Articoli e Pillole

  • Complice la recente rivelazione di una nuova superficie d’attacco per i server microsoft exchange non aggiornati da maggio scorso la diffusione di nuovi ransomware non tende a diminuire assolutamente, attraverso le Attack-Chain di ProxyShell e PetitPotam, LockFile ha fatto la sua comparsa. A prima vista si tratta di un clone di Lockbit 2.0 dato che la sua hta (pagina di

    ...
  • Una delle caratteristiche dei malware è la capacità di individuare e disattivare sistemi di end point detection o antivirus.
    Ma come possono eseguire queste operazioni?
    Parlando di processi che operano in ambiente windows è necessario che il software malevolo sia in grado di creare uno snapshot della memoria, ciclare su tutti i processi ivi presenti, individuare

    ...
  • Pillole di Malware Analysis

    I protection Ring

    I #malware possono essere classificati dividendoli per tipologia (#Trojan, #Ransomware, #AdWare etc...), per comportamento (rubare informazioni, negare un servizio, prosciugare le risorse di un host etc...) e per privilegi.

    In questa piccola

    ...
  • Pillole di #MalwareAnalysis

    Uno degli #IoC facilmente identificabili di un #Malware è la sua firma #Hash.

    Questa firma può essere generata con differenti algoritmi, e tra questi i più utilizzati abbiamo # MD5, # SHA1 e # SHA256. La

    ...
  • Pillole di #MalwareAnalysis

    Uno degli #IoC facilmente identificabili di un #Malware è la sua firma #Hash.

    Questa firma può essere generata con differenti algoritmi, e tra questi i più utilizzati abbiamo # MD5, # SHA1 e # SHA256. La

    ...
  • Pillole di #MalwareAnalysis

    Nella pillola precedente vi avevo parlato di Fuzzy Hashing, ora di #Imphash. Questo particolare hash riguarda la tabella #IAT (Importa Address Table) contenente tutte le funzioni importate dal #Malware. Queste funzioni e le relative librerie vengono messe in ordine di

    ...
  • Pillole di #MalwareAnalysis

    Durante il processo di #malware analisi è fondamentale l’ analisi dinamica. Durante questa fase è necessario attivare il Malware infettandosi volontariamente con lo scopo di analizzarne il comportamento. Tra i tools utilizzati sono fondamentali quelli appartenenti alla suite

    ...
  • Pillole di #MalwareAnalisys

    Una delle tecniche utilizzate dai malware per colpire un processo è quella dell’#IAT #hooking. Questa tecnica prevede la modifica dell’indirizzo di chiamata di una funzione nella Import Address Table del processo vittima. Il Malware apre il processo vittima, esegue una scansione della

    ...
  • Pillole di #MalwareAnalysis

    Le #DLL sono dei particolari file utilizzati in ambiente #Windows con lo scopo di rendere disponibili ad altri programmi specifiche funzioni.

    Questa caratteristica permette al programma fruitore di poter utilizzare funzioni fornite dalla DLL senza doverle riscrivere nuovamente .

    Ad es.

    ...
  • Pillole di #MalwareAnalysis
    Una delle principali tecniche utilizzate dai #malware è quella della #DLLinjection   Da una semplice analisi dinamica è difficile individuare questo comportamento ma non impossibile. Le principali primitive utilizzate, e da ricercare eventualmente nelle stringhe sono

    ...
  • Pillole di #MalwareAnalysis
    Durante un’analisi dinamica di un potenziale #malware è fondamentale la conoscenza dei processi (legittimi) che vengono eseguiti in #Windows e quali di questi sono gli obiettivi preferiti per un attacco.
    Sicuramente uno dei più bersagliati ma anche dei più importanti è il

    ...
  • Pillole di #MalwareAnalysis

    Il processo Explorer.exe

    Come ho detto più volte la fase di analisi dinamica del Malware, necessita di una approfondita conoscenza dei processi attivi all’interno del sistema operativo Host.

    Naturalmente Windows è il principale bersaglio, quindi è

    ...
  • Pillole di #MalwareAnalysis
    La #persistenza
    Quasi tutti i #malware per raggiungere il proprio scopo necessitano di ottenere la persistenza sui sistemi infettati. Dico quasi tutti perché a volte quelli nati per infettare i server non la implementano.
    Per persistenza si intende la capacità del malware di resistere

    ...
  • Pillole di #MalwareAnalysis
    I #Packer
    I packer sono dei software che vengono utilizzati dalle software house per proteggere il proprio codice da azioni di #reverseEngineering. Naturalmente questo rende più difficoltosa questa operazione ma non impossibile ;-). Gli sviluppatori di #Malware li utilizzano invece per

    ...
  • Pillole di #MalwareAnalysis
    Image File Execution Option #IFEO per la #persistenza
    I metodi utilizzati dai #malware per mettersi in persistenza sono svariati, tra questi uno poco conosciuto è l’opzione IFEO (Image File Execution Option).
    Tramite questa opzione è possibile dire a

    ...
  • Pillole di #MalwareAnalysis
    Il #processHollowing
    Questa tecnica di infezione prevede di svuotare un processo legittimo del suo codice (hollow) ed in seguito riempire l’area svuotata del codice malvolo.
    Per poter essere eseguita con successo bisogna:
    · lanciare il processo legittimo nello stato suspended con la

    ...
  • Pillole di #MalwareAnalysis

    La struttura #PEB (Process Environment Block)

    La PEB viene utilizzata da #Windows per gestire il processo che la detiene. Questa struttura fa parte di una struttura più grande chiamata #EPROCESS.

    I campi della PEB non sono tutti

    ...
  • Pillole di #MalwareAnalysis
    Mascherare un processo #Windows utilizzando la #PEB
    Ho già spiegato in un post precedente cosa è la PEB e a cosa serve.
    Tra i vari campi ne esiste uno chiamato #ProcessParameters, che si trova all’offset 0x020h, e che è a sua volta una

    ...
  • Pillole di #MalwareAnalysis
    Simulare una rete
    Quando creiamo i nostri laboratori per eseguire malware analysis è fondamentale fare in modo che i #malware non siano connessi in rete e non possano contattare il proprio #C2.
    Diventa fondamentale quindi simulare una rete per consentire al malware di operare

    ...
  • Pillole di #MalwareAnalysis
    #APC INJECTION
    APC è il sinonimo di #AsyncronousProcedureCalls e si riferisce a una funzione eseguita in maniera asincrona rispetto all’esecuzione di un #Thread.
    In pratica ogni Thread ha una propria coda APC all’interno della quale trova tutta una serie di funzioni da

    ...

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
  • Ethical Hacking
  • Red Teaming
  • Penetration Testing
  • Security Code Review
  • SOC 24x7
  • Formazione specialistica
Image
Image
Image

Vieni a trovarci

Vieni a trovarci nella nostra sede a Roma, in Via Tiburtina 912, CAP 00156, ROMA, dal Lunedì al Venerdì dalle ore 9:30 - 18:30
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:30 - 13:00
14:00 - 18:30

+39 06 4080 0490

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
© 2021 Fata Informatica. Tutti i diritti riservati.