PEframe 5.0 – Le novità introdotte

Dopo tre mesi di test, dal 10 febbraio 2016 è finalmente disponibile la versione 5.0 di PEframe. Questa nuova versione, di cui il codice è stato quasi interamente riscritto, corregge un bug presente nella 4.2 (e precedenti) e implementa nuove funzionalità (vedi changelog) che consentono all’analista di scavare più in profondità ed ottenere maggiori dettagli […]

Malware PE Firmati Digitalmente

Da quando Davide Barbato mi ha sottoposto la necessità di rilevare la presenza di firma digitale nei malware PE ho cominciato a interessarmi al problema. In passato si sono verificati casi in cui qualche malware è stato distribuito con firma digitale, Stuxnet nel 2010 fu forse il primo caso serio, ma oggi questa pratica pare diventata abbastanza comune. In merito alla necessità […]

REMnux 5 include PEframe

L’ultima release di REMnux include PEframe tra i tool per l’analisi statica dei malware. Se vi aiutate con la mind map dei tools lo trovate alla voce “Statically Examine PE Files”. Dal terminale è raggiungibile al path /usr/local/peframe cd /usr/local/peframe && ./peframe.py Per i malware analysts più distratti ricordo che la versione attuale di PEframe è la 4.0, […]

PEFrame 0.3 – Automatic Analysis

Quel che serviva alla nuova versione di peframe era una panoramica generale di informazioni che poteva essere d’aiuto all’analista per prevedere, in modo abbastanza chiaro, il comportamento del malware prima di procedere con l’analisi dinamica. Ad esempio è importante sapere preventivamente se il malware utilizza tecniche anti debug che potrebbe sfruttare per cambiare comportamento quando viene […]

Analisi Statica con PEFrame

Yago ha pubblicato per Security by Default un interessante esempio di analisi di malware utilizzando peframe. Dall’analisi emerge che il malware sfrutta una delle tecniche anti-debug descritte nel paper del post precedente. Buona lettura.

The Flame risale (probabilmente) al 2008

Uno degli enigmi che sta mettendo a dura prova ricercatori di tutto il mondo è la data di creazione di The Flame (aka sKyWIper). La soluzione al quesito rappresenta uno dei tasselli fondamentali per la ricostruzione del puzzle più complesso di tutti i tempi. I componenti finora rilevati sono stati passati al setaccio dai ricercatori. Tra […]