Pillole di #MalwareAnalysisLa #persistenzaQuasi tutti i #malware per raggiungere il proprio scopo necessitano di ottenere la persistenza sui sistemi infettati. Dico quasi tutti perché a volte quelli nati per infettare i server non la implementano.Per persistenza si intende la capacità del malware di resistere
Pillole di #MalwareAnalysisI #PackerI packer sono dei software che vengono utilizzati dalle software house per proteggere il proprio codice da azioni di #reverseEngineering. Naturalmente questo rende più difficoltosa questa operazione ma non impossibile ;-). Gli sviluppatori di #Malware li utilizzano invece per
Pillole di #MalwareAnalysisImage File Execution Option #IFEO per la #persistenzaI metodi utilizzati dai #malware per mettersi in persistenza sono svariati, tra questi uno poco conosciuto è l’opzione IFEO (Image File Execution Option).Tramite questa opzione è possibile dire a
Pillole di #MalwareAnalysisIl #processHollowingQuesta tecnica di infezione prevede di svuotare un processo legittimo del suo codice (hollow) ed in seguito riempire l’area svuotata del codice malvolo.Per poter essere eseguita con successo bisogna:· lanciare il processo legittimo nello stato suspended con la
Pillole di #MalwareAnalysis
La struttura #PEB (Process Environment Block)
La PEB viene utilizzata da #Windows per gestire il processo che la detiene. Questa struttura fa parte di una struttura più grande chiamata #EPROCESS.
I campi della PEB non sono tutti
Pillole di #MalwareAnalysisMascherare un processo #Windows utilizzando la #PEBHo già spiegato in un post precedente cosa è la PEB e a cosa serve.Tra i vari campi ne esiste uno chiamato #ProcessParameters, che si trova all’offset 0x020h, e che è a sua volta una
Pillole di #MalwareAnalysisSimulare una reteQuando creiamo i nostri laboratori per eseguire malware analysis è fondamentale fare in modo che i #malware non siano connessi in rete e non possano contattare il proprio #C2.Diventa fondamentale quindi simulare una rete per consentire al malware di operare
Pillole di #MalwareAnalysis#APC INJECTIONAPC è il sinonimo di #AsyncronousProcedureCalls e si riferisce a una funzione eseguita in maniera asincrona rispetto all’esecuzione di un #Thread.In pratica ogni Thread ha una propria coda APC all’interno della quale trova tutta una serie di funzioni da
Pillole di #Malware #AnalysisI #Macro malwareIl formato file più utilizzato per la diffusione del malware è sicuramente il formato office, ovvero .docx .xlsx .pptx etc…Un report di #Verizon ci dice che il metodo di delivery del malware utilizzato nel 98% delle volte è una email, che nel 45% dei casi
PILLOLE DI #MALWAREANALYSISLa manipolazione dei processiUna delle azioni tipiche di un #malware è la manipolazione dei processi ovvero la capacità di identificare un processo target per eseguirne una modifica.Ma come si fa ad identificare un processo target?La prima cosa che deve fare è
Pillole di #MalwareAnalysisIl tool #ExeinfoCapire se un file è stato compresso è generalmente un'operazione semplice, basta aprirlo con un editor PE per notare che il nome delle sezioni è stato modificato in qualcosa come UPX0 o ASPACKxxx etc.A seconda del loro nome un
PILLOLE DI #MALWAREANALYSIS
I laboratori per la malware analisi
Per analizzare un #malware è fondamentale avere un proprio laboratorio pronto all’utilizzo. La scelta ricade sempre tra un laboratorio “bare metal” oppure una macchina virtuale, ma è indubbio che la seconda è estremamente più
PILLOLE DI #MALWAREANALYSISAPC injectionUna delle tecniche utilizzate dai malware per infettare un device in ambiente windows è la #APCinjection.APC è l’acronimo di Asyncronous Procedure Call e si riferisce ad una funzione che viene eseguita asincronamente nel contesto di uno specifico thread.Quando una APC viene
Pagina 2 di 2