Pillole di #MalwareAnalysis
Le #DLL sono dei particolari file utilizzati in ambiente #Windows con lo scopo di rendere disponibili ad altri programmi specifiche funzioni.
Questa caratteristica permette al programma fruitore di poter utilizzare funzioni fornite dalla DLL senza doverle riscrivere nuovamente .
Ad es. User32.dll fornisce tutte le API per poter lavorare con l’interfaccia grafica, come ad esempio MessageBox(), un programma che deve utilizzare questa primitiva potrà caricare User32.dll ed utilizzare la funzione per poter mostrare una finestra di messaggio senza la necessità di doverla riscrivere di nuovo.
Naturalmente i #malware approfittano di questa caratteristica vanno a manipolare le DLL per iniettare codice malevolo all’interno del programma fruitore.
Questo viene ottenuto con diversi tipi di attacchi, uno di questi è il DLL search order hijacking che prevede di ingannare Windows sfruttando l’ordine di ricerca delle DLL all’interno del file system.
In pratica Windows quando deve caricare una dll la ricerca secondo uno schema predefinito, se l’attaccante riesce a mettere nella catena di ricerca una DLL malevola prima di quella legittima il gioco è fatto.
#cybersecurity #cybersecurityup #hacker #dllsearchorderhijacking #zeroday
Pillole di #MalwareAnalysis
Durante un’analisi dinamica di un potenziale #malware è fondamentale la conoscenza dei processi (legittimi) che vengono eseguiti in #Windows e quali di questi sono gli obiettivi preferiti per un attacco.
Sicuramente uno dei più bersagliati ma anche dei più importanti è il processo #Svchost.exe che nasce per poter lanciare servizi che si trovano all’interno di DLL .
Con l’opzione -k è in grado di lanciare gruppi di servizi come il gruppo DcomLaunch responsabile dell’esecuzione delle librerie DCOM e COM.
Su ogni sistema esistono decine di servizi Svchost e tutti hanno in comune lo stesso padre il #ServiceControlManager (Services.exe).
Provate a lanciare ‘Process Explorer’ della famiglia #SysInternals (si scarica gratuitamente dal sito Microsoft) ed andate a controllare i servizi in esecuzione, ma attenzione, se vi accorgete che un Svchost non è figlio di Services.exe (SCM) allora …”Huston, abbiamo un problema!” 😉
#cybersecurityup #cybersecurity #hacker #penetesting