Tecniche di Evasione Sandbox Online – Proof of Concept

È un dato di fatto che gli incidenti di sicurezza causati da malware sono tra i più frequenti. Al fine di contenere l’incidente e/o valutare l’impatto è importante analizzare le informazioni relative alla natura del malware e al suo comportamento. La raccolta di queste informazioni consente di individuare infezioni provenienti da malware appartenenti alla stessa […]

PEframe 5.0 – Le novità introdotte

Dopo tre mesi di test, dal 10 febbraio 2016 è finalmente disponibile la versione 5.0 di PEframe. Questa nuova versione, di cui il codice è stato quasi interamente riscritto, corregge un bug presente nella 4.2 (e precedenti) e implementa nuove funzionalità (vedi changelog) che consentono all’analista di scavare più in profondità ed ottenere maggiori dettagli […]

Decifrare il traffico della botnet Athena HTTP

Se state analizzando la botnet Athena HTTP questo script in python che ho postato su gist potrebbe tornarvi utile per decifrare le informazioni scambiate tra il malware e il server di C&C. Individuare il traffico non è difficile, sono tutte richieste HTTP di tipo POST. Decifrare di volta in volta la comunicazione risulta un pelino […]

Image File Execution Options

“Image File Execution Options” è una chiave di registro annidata sotto “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion” che stando alla documentazione Microsoft può essere configurata per lanciare un debug all’avvio di una qualsiasi applicazione. In pratica è sufficiente creare una sottochiave con il nome dell’applicazione di cui si desidera eseguire il debug, assegnare il valore stringa “Debugger” e associare come valore data […]

Malware PE Firmati Digitalmente

Da quando Davide Barbato mi ha sottoposto la necessità di rilevare la presenza di firma digitale nei malware PE ho cominciato a interessarmi al problema. In passato si sono verificati casi in cui qualche malware è stato distribuito con firma digitale, Stuxnet nel 2010 fu forse il primo caso serio, ma oggi questa pratica pare diventata abbastanza comune. In merito alla necessità […]

REMnux 5 include PEframe

L’ultima release di REMnux include PEframe tra i tool per l’analisi statica dei malware. Se vi aiutate con la mind map dei tools lo trovate alla voce “Statically Examine PE Files”. Dal terminale è raggiungibile al path /usr/local/peframe cd /usr/local/peframe && ./peframe.py Per i malware analysts più distratti ricordo che la versione attuale di PEframe è la 4.0, […]

FBI ufficialmente interessata al malware

Che l’FBI nutra un forte interesse per i malware di ultima generazione e per il codice malevolo in generale non è mai stato un segreto, ma di recente (la scorsa settimana) il FBO (Federal Business Opportunities) ha pubblicato un documento in cui si richiede ufficialmente ai potenziali fornitori la ricezione di 30/40 GB di malware al giorno. Inutile discutere sulle nobili cause che hanno […]

Dragos Ruiu, Stanley Kubrick e i Security Exalted

Questa storia del malware che può trasferire informazioni (a breve raggio) utilizzando come vettore per la comunicazione i segnali audio è davvero interessante. E’ il modo in cui è stata interpretata la notizia che lascia molto a desiderare. Gli inutili allarmismi, le osservazioni fantascientifiche e gli scenari ipotizzati stanno facendo rivoltare Kubrick nella sua tomba. […]