Pillole di #MalwareAnalysis

Uno degli #IoC facilmente identificabili di un #Malware è la sua firma #Hash.

Questa firma può essere generata con differenti algoritmi, e tra questi i più utilizzati abbiamo # MD5, # SHA1 e # SHA256. La caratteristica di queste firme è che se viene modificato anche un singolo bit del file sorgente gli Hash risultanti sono completamente differenti.

Se abbiamo due malware praticamente identici ma che all’interno contengono modifiche non sostanziali come ad esempio il dominio che viene contattato o che addirittura sono stati semplicemente compilati da due differenti compilatori avranno due hash completamente differenti.

Per superare questo problema ci viene in aiuto il #FuzzyHashing. Grazie al tool #SSdeep vengono creati hash incrementali dei differenti file e confrontati tra di loro per fornire poi la percentuale di similarità.

#Cybersecurity #ZeroDay #Hacker #APT

Tweet