Abbiamo trattato l'analisi dinamica del malware utilizzando Process Explorer per scoprire DLL, handle, consumo di risorse, attività di rete e per scoprire tecniche comuni di malware come svuotamento dei processi e mascheramento dei processi. Questo faceva parte ProvaHackMe Analisi dinamica di base

Ottieni appunti di informatica forense

Process Explorer è un altro strumento molto utile della Sysinternals Suite. Può essere considerato una forma più avanzata del Task Manager di Windows. Process Explorer è uno strumento molto potente che può aiutarci a identificare le tecniche di svuotamento e mascheramento dei processi.

Mascheramento del processo

Gli autori di malware a volte utilizzano nomi di processi simili ai processi Windows o ai software comunemente utilizzati per nascondersi dagli occhi indiscreti degli analisti. La scheda "Immagine", come mostrato nello screenshot sopra, aiuta l'analista a sconfiggere questa tecnica. Facendo clic sul pulsante "Verifica" in questa scheda, un analista può identificare se l'eseguibile per il processo in esecuzione è firmato dall'organizzazione pertinente, che sarà Microsoft nel caso dei file binari di Windows. In questo particolare screenshot, possiamo vedere che è già stata cliccata l'opzione Verifica. Inoltre, in alto possiamo vedere il testo "(Nessuna firma era presente nell'oggetto) Microsoft Corporation". Ciò significa che, sebbene l'eseguibile affermi di provenire da Microsoft, non è firmato digitalmente da Microsoft e si maschera da processo Microsoft. Ciò può essere un'indicazione di un processo dannoso.

Dobbiamo notare qui che questo processo di verifica si applica solo all'immagine del processo memorizzata sul disco. Se un processo firmato è stato svuotato e il suo codice è stato sostituito con codice dannoso in memoria, potremmo comunque ottenere una firma verificata per quel processo. Per identificare i processi svuotati dobbiamo guardare altrove.

Processo di svuotamento

Un'altra tecnica utilizzata dal malware per nascondersi in bella vista è il Process Hollowing. Con questa tecnica, il codice binario del malware svuota un processo legittimo già in esecuzione rimuovendo tutto il codice dalla memoria e iniettando codice dannoso al posto del codice legittimo. In questo modo, mentre un analista vede un processo legittimo, quel processo esegue il codice dannoso dell'autore del malware. Process Explorer può aiutarci a identificare anche questa tecnica. Quando selezioniamo "Immagine", Process Explorer ci mostra le stringhe presenti nell'immagine disco del processo. Quando è selezionato "Memoria", Process Explorer estrae le stringhe dalla memoria del processo. In circostanze normali, le stringhe nell'Immagine di un processo saranno simili a quelle nella Memoria poiché lo stesso processo viene caricato in memoria. Tuttavia, se un processo è stato svuotato, vedremo una differenza significativa tra le stringhe nell'immagine e la memoria del processo. Mostrandoci quindi che il processo caricato nella memoria è molto diverso dal processo archiviato sul disco.

Risposte in camera

Se un analista desidera analizzare il malware Linux, quale sistema operativo dovrebbe avere la macchina virtuale del suo sandbox?
Monitorare il campione ~Desktop\Esempi\1.exe utilizzando ProcMon. Questo esempio effettua alcune connessioni di rete. Qual è il primo URL su cui viene effettuata una connessione di rete?

Quale operazione di rete viene eseguita sull'URL sopra menzionato?

Qual è il nome con il percorso completo completo del primo processo creato da questo esempio?

Il campione ~Desktop\campioni\1.exe crea un file in C:\ directory. Qual è il nome con il percorso completo di questo file?

Che cosa API viene utilizzato per creare questo file?

Nella domanda 1 dell'attività precedente, abbiamo identificato un URL a cui è stata effettuata una connessione di rete. Che cosa API è stata utilizzata la chiamata per stabilire questa connessione?

Nell'attività precedente abbiamo notato che dopo un po' di tempo l'attività del campione è rallentata in modo tale che non è stato riportato molto sul campione. Puoi guardare il API chiamate e vedere quale chiamata API potrebbe esserne responsabile?

Qual è il nome del primo Mutex creato dall'esempio ~Desktop\samples\1.exe? Se nel nome del Mutex sono presenti numeri, sostituirli con X.

Il file è firmato da un'organizzazione conosciuta? Rispondi con Y per Sì e N per No.

Il processo nella memoria è lo stesso del processo su disco? Rispondi con Y per Sì e N per No.

Analizzare il campione ~Desktop\Samples\3.exe utilizzando Regshot. È stato aggiunto un valore del registro che contiene il percorso dell'esempio nel formato HKU\SXX-XX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXX-XXX\. Qual è il percorso di quel valore dopo il formato menzionato qui?

Videoprocedura dettagliata

, , ,
Mostra commenti

Motasem

Circa l'autore

Creo note sulla sicurezza informatica, note di marketing digitale e corsi online. Fornisco anche consulenza di marketing digitale, inclusi ma non limitati a SEO, annunci Google e Meta e amministrazione CRM.

Visualizza articoli