Pillole
Visite: 4764

Pillole di #Malware #Analysis
I #Macro malware
Il formato file più utilizzato per la diffusione del malware è sicuramente il formato office, ovvero .docx .xlsx .pptx etc…
Un report di #Verizon ci dice che il metodo di delivery del malware utilizzato nel 98% delle volte è una email, che nel 45% dei casi contiene un file office.
Questi file contengono le famigerate Macro, ovvero script che #Microsoft ha creato per automatizzare le operazioni su questi prodotti ma che vengono utilizzati in maniera illecita per infettare il pc della vittima.
Queste macro si avvalgono nella maggioranza dei casi di una #Powershell di #Windows che esegue codice criptato, e nella mia esperienza la codifica più utilizzata è la #Base64.
Powershell si presta così bene perché è talmente potente da poter eseguire la stessa azione modificando l’ordine dei parametri, modificandone la capitalizzazione delle lettere e persino il nome del parametro stesso.
Questi script sono spesso lunghissimi, oltre i 500 caratteri, e contengono una molteplicità di funzioni innestate che forniscono un parametro essenziale per la funzione di più alto livello.
Il codice che vedete dentro la bandiera del logo di questo gruppo appartiene proprio a questa categoria.
Se vi interessa questo tipo di analisi potete trovare un video sul canale youtube di #CybersecurityUP.
Una lettura estremamente interessate è "The increased use of Powershell Attacks" di Symantec

Pillole
Visite: 4799

PILLOLE DI #MALWAREANALYSIS
La manipolazione dei processi
Una delle azioni tipiche di un #malware è la manipolazione dei processi ovvero la capacità di identificare un processo target per eseguirne una modifica.
Ma come si fa ad identificare un processo target?
La prima cosa che deve fare è vedere quali sono i processi attivi e per fare questo in ambiente Windows viene utilizzata la primitiva #CreateToolHelp32Snapshot. Questa restituisce una struttura contenente l’elenco di tutti i processi attivi nel sistema.
Consideriamo che il nome di questa struttura sia hProcessSnap.
hProcessSnap viene poi passato alla coppia di primitive #Process32First e #Process32Next che permettono di ciclare tra l’elenco dei processi in hProcessSnap.
Una volta identificato il processo, si esegue la manipolazione utilizzando la struttura #PROCESSENTRY32 restituita dalla coppia di primitive precedenti.

Pillole
Visite: 6068

PILLOLE DI #MALWAREANALYSIS

I laboratori per la malware analisi

Per analizzare un #malware è fondamentale avere un proprio laboratorio pronto all’utilizzo. La scelta ricade sempre tra un laboratorio “bare metal” oppure una macchina virtuale, ma è indubbio che la seconda è estremamente più flessibile da utilizzare soprattuto per la facilità con cui si può ristabilire la condizione preinfezione.

Infatti, un laboratorio durante un’analisi dinamica viene infettato volutamente dal malware da studiare per consentire all’analista di scoprirne gli effetti. Una vola terminata l’analisi è necessario ristabilire il laboratorio alla fase preinfezione, cosa estremamente semplice con gli snapshot.

Esistono diverse VM disponibili gratuitamente online ma nel mio corso di Dynamic Malware Analyst utilizzo #Flare VM, la macchina virtuale basata su Windows fornita dal famoso team #Mandiat di #FireEye. Dentro FlareVM troviamo tutto ciò che può servire ad un malware analyst da debugger, a disassembler, decompilatori, utilities per l’analisi statica e dinamica, Floss, Fakenet-NG etc…

Pillole
Visite: 5222

Pillole di #MalwareAnalysis
Il tool #Exeinfo
Capire se un file è stato compresso è generalmente un'operazione semplice, basta aprirlo con un editor PE per notare che il nome delle sezioni è stato modificato in qualcosa come UPX0 o ASPACKxxx etc.
A seconda del loro nome un analista esperto è in grado di capire il programma di compressione utilizzato.
Un analista meno esperto però può utilizzare ExeInfo, un tool estremamente semplice che non necessita di installazione.
Exeinfo non solo ci dice immediatamente se il file è stato compresso, ma è in grado anche di identificare il programma di compressione utilizzando arrivando a suggerire persino le istruzioni a riga di comando da lanciare per la decompressione.
Sicuramente un must have nell'arsenale del perfetto malware analyst.

 

Pillole
Visite: 5412

Pillole di #MalwareAnalysis
Visto che dopo la pillola di ieri è emerso un forte interessi riguardante la sicurezza di una Virtual Machine, e che oggi, per ovvi motivi, non posso neanche uscire a fare una passeggiata ?? ho deciso di parlarvi di #VENOM.
VENOM è una vulnerabilità (non un malware) scoperta da Jason #Geffner, Senior Security Researcher di #CrowdStrike nel 2015 e catalogata come CVE-2015-3456.
In particolare, il componente #QEMU, un driver open source che nella componete #FDC gestisce i floppy disk, adottato da #KVM, #XEN e #VirtualBox (i più stagionati sanno di cosa sto parlando), è stato trovato suscettibile di attacco a buffer overflow.
Un #bufferOverflow comporta la possibilità di iniettare codice al di fuori della memoria virtuale associata al processo target, con la possibilità di poter andare a scrivere in un’area di memoria appartenente al sistema host.
Le implicazioni di questa vulnerabilità sono spaventose: un malware potrebbe eseguire quello che viene definito #HyperJump, ovvero evadere dalla VM ed infettare il SO ospitante.
Dopo poche settimane dalla divulgazione di VENOM è stata prontamente creata la patch ed eliminata la vulnerabilità.
Questo però ha fatto tremare le gambe a tutti coloro che giocano con i malware in laboratori virtuali, me compreso?????? !
Per utilizzare un laboratorio virtuale è fondamentale l’isolamento della VM quindi:
· Nessun disco condiviso con il SO host
· Sistema Host e VM non devono poter comunicare tramite rete
· Lavorare su sistemi Host non in produzione (tanto per essere sicuri ??)
I malware, poi, possono utilizzare in maniera intelligente le macchine virtuali ma con obiettivi differenti dall’Hyperjump, come ad esempio #Ragnar o #Crisis … ma questa è un’altra storia e se volete ve ne parlerò in una prossima pillola.

  1. APC Injection
  2. Mitre Att&ck & company
  3. Il gruppo APT Sandworm continua a minacciare l'Ucraina

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:00 - 13:00
14:00 - 18:00

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2025 Fata Informatica. Tutti i diritti riservati.
We use cookies

Utilizziamo i cookie sul nostro sito Web. Alcuni di essi sono essenziali per il funzionamento del sito, mentre altri ci aiutano a migliorare questo sito e l'esperienza dell'utente (cookie di tracciamento). Puoi decidere tu stesso se consentire o meno i cookie. Ti preghiamo di notare che se li rifiuti, potresti non essere in grado di utilizzare tutte le funzionalità del sito.

Ok Rifiuta