tu stesso se consentire o meno i cookie. Ti preghiamo di notare che se li rifiuti, potresti non essere in grado di utilizzare tutte le funzionalità del sito.

Ok Rifiuta