Pillole di #MalwareAnalysis
Una delle principali tecniche utilizzate dai #malware è quella della #DLLinjection Da una semplice analisi dinamica è difficile individuare questo comportamento ma non impossibile. Le principali primitive utilizzate, e da ricercare eventualmente nelle stringhe sono #OpenProcess (utilizzata per ottenere l’handle del processo vittima), #VirtualAllcEx (per allocare spazio nell’area di memoria del processo vittima), #WriteProcessMemory(per scrivere nell’area di memoria creata in precedenza il nome della dll da iniettare), #LoadLibrary (per permettere di caricare in memoria la dll) ed infine #CreateRemoteThread (per creare un thread nel processo vittima che lanci LoadLibray e carichi la dll scritta nell’area creata da VirtualAllocEx).
Un gioco da ragazzi 😉
#Cybersecurity #CybersecurityUp #ZeroDay #Hacker
Pillole di #MalwareAnalysis
Il processo Explorer.exe
Come ho detto più volte la fase di analisi dinamica del Malware, necessita di una approfondita conoscenza dei processi attivi all’interno del sistema operativo Host.
Naturalmente Windows è il principale bersaglio, quindi è necessaria una conoscenza dei processi legittimi che girano nel SO Windows e del loro comportamento per poter scovare poi quelli ‘illegittimi’.
Tra i processi legittimi abbiamo sicuramente la shell di #Windows eseguita dal processo #Explorer.exe.
E' fondamentale notare che Explorer è un processo orfano, non ha padre. Infatti, viene lanciato dal processo Userinit.exe che ha il compito di lanciare tutti i programmi della shell utente, compresa la shell stessa ed una volta adempiuta la sua funzione termina la sua esecuzione, lasciando così Explorer orfano.
Un’altra peculiarità di Explorer è che NON segue traffico di rete. Avete capito bene, Explorer non manda in rete neanche un bit! Lo fanno invece i suoi processi figli, come potrebbe essere ad esempio un browser.
Quindi ricapitolando, analizzando i processi con Process Explorer, dobbiamo notare che Explorer non ha PPID (PID del processo padre) e non fa traffico il rete.
Il vostro Explorer non risponde a queste caratteristiche? Probabilmente è stato alterato o sostituito, in ogni caso avete un problema!