Sei sulla pagina 1di 17

SECURITY

SSS SOFT
START
Academy

SSS 1
Security Soft Start - Onstairs © 2020
MALWARE
Lab ANALYSIS
# Come rilevare un Malware?

SSS 3
Security Soft Start - Onstairs © 2020
# Come rilevare un Malware?
ANTIVIRUS
• In grado di rilevare non solo virus ma anche Trojan, Worms ecc.

• La rilevazione può avvenire sfruttando la modalità «Signature Based»

• Una volta rilevato il malware viene inserito in un’ambiente detto


«Quarantena»

• Un’altra modalità di analisi è quella di tipo «Euristica» la quale prevede


l’esecuzione del malware in un’ambiente controllato detto «Sandbox».
Tale analisi è in grado di rilevare malware polimorfici ovvero malware
che possono subire delle variazioni ogni volta che sono eseguiti

SSS 4
Security Soft Start - Onstairs © 2020
# Come rilevare un Malware?

L’antivirus sarà in grado di rilevare il Virus se ne cambio il nome?

SSS 5
Security Soft Start - Onstairs © 2020
# Come rilevare un Malware?

SI, in quanto l’analisi «Signature-based» ispeziona


l’Hash del Malware e non il Nome!

SSS 6
Security Soft Start - Onstairs © 2020
#Algoritmo di hashing
• Un Algoritmo di Hashing è un processo matematico attraverso cui è possibile
generare un messaggio di lunghezza costante detto Digest o Hash a partire
da un messaggio iniziale di lunghezza arbitraria.

MESSAGGIO IN
HASH
CHIARO

«Ciao sono Marco» 2795ba32c0a01fba1bd78d0ca3b41255


Algoritmo di
Hash

SSS 7
Security Soft Start - Onstairs © 2020
# Malware Analysis
• L’ attività di Malware Analysis consiste nell’analizzare un malware al fine di
studiarne il comportamento e meglio comprendere come neutralizzarlo o
rimuoverlo

• L’ obiettivo finale consiste nel descrivere dettagliatamente cosa avviene in


concomitanza ad un incidente informatico (es. Infezione di un computer)

• Una volta compreso il modus operandi, è possibile creare una Signature in


grado di rilevare e bloccare il malware in futuro.

• E’ possibile analizzare un malware utilizzando due tecniche di analisi: Statica


e Dinamica
SSS 8
Security Soft Start - Onstairs © 2020
# Malware Analysis
• Un malware generalmente è rilevato sotto forma di un file eseguibile (es.
.exe, .bin)

• L’ analisi Statica di un malware consiste nell’esaminare l’eseguibile senza


mandarlo in esecuzione. E’ utile come prima analisi ma è poco efficace per
l’analisi di malware complessi e strutturati.

• L’ analisi Dinamica di un malware consiste nell’esaminare l’eseguibile durante


la sua esecuzione. Per evitare problemi di sicurezza è necessario eseguire il
malware in un’ambiente controllato come una Sandbox.

SSS 9
Security Soft Start - Onstairs © 2020
# Malware Static Analysis

Analisi utilizzando Virus Total® Ricerca di Stringhe di testo

Verifica struttura del file Verifica offuscamento codice


malevolo malevolo

SSS 10
Security Soft Start - Onstairs © 2020
# Static Malware Analysis
• Strings è un tool Microsoft Windows Sysinternal© in grado di scansionare un
file e rilevare la presenza di stringhe di testo composte da tre o più caratteri nei
formati UNICODE o ASCII

Ricerca di Stringhe di testo

SSS 11
Security Soft Start - Onstairs © 2020
# Dynamic Malware Analysis
• L’analisi Dinamica di un malware consiste nell’esaminare l’eseguibile durante la
sua esecuzione. Per problemi di sicurezza è necessario eseguire il malware in
un’ambiente controllato detto Sandbox.

• Una Sandbox è composta da un sistema centrale detto Central Host e da uno o


più sistemi detti Analysis Guest

• Il Central Host si occupa della gestione analisi, reportistica e di coordinare i


sistemi Analysis Guest

• Gli Analysis Guest sono sistemi «puliti» in cui eseguire il presunto malware.

SSS 12
Security Soft Start - Onstairs © 2020
# Sandbox

Guest1
1

Guest2
Central Host

Guest3

SSS 13
Security Soft Start - Onstairs © 2020
# Sandbox(2)

Guest1
2

Guest2
Central Host

Guest3

SSS 14
Security Soft Start - Onstairs © 2020
# Sandbox(3)

Guest1
3

Guest2
Central Host

Guest3

SSS 15
Security Soft Start - Onstairs © 2020
# Sandbox(4)

Guest1
4

Guest2
Central Host

Guest3

SSS 16
Security Soft Start - Onstairs © 2020
# Sandbox Evasion Techniques

Delay execution: L’esecuzione del malware viene ritardata al fine di


raggiungere il timeout impostato sulla configurazione della Sandbox

Hardware Detection: rilevazione dell’hardware (es. controllo


dischi disponibili, dimensioni ecc.) per verificare se il malware è stato
eseguito su un sistema reale o all’interno di una sandbox

User Interaction: rilevazone di interazione umana (es. movimenti


del cursore del mouse)

SSS 17
Security Soft Start - Onstairs © 2020