Articoli e Pillole

  • Nella pillola precedente ho parlato dei malware metamorfici e della loro capacità di modificare il proprio codice sorgente. Le principali techiche utilizzate sono la Dead Code Insertion, il Soubroutine Reordering o la Code Transposition.
    La tecnica del Dead Code Injection prevede di inserire codice,...
  • Una caratteristica fondamentale per la sopravvivenza del #malware è la sua capacità di nascondersi ai sistemi di detection.
    Per fare questo è fondamentale che la propria firma #hash vari in continuazione, altrimenti sarebbe facilmente identificabile.
    Nascono così i malware polimorfici, ovvero una

    ...
  • Nella pillola precedente vi avevo parlato delle tecniche antidebugging utilizzate dai malware e vi avevo parlato dell'utilizzo della primitiva CreateToolhelp32Snapshot per ricercare un processo.
    Oggi vi mostro una routine scritta in C per dimostrarvi come si può fare.
    Ho commentato il codice per renderlo più leggibile....

  • Continuo il discorso della pillola precedente sulle tecniche di #antidebugging utilizzate dai #malware.
    La volta scorsa vi ho parlato del campo #BeingDebugged all'interno della #PEB, oggi vi parlerò di un'altra tecnica.
    Oltre a controllare questo campo nella PEB, i malware utilizzano la tecnica della scansione dei processi in memoria per identificare un #debugger in

    ...
  • La  #malwareAnalysis prevede lo studio del #malware e dei suoi comportamenti.
    Questo può essere fatto in modalità statica (senza eseguire il malware) o dinamica (eseguendo il malware in ambiente controllato).
    L'analisi dinamica avanzata prevede di eseguire un malware all'interno di un

    ...
  • Le Yara Rules sono un vero e proprio linguaggio, ideato da Victor Alvarez di #VirusTotal per identificare un malware.
    Prima della sua nascita i #malwareAnalyst non avevano una struttura sintattica rinosciuta per descrivere un malware, quindi ognuno lo descriveva a modo suo ;-)
    Ogni regola è suddivisa in tre

    ...
  • Facendo seguito alla pillola della settimana scorso oggi vi continua a parlare di memoria.

    La memoria si divide in due aree distinte:

    Lo User Space, che è un insieme di posizioni in cui vengono eseguiti i normali processi utente ed è dove viene mappato il VAS (Virtual Address Space) che vi ho descritto nella pillola

    ...
  • Per poter fare efficacemente #malwareAnalysis è importante capire le strutture di memoria dei sistemi operativi.
    Tra queste è fondamentale comprendere il concetto di #VAS o virtual address space.
    Lo spazio degli indirizzi virtuali può essere definito come l'intervallo di indirizzi con cui un processo funziona

    ...
  • Per poter eseguire un'efficace analisi del #malware è fondamentale sapere cosa sia un malware e come viene classificato.
    Come definizioni potremmo utilizzarne tante, ma a me piace questa Il malware è un software eseguito su un sistema all'insaputa del suo amministratore
    I malware si possono classificare in base a 3 differenti parametri: Tipologia,

    ...
  • Il registro #KnownDll viene utilizzato da à#Windows per velocizzare il caricamento delle DLL più comuni ma anche come meccanismo di protezione.
    Queste DLL si trovano nel registro HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls e vengono carica dal sistema operativo al suo avvio.
    Quando un...
  • Complice la recente rivelazione di una nuova superficie d’attacco per i server microsoft exchange non aggiornati da maggio scorso la diffusione di nuovi ransomware non tende a diminuire assolutamente, attraverso le Attack-Chain di ProxyShell e PetitPotam, LockFile ha fatto la sua comparsa. A prima vista si tratta di un clone di Lockbit 2.0 dato che la sua hta (pagina di

    ...
  • Una delle caratteristiche dei malware è la capacità di individuare e disattivare sistemi di end point detection o antivirus.
    Ma come possono eseguire queste operazioni?
    Parlando di processi che operano in ambiente windows è necessario che il software malevolo sia in grado di creare uno snapshot della memoria, ciclare su tutti i processi ivi presenti, individuare

    ...
  • Pillole di Malware Analysis

    I protection Ring

    I #malware possono essere classificati dividendoli per tipologia (#Trojan, #Ransomware, #AdWare etc...), per comportamento (rubare informazioni, negare un servizio, prosciugare le risorse di un host etc...) e per privilegi.

    In questa piccola

    ...
  • Pillole di #MalwareAnalysis

    Uno degli #IoC facilmente identificabili di un #Malware è la sua firma #Hash.

    Questa firma può essere generata con differenti algoritmi, e tra questi i più utilizzati abbiamo # MD5, # SHA1 e # SHA256. La

    ...
  • Pillole di #MalwareAnalysis

    Uno degli #IoC facilmente identificabili di un #Malware è la sua firma #Hash.

    Questa firma può essere generata con differenti algoritmi, e tra questi i più utilizzati abbiamo # MD5, # SHA1 e # SHA256. La

    ...
  • Pillole di #MalwareAnalysis

    Nella pillola precedente vi avevo parlato di Fuzzy Hashing, ora di #Imphash. Questo particolare hash riguarda la tabella #IAT (Importa Address Table) contenente tutte le funzioni importate dal #Malware. Queste funzioni e le relative librerie vengono messe in ordine di

    ...
  • Pillole di #MalwareAnalysis

    Durante il processo di #malware analisi è fondamentale l’ analisi dinamica. Durante questa fase è necessario attivare il Malware infettandosi volontariamente con lo scopo di analizzarne il comportamento. Tra i tools utilizzati sono fondamentali quelli appartenenti alla suite

    ...
  • Pillole di #MalwareAnalisys

    Una delle tecniche utilizzate dai malware per colpire un processo è quella dell’#IAT #hooking. Questa tecnica prevede la modifica dell’indirizzo di chiamata di una funzione nella Import Address Table del processo vittima. Il Malware apre il processo vittima, esegue una scansione della

    ...
  • Pillole di #MalwareAnalysis

    Le #DLL sono dei particolari file utilizzati in ambiente #Windows con lo scopo di rendere disponibili ad altri programmi specifiche funzioni.

    Questa caratteristica permette al programma fruitore di poter utilizzare funzioni fornite dalla DLL senza doverle riscrivere nuovamente .

    Ad es.

    ...
  • Pillole di #MalwareAnalysis
    Una delle principali tecniche utilizzate dai #malware è quella della #DLLinjection   Da una semplice analisi dinamica è difficile individuare questo comportamento ma non impossibile. Le principali primitive utilizzate, e da ricercare eventualmente nelle stringhe sono

    ...

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
  • Ethical Hacking
  • Red Teaming
  • Penetration Testing
  • Security Code Review
  • SOC 24x7
  • Formazione specialistica
Image
Image
Image

Vieni a trovarci

Vieni a trovarci nella nostra sede a Roma, in Via Tiburtina 912, CAP 00156, ROMA, dal Lunedì al Venerdì dalle ore 9:30 - 18:30
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:30 - 13:00
14:00 - 18:30

+39 06 4080 0490

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2022 Fata Informatica. Tutti i diritti riservati.
We use cookies

Utilizziamo i cookie sul nostro sito Web. Alcuni di essi sono essenziali per il funzionamento del sito, mentre altri ci aiutano a migliorare questo sito e l'esperienza dell'utente (cookie di tracciamento). Puoi decidere tu stesso se consentire o meno i cookie. Ti preghiamo di notare che se li rifiuti, potresti non essere in grado di utilizzare tutte le funzionalità del sito.