Articoli e Pillole

  • Pillole di #MalwareAnalysis
    Durante un’analisi dinamica di un potenziale #malware è fondamentale la conoscenza dei processi (legittimi) che vengono eseguiti in #Windows e quali di questi sono gli obiettivi preferiti per un attacco.
    Sicuramente uno dei più bersagliati ma anche dei più importanti è il

    ...
  • Pillole di #MalwareAnalysis

    Il processo Explorer.exe

    Come ho detto più volte la fase di analisi dinamica del Malware, necessita di una approfondita conoscenza dei processi attivi all’interno del sistema operativo Host.

    Naturalmente Windows è il principale bersaglio, quindi è

    ...
  • Pillole di #MalwareAnalysis
    La #persistenza
    Quasi tutti i #malware per raggiungere il proprio scopo necessitano di ottenere la persistenza sui sistemi infettati. Dico quasi tutti perché a volte quelli nati per infettare i server non la implementano.
    Per persistenza si intende la capacità del malware di resistere

    ...
  • Pillole di #MalwareAnalysis
    I #Packer
    I packer sono dei software che vengono utilizzati dalle software house per proteggere il proprio codice da azioni di #reverseEngineering. Naturalmente questo rende più difficoltosa questa operazione ma non impossibile ;-). Gli sviluppatori di #Malware li utilizzano invece per

    ...
  • Pillole di #MalwareAnalysis
    Image File Execution Option #IFEO per la #persistenza
    I metodi utilizzati dai #malware per mettersi in persistenza sono svariati, tra questi uno poco conosciuto è l’opzione IFEO (Image File Execution Option).
    Tramite questa opzione è possibile dire a

    ...
  • Pillole di #MalwareAnalysis
    Il #processHollowing
    Questa tecnica di infezione prevede di svuotare un processo legittimo del suo codice (hollow) ed in seguito riempire l’area svuotata del codice malvolo.
    Per poter essere eseguita con successo bisogna:
    · lanciare il processo legittimo nello stato suspended con la

    ...
  • Pillole di #MalwareAnalysis

    La struttura #PEB (Process Environment Block)

    La PEB viene utilizzata da #Windows per gestire il processo che la detiene. Questa struttura fa parte di una struttura più grande chiamata #EPROCESS.

    I campi della PEB non sono tutti

    ...
  • Pillole di #MalwareAnalysis
    Mascherare un processo #Windows utilizzando la #PEB
    Ho già spiegato in un post precedente cosa è la PEB e a cosa serve.
    Tra i vari campi ne esiste uno chiamato #ProcessParameters, che si trova all’offset 0x020h, e che è a sua volta una

    ...
  • Pillole di #MalwareAnalysis
    Simulare una rete
    Quando creiamo i nostri laboratori per eseguire malware analysis è fondamentale fare in modo che i #malware non siano connessi in rete e non possano contattare il proprio #C2.
    Diventa fondamentale quindi simulare una rete per consentire al malware di operare

    ...
  • Pillole di #MalwareAnalysis
    #APC INJECTION
    APC è il sinonimo di #AsyncronousProcedureCalls e si riferisce a una funzione eseguita in maniera asincrona rispetto all’esecuzione di un #Thread.
    In pratica ogni Thread ha una propria coda APC all’interno della quale trova tutta una serie di funzioni da

    ...
  • Pillole di #Malware #Analysis
    I #Macro malware
    Il formato file più utilizzato per la diffusione del malware è sicuramente il formato office, ovvero .docx .xlsx .pptx etc…
    Un report di #Verizon ci dice che il metodo di delivery del malware utilizzato nel 98% delle volte è una email, che nel 45% dei casi

    ...
  • PILLOLE DI #MALWAREANALYSIS
    La manipolazione dei processi
    Una delle azioni tipiche di un #malware è la manipolazione dei processi ovvero la capacità di identificare un processo target per eseguirne una modifica.
    Ma come si fa ad identificare un processo target?
    La prima cosa che deve fare è

    ...
  • Pillole di #MalwareAnalysis
    Il tool #Exeinfo
    Capire se un file è stato compresso è generalmente un'operazione semplice, basta aprirlo con un editor PE per notare che il nome delle sezioni è stato modificato in qualcosa come UPX0 o ASPACKxxx etc.
    A seconda del loro nome un

    ...
  • PILLOLE DI #MALWAREANALYSIS

    I laboratori per la malware analisi

    Per analizzare un #malware è fondamentale avere un proprio laboratorio pronto all’utilizzo. La scelta ricade sempre tra un laboratorio “bare metal” oppure una macchina virtuale, ma è indubbio che la seconda è estremamente più

    ...
  • PILLOLE DI #MALWAREANALYSIS
    APC injection
    Una delle tecniche utilizzate dai malware per infettare un device in ambiente windows è la #APCinjection.
    APC è l’acronimo di Asyncronous Procedure Call e si riferisce ad una funzione che viene eseguita asincronamente nel contesto di uno specifico thread.
    Quando una APC viene

    ...

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
  • Ethical Hacking
  • Red Teaming
  • Penetration Testing
  • Security Code Review
  • SOC 24x7
  • Formazione specialistica
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:30 - 13:00
14:00 - 18:30

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2024 Fata Informatica. Tutti i diritti riservati.
We use cookies

Utilizziamo i cookie sul nostro sito Web. Alcuni di essi sono essenziali per il funzionamento del sito, mentre altri ci aiutano a migliorare questo sito e l'esperienza dell'utente (cookie di tracciamento). Puoi decidere tu stesso se consentire o meno i cookie. Ti preghiamo di notare che se li rifiuti, potresti non essere in grado di utilizzare tutte le funzionalità del sito.