Pillole di #MalwareAnalysis
Durante un’analisi dinamica di un potenziale #malware è fondamentale la conoscenza dei processi (legittimi) che vengono eseguiti in #Windows e quali di questi sono gli obiettivi preferiti per un attacco.
Sicuramente uno dei più bersagliati ma anche dei più importanti è il

Pillole di #MalwareAnalysis

Il processo Explorer.exe

Come ho detto più volte la fase di analisi dinamica del Malware, necessita di una approfondita conoscenza dei processi attivi all’interno del sistema operativo Host.

Naturalmente Windows è il principale bersaglio, quindi è

Pillole di #MalwareAnalysis
La #persistenza
Quasi tutti i #malware per raggiungere il proprio scopo necessitano di ottenere la persistenza sui sistemi infettati. Dico quasi tutti perché a volte quelli nati per infettare i server non la implementano.
Per persistenza si intende la capacità del malware di resistere

Pillole di #MalwareAnalysis
I #Packer
I packer sono dei software che vengono utilizzati dalle software house per proteggere il proprio codice da azioni di #reverseEngineering. Naturalmente questo rende più difficoltosa questa operazione ma non impossibile ;-). Gli sviluppatori di #Malware li utilizzano invece per

Pillole di #MalwareAnalysis
Image File Execution Option #IFEO per la #persistenza
I metodi utilizzati dai #malware per mettersi in persistenza sono svariati, tra questi uno poco conosciuto è l’opzione IFEO (Image File Execution Option).
Tramite questa opzione è possibile dire a

Pillole di #MalwareAnalysis
Il #processHollowing
Questa tecnica di infezione prevede di svuotare un processo legittimo del suo codice (hollow) ed in seguito riempire l’area svuotata del codice malvolo.
Per poter essere eseguita con successo bisogna:
· lanciare il processo legittimo nello stato suspended con la

Pillole di #MalwareAnalysis

La struttura #PEB (Process Environment Block)

La PEB viene utilizzata da #Windows per gestire il processo che la detiene. Questa struttura fa parte di una struttura più grande chiamata #EPROCESS.

I campi della PEB non sono tutti

Pillole di #MalwareAnalysis
Mascherare un processo #Windows utilizzando la #PEB
Ho già spiegato in un post precedente cosa è la PEB e a cosa serve.
Tra i vari campi ne esiste uno chiamato #ProcessParameters, che si trova all’offset 0x020h, e che è a sua volta una

Pillole di #MalwareAnalysis
Simulare una rete
Quando creiamo i nostri laboratori per eseguire malware analysis è fondamentale fare in modo che i #malware non siano connessi in rete e non possano contattare il proprio #C2.
Diventa fondamentale quindi simulare una rete per consentire al malware di operare

Pillole di #MalwareAnalysis
#APC INJECTION
APC è il sinonimo di #AsyncronousProcedureCalls e si riferisce a una funzione eseguita in maniera asincrona rispetto all’esecuzione di un #Thread.
In pratica ogni Thread ha una propria coda APC all’interno della quale trova tutta una serie di funzioni da

Pillole di #Malware #Analysis
I #Macro malware
Il formato file più utilizzato per la diffusione del malware è sicuramente il formato office, ovvero .docx .xlsx .pptx etc…
Un report di #Verizon ci dice che il metodo di delivery del malware utilizzato nel 98% delle volte è una email, che nel 45% dei casi

PILLOLE DI #MALWAREANALYSIS
La manipolazione dei processi
Una delle azioni tipiche di un #malware è la manipolazione dei processi ovvero la capacità di identificare un processo target per eseguirne una modifica.
Ma come si fa ad identificare un processo target?
La prima cosa che deve fare è

Pillole di #MalwareAnalysis
Il tool #Exeinfo
Capire se un file è stato compresso è generalmente un'operazione semplice, basta aprirlo con un editor PE per notare che il nome delle sezioni è stato modificato in qualcosa come UPX0 o ASPACKxxx etc.
A seconda del loro nome un

PILLOLE DI #MALWAREANALYSIS

I laboratori per la malware analisi

Per analizzare un #malware è fondamentale avere un proprio laboratorio pronto all’utilizzo. La scelta ricade sempre tra un laboratorio “bare metal” oppure una macchina virtuale, ma è indubbio che la seconda è estremamente più

PILLOLE DI #MALWAREANALYSIS
APC injection
Una delle tecniche utilizzate dai malware per infettare un device in ambiente windows è la #APCinjection.
APC è l’acronimo di Asyncronous Procedure Call e si riferisce ad una funzione che viene eseguita asincronamente nel contesto di uno specifico thread.
Quando una APC viene