Un virus, in informatica, è un software, appartenente alla categoria dei malware ,che una volta eseguito, si integra in qualche codice eseguibile (incluso il sistema operativo) del sistema informatico vittima, in modo tale da diffondersi su altro codice eseguibile quando viene eseguito il codice che lo ospita, senza che l'utente ne sia a conoscenza.
L’antivirus è un programma che protegge pc, smartphone e tablet da software potenzialmente dannosi, come i virus, i malware, i cryptolocker e i worm.
LINGUA: ITALIANO
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisurewalk2talk srl
•Introduzione Black Hat vs White Hat (CEH)
Gli hacker, i cracker, e gli etici, le differenze tra gli esperti di sicurezza reti
•Il problema “umano”
anche un sistema più protetto avrà sempre un limite dato da chi lo utilizza
•Le vulnerabilità odierne, i sistemi e cosa usare per craccare le reti
i maggiori problemi di sicurezza attuali, quali sistemi sono vulnerabili e che sistemi usare per gli attacchi e le difese
•Fingerprinting e Footprinting (google hack e tools online)
i primi step di un attacco sono acquisire informazioni sul target, come farlo in maniera passiva senza essere scoperti
•Social Engineering e Guerrilla Gifting
la più potente di tutte le tecniche: il Social Engineering, cosa è come si usa, esempi pratici e tecniche per farsi "amare" dai bersagli
•Shoulder surfing, Impersonation, Piggybacking
Tecniche di social engineering semplici ma potenti per accedere ad una struttura
•Bucare una rete wifi e contromisure
cosa usare e come fare per bucare una rete wireless
•Wireshark ed altri tool per i penetration test
il tool primario per l'analisi del traffico ed altri tools importanti per capire dove ci troviamo
•Nessus e l’Active Directory Priviledge Escalation
tool di analisi della struttura Microsoft e come fare AD escalation
•Il security patching VS l’unpatched
le patch di sicurezza, i problemi legati al patching e quelli legati all'unpatching
•Il livello della security oggi
il livello della security oggi in Italia a distanzia di 1 anno dalla CCI 2017
•Come diventare Expert di Security oggi
breve vedemecum su come indirizzare la propria carriera lavorativa sulla security
By Alessandro Vannini
Per quando ti serve la presentazione? – ASAP Quando prevedi di lanciare la prossima versione del sito? – ASAP Hai eseguito i controlli di security come da linee guida aziendali? – Uh?
In questi anni, nel mondo IT regna incontrastata una sola parola: ASAP. Tutto deve essere fatto prima di ieri, ovviamente al minor costo possibile. Provate a pensare se questo criterio fosse stato usato quando hanno costruito il tetto della vostra casa o il circuito frenante della vostra auto potente. Bhe, in realtà voi usate questo approccio quando costruite il vostro business aziendale.
In questa sfrenata corsa a scegliere la miglior stringa possibile di 0 e 1, spesso test funzionali o di integrazione sono eseguiti poco o male. Penetration test applicativi e code review ovviamente sono le prime cose a saltare.
Da un lato i tempi dei controlli di security non si conciliano bene con processi veloci di rilascio. Quindi, in una terra dove non esiste il giusto o lo sbagliato, proveremo a dare una risposta ad una semplice domanda.
Ma noi la sicurezza applicativa come la facciamo in queste condizioni?
Tag: bdd, code review, penetration test, gauntlt, linee guida, sviluppo sicuro
Un virus, in informatica, è un software, appartenente alla categoria dei malware ,che una volta eseguito, si integra in qualche codice eseguibile (incluso il sistema operativo) del sistema informatico vittima, in modo tale da diffondersi su altro codice eseguibile quando viene eseguito il codice che lo ospita, senza che l'utente ne sia a conoscenza.
L’antivirus è un programma che protegge pc, smartphone e tablet da software potenzialmente dannosi, come i virus, i malware, i cryptolocker e i worm.
LINGUA: ITALIANO
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisurewalk2talk srl
•Introduzione Black Hat vs White Hat (CEH)
Gli hacker, i cracker, e gli etici, le differenze tra gli esperti di sicurezza reti
•Il problema “umano”
anche un sistema più protetto avrà sempre un limite dato da chi lo utilizza
•Le vulnerabilità odierne, i sistemi e cosa usare per craccare le reti
i maggiori problemi di sicurezza attuali, quali sistemi sono vulnerabili e che sistemi usare per gli attacchi e le difese
•Fingerprinting e Footprinting (google hack e tools online)
i primi step di un attacco sono acquisire informazioni sul target, come farlo in maniera passiva senza essere scoperti
•Social Engineering e Guerrilla Gifting
la più potente di tutte le tecniche: il Social Engineering, cosa è come si usa, esempi pratici e tecniche per farsi "amare" dai bersagli
•Shoulder surfing, Impersonation, Piggybacking
Tecniche di social engineering semplici ma potenti per accedere ad una struttura
•Bucare una rete wifi e contromisure
cosa usare e come fare per bucare una rete wireless
•Wireshark ed altri tool per i penetration test
il tool primario per l'analisi del traffico ed altri tools importanti per capire dove ci troviamo
•Nessus e l’Active Directory Priviledge Escalation
tool di analisi della struttura Microsoft e come fare AD escalation
•Il security patching VS l’unpatched
le patch di sicurezza, i problemi legati al patching e quelli legati all'unpatching
•Il livello della security oggi
il livello della security oggi in Italia a distanzia di 1 anno dalla CCI 2017
•Come diventare Expert di Security oggi
breve vedemecum su come indirizzare la propria carriera lavorativa sulla security
By Alessandro Vannini
Per quando ti serve la presentazione? – ASAP Quando prevedi di lanciare la prossima versione del sito? – ASAP Hai eseguito i controlli di security come da linee guida aziendali? – Uh?
In questi anni, nel mondo IT regna incontrastata una sola parola: ASAP. Tutto deve essere fatto prima di ieri, ovviamente al minor costo possibile. Provate a pensare se questo criterio fosse stato usato quando hanno costruito il tetto della vostra casa o il circuito frenante della vostra auto potente. Bhe, in realtà voi usate questo approccio quando costruite il vostro business aziendale.
In questa sfrenata corsa a scegliere la miglior stringa possibile di 0 e 1, spesso test funzionali o di integrazione sono eseguiti poco o male. Penetration test applicativi e code review ovviamente sono le prime cose a saltare.
Da un lato i tempi dei controlli di security non si conciliano bene con processi veloci di rilascio. Quindi, in una terra dove non esiste il giusto o lo sbagliato, proveremo a dare una risposta ad una semplice domanda.
Ma noi la sicurezza applicativa come la facciamo in queste condizioni?
Tag: bdd, code review, penetration test, gauntlt, linee guida, sviluppo sicuro
Introduzione alle metodologie e tipologie di strumenti per il rilevamento di intrusioni informatiche.
Talk tenuto da Alessandro Tanasi (http://www.tanasi.it)
Stefano Chiccarelli - L'ecosistema della scena HackerCodemotion
La scena hacker è diventata molto complessa negli ultimi 15 anni, l'intervento tenderà a fare chiarezza sull'attuale situazione e a districarsi tra Cybercrime, Hacktivism, security researcher e servizi segreti. Oltre a questo faremo un viaggio all'interno della realtà italiana vista dal punto di vista di chi per mestiera fa Penetration test, con esempi filmati faremo vedere le principali problematiche di sicurezza di cui le nostre aziende sono affette, mentre nelle conferenze si parla continuamente di 0day e di APT, vedremo che le problematiche sono di ben altra natura.
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Simone Onofri
"ordine e disordine dipendono dall'organizzazione" - Sun Tzu (L'arte della guerra)
Scomodando Sun Tzu stesso, ci si rende spesso conto che non è solo importante l’aspetto tecnico - nel quale Analisti esperti si occupano di identificare e verificare le vulnerabilità dei sistemi di un Cliente - ma anche tutte le attività di organizzazione, pianificazione, le riunioni e la reportistica, spesso temuta anche dagli analyst più navigati. Lo scopo di un servizio di questo tipo non è solo la verifica delle vulnerabilità di determinati sistemi, ma anche un Cliente soddisfatto con la piena comprensione del lavoro svolto.
Durante il seminario - che si basa su esperienze e scenari reali - analizzeremo insieme i vari aspetti organizzativi di Penetration Test e Vulnerability Assessment dal primo contatto alla consegna della reportistica e alla riunione di chiusura delle attività guidati dal buon senso, citazioni di Sun Tzu e da pietre miliari come l’ISECOM OSSTMM (Open Source Security Testing Manual) e l’OWASP Testing Guide. Il tutto con alcune tecniche di project management e comunicazione, utili sia per personale di aziende che erogano servizi di questo tipo, aziende che ne usufruiscono o semplicemente che sono interessate.
Il 4 aprile 2023 Vincenzo Calabrò ha partecipato all'ItaliaSec IT Security Conference 2023 e, in quell'occasione, ha presentato una metodologia per Implementare Strategie Zero Trust per Mitigare Efficacemente le Insider Threat.
https://www.vincenzocalabro.it
Un viaggio nei miei 7 anni in Google, le cose che ho imparato sul security testing su larga scala - quello che funziona, e quello che non funziona.
Presentato per la prima volta ad HackInBo 2018
Introduzione alle metodologie e tipologie di strumenti per il rilevamento di intrusioni informatiche.
Talk tenuto da Alessandro Tanasi (http://www.tanasi.it)
Stefano Chiccarelli - L'ecosistema della scena HackerCodemotion
La scena hacker è diventata molto complessa negli ultimi 15 anni, l'intervento tenderà a fare chiarezza sull'attuale situazione e a districarsi tra Cybercrime, Hacktivism, security researcher e servizi segreti. Oltre a questo faremo un viaggio all'interno della realtà italiana vista dal punto di vista di chi per mestiera fa Penetration test, con esempi filmati faremo vedere le principali problematiche di sicurezza di cui le nostre aziende sono affette, mentre nelle conferenze si parla continuamente di 0day e di APT, vedremo che le problematiche sono di ben altra natura.
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Simone Onofri
"ordine e disordine dipendono dall'organizzazione" - Sun Tzu (L'arte della guerra)
Scomodando Sun Tzu stesso, ci si rende spesso conto che non è solo importante l’aspetto tecnico - nel quale Analisti esperti si occupano di identificare e verificare le vulnerabilità dei sistemi di un Cliente - ma anche tutte le attività di organizzazione, pianificazione, le riunioni e la reportistica, spesso temuta anche dagli analyst più navigati. Lo scopo di un servizio di questo tipo non è solo la verifica delle vulnerabilità di determinati sistemi, ma anche un Cliente soddisfatto con la piena comprensione del lavoro svolto.
Durante il seminario - che si basa su esperienze e scenari reali - analizzeremo insieme i vari aspetti organizzativi di Penetration Test e Vulnerability Assessment dal primo contatto alla consegna della reportistica e alla riunione di chiusura delle attività guidati dal buon senso, citazioni di Sun Tzu e da pietre miliari come l’ISECOM OSSTMM (Open Source Security Testing Manual) e l’OWASP Testing Guide. Il tutto con alcune tecniche di project management e comunicazione, utili sia per personale di aziende che erogano servizi di questo tipo, aziende che ne usufruiscono o semplicemente che sono interessate.
Il 4 aprile 2023 Vincenzo Calabrò ha partecipato all'ItaliaSec IT Security Conference 2023 e, in quell'occasione, ha presentato una metodologia per Implementare Strategie Zero Trust per Mitigare Efficacemente le Insider Threat.
https://www.vincenzocalabro.it
Un viaggio nei miei 7 anni in Google, le cose che ho imparato sul security testing su larga scala - quello che funziona, e quello che non funziona.
Presentato per la prima volta ad HackInBo 2018
Quello di venerdì 12 Maggio 2017 è stato definito il cyberattacco più esteso, un attacco globale senza precedenti che ha interessato tantissime organizzazioni e aziende sparse in diversi Paesi del mondo. Tra le vittime dei Paesi colpiti figura anche l'Italia. Nel corso del talk si vuole illustrare come il CERT-PA (Computer Emergency Response Team) della Pubblica Amministrazione italiana ha affrontato il venerdì nero e i giorni a seguire il cyberattacco per gestire e contrastare tempestivamente la minaccia. Un tuffo dentro WannaCry per comprendere i dettagli tecnici, la genesi, le evoluzioni del malware e l'importanza della cooperazione informatica tra CERT italiani, europei e ricercatori indipendenti.
Il CERT-PA e la Malware Analysis: Strumenti e casi di studio
1. Gianni Amato
Senior Security Analyst presso il CERT-PA
www.cert-pa.it
g.amato@cert-pa.it
Il CERT-PA e la Malware Analysis
Strumenti e casi di studio
Workshop GARR 2017 – Netvolution
Consiglio Nazionale delle Ricerche
Gianni Amato Roma, 6 Aprile 2017
2. Gianni Amato
Senior Security Analyst presso il CERT-PA
www.cert-pa.it
g.amato@cert-pa.it
Perchè analizzare il malware?
• Per investigare su un incidente e rispondere ai seguenti quesiti:
– Qual è lo scopo del malware?
– Quali informazioni è riuscito a carpire?
– Dove sono state trasmesse le informazioni?
– Come ha fatto ad arrivare fin qui?
• Produrre firme per bloccare/mitigare l'infezione.
• Attività forense.
• Attività di intelligence.
4. Gianni Amato
Senior Security Analyst presso il CERT-PA
www.cert-pa.it
g.amato@cert-pa.it
Quanto tempo occorre?
Il tempo necessario per analizzare un malware è direttamente proporzionale
alla sua complessità.
5. Gianni Amato
Senior Security Analyst presso il CERT-PA
www.cert-pa.it
g.amato@cert-pa.it
Evoluzioni Tecniche e Motivazionali
Cryptography
Packing
VM
Detection
Obfuscation
Dbg
Detection
Espionage Sabotage
Surveillance Warfare
6. Gianni Amato
Senior Security Analyst presso il CERT-PA
www.cert-pa.it
g.amato@cert-pa.it
Surveillance Tools - Blackmarket
REMOTE
SURVEILLANCE
REVERSE
PROXY
PLUGINS
• Fast and stable remote surveillance
– Remote Desktop
– Remote Webcam
– Audio feeds
– File transfer
≈10€
7. Gianni Amato
Senior Security Analyst presso il CERT-PA
www.cert-pa.it
g.amato@cert-pa.it
Government Account - Blackmarket
8. Gianni Amato
Senior Security Analyst presso il CERT-PA
www.cert-pa.it
g.amato@cert-pa.it
Marble Framework
• Set di strumenti in grado di:
– Offuscare codice nocivo;
– Implementare tecniche Anti-Forensics.
• Allo scopo di:
– Mascherare malware, trojan e attacchi
di hacking;
– Evitare che un attacco possa essere
ricondotto alla CIA.
9. Gianni Amato
Senior Security Analyst presso il CERT-PA
www.cert-pa.it
g.amato@cert-pa.it
Il codice di Marble è Pubblico
Conseguenze del codice
pubblico
Aiuta a scrivere firme
per individuare gli
attacchi
Potrebbe finire
nelle mani
sbagliate
https://wikileaks.org/ciav7p1/cms/page_14588467.html
• Il framework è composto da 676 file;
• 35.150 righe di codice accessibili pubblicamente.
• Marble è stato utilizzato dalla CIA nel 2016;
• La versione 1.0 risale al 2015.
10. Gianni Amato
Senior Security Analyst presso il CERT-PA
www.cert-pa.it
g.amato@cert-pa.it
Russo, cinese, arabo e farsi
https://wikileaks.org/ciav7p1/cms/page_14588467.html
Mascherare gli hack della CIA e concentrare l’attenzione degli investigatori su altri Paesi.
11. Gianni Amato
Senior Security Analyst presso il CERT-PA
www.cert-pa.it
g.amato@cert-pa.it
Analisi Automatica (PRO)
• Le sandbox rappresentano il modo più semplice per valutare la natura di un file
sospetto. Sono strumenti completamente automatizzati, progettati per analizzare
rapidamente (< 3 min) un sample;
• Producono report con importanti dettagli relativi all'attività dei file sul sistema, al
traffico di rete, etc.
Malwr
Hybrid-analysis Cuckoo
12. Gianni Amato
Senior Security Analyst presso il CERT-PA
www.cert-pa.it
g.amato@cert-pa.it
Analisi Automatica (CONTRO)
• Malware evoluti includono componenti in grado di individuare ed eludere le
sandbox più note. A volte cambiando comportamento;
• Le sandbox online censiscono i sample sottomessi. Se si sta investigando su un
caso che richiede segretezza è vivamente sconsigliato fare uso di strumenti online.
Cuckoo sandbox installato localmente potrebbe essere una valida alternativa.
Malwr
Hybrid-analysis Cuckoo
13. Gianni Amato
Senior Security Analyst presso il CERT-PA
www.cert-pa.it
g.amato@cert-pa.it
Quando è necessaria l'analisi
Manuale
• Decodificare informazioni
crittografate, memorizzate o
trasferite dal sample;
• Determinare la logica di un
algoritmo che punta a domini
differenti in base a determinate
circostanze;
• Individuare funzionalità non
rilevabili da analisi
automatizzate.
14. Gianni Amato
Senior Security Analyst presso il CERT-PA
www.cert-pa.it
g.amato@cert-pa.it
Automatizzare quando è possibile
l’analisi manuale
15. Gianni Amato
Senior Security Analyst presso il CERT-PA
www.cert-pa.it
g.amato@cert-pa.it
Caso Studio
Decifrare la comunicazione tra un BOT e il C&C
17. Gianni Amato
Senior Security Analyst presso il CERT-PA
www.cert-pa.it
g.amato@cert-pa.it
OSINT/CLOSINT
Deep web
• Sorgente del C&C + Builder
Forum riservati
• Contributo alla ricerca
18. Gianni Amato
Senior Security Analyst presso il CERT-PA
www.cert-pa.it
g.amato@cert-pa.it
Comunicazioni Cifrate
a b c
r
19. Gianni Amato
Senior Security Analyst presso il CERT-PA
www.cert-pa.it
g.amato@cert-pa.it
BOT -> C&C
a =
"%62%33%5A%6A%61%58%42%33%61%6E%46%6B%61%33%68%6C%63%6E%6C%73
%63%32%5A%36%62%58%52%6E%59%57%35%31%61%47%49%36%61%57%39%32
%59%33%42%33%61%6E%52%68%5A%32%35%6F%64%57%4A%6B%63%58%68%72
%5A%58%4A%35%62%48%4E%6D%65%6D%30%3D"
b =
"xHR5vGU6veVwZWF0xHVpZDiwODI2MTU3MDy4NjFzMTEnZTBgYWNgYWQ4MDZgNj
E3MjY5NeZ8veFrOjE2xGJuX2rpmGndZDiwxGJuX2ZpmGVkOjB8Yerxl2V5vkiwxGJ1v3g6Z
eFqv2V8"
c =
"%64%6A%71%78%64%6B%72%78%65%6C%72%79%65%6C%73%79%66%6D%73%7
A%67%6D%74%61"
20. Gianni Amato
Senior Security Analyst presso il CERT-PA
www.cert-pa.it
g.amato@cert-pa.it
BOT <- C&C
r =
"ZGpxeGRrcnhlbHJ5ZWxzeWZtc3pnbXRhZgaqaWRHVsdgmUZkUFRua2ZBPT0KZgzSlGM
baHBlRDB5ZgaOaeJXMWzcmVE5SVzlvFpYY2agM2QkTG5qlGFHOXZMmU52Ydz3PQi="
21. Gianni Amato
Senior Security Analyst presso il CERT-PA
www.cert-pa.it
g.amato@cert-pa.it
Url Encoding / Decoding (a)
"this is a test" → %22this%20is%20a%20test%22
%22this%20is%20a%20test%22 → "this is a test"
a =
"%62%33%5A%6A%61%58%42%33%61%6E%46%6B%61%33%68%6C%63%6E
%6C%73%63%32%5A%36%62%58%52%6E%59%57%35%31%61%47%49%36
%61%57%39%32%59%33%42%33%61%6E%52%68%5A%32%35%6F%64%57
%4A%6B%63%58%68%72%5A%58%4A%35%62%48%4E%6D%65%6D%30%3D
"
a =
“b3ZjaXB3anFka3hlcnlsc2Z6bXRnYW51aGI6aW92Y3B3anRhZ25odWJkcXhrZXJ
5bHNmem0=”
22. Gianni Amato
Senior Security Analyst presso il CERT-PA
www.cert-pa.it
g.amato@cert-pa.it
Base 64 Decoding (a)
a =
“b3ZjaXB3anFka3hlcnlsc2Z6bXRnYW51aGI6aW92Y3B3anRhZ25odWJkcXhrZXJ
5bHNmem0=”
a = “ovcipwjqdkxerylsfzmtganuhb:iovcpwjtagnhubdqxkerylsfzm”
ovcipwjqdkxerylsfzmtganuhb
iovcpwjtagnhubdqxkerylsfzm
a1 =
a2 =
24. Gianni Amato
Senior Security Analyst presso il CERT-PA
www.cert-pa.it
g.amato@cert-pa.it
Sostituzioni (b)
b =
"xHR5vGU6veVwZWF0xHVpZDiwODI2MTU3MDy4NjFzMTEnZTBgYWNgYWQ4MDZgNjE3MjY5NeZ8veFrOjE2x
GJuX2rpmGndZDiwxGJuX2ZpmGVkOjB8Yerxl2V5vkiwxGJ1v3g6ZeFqv2V8"
b =
"fHR5cGU6cmVwZWF0fHVpZDowODI2MTU3MDg4NjFhMTExZTBkYWNkYWQ4MDZkNjE3MjY5NmZ8cmFtOjE
2fGJrX2tpbGxlZDowfGJrX2ZpbGVzOjB8Ymtfa2V5czowfGJ1c3k6ZmFsc2V8"
(i→o), (o→v), (v→c), (c→i), (p→p), (w→w), (j→j), (t→q), …, (m→b)
|type:repeat|uid:082615708861a111e0dacdad806d6172696f|ram:16|bk_killed:0|bk_files:0|bk_keys:0|busy:false|
Base64 Decoding
25. Gianni Amato
Senior Security Analyst presso il CERT-PA
www.cert-pa.it
g.amato@cert-pa.it
Url Decoding (c)
● c =
"%64%6A%71%78%64%6B%72%78%65%6C%72%79%65%6C%73%79%66%
6D%73%7A%67%6D%74%61"
● c = "djqxdkrxelryelsyfmszgmta"
ZGpxeGRrcnhlbHJ5ZWxzeWZtc3pnbXRhc =
Base64 Decoding
26. Gianni Amato
Senior Security Analyst presso il CERT-PA
www.cert-pa.it
g.amato@cert-pa.it
Sottrazioni (r)
r =
"ZGpxeGRrcnhlbHJ5ZWxzeWZtc3pnbXRhZgaqaWRHVsdgmUZkUFRua2Z
BPT0KZgzSlGMbaHBlRDB5ZgaOaeJXMWzcmVE5SVzlvFpYY2agM2QkTG5q
lGFHOXZMmU52Ydz3PQi="
ZGpxeGRrcnhlbHJ5ZWxzeWZtc3pnbXRhc =
r = (r - c)
r = "ZgaqaWRHVsdgmUZkUFRua2ZBPT0KZgzSlGMbaHBlRDB5ZgaOaeJXMW
zcmVE5SVzlvFpYY2agM2QkTG5qlGFHOXZMmU52Ydz3PQi="
27. Gianni Amato
Senior Security Analyst presso il CERT-PA
www.cert-pa.it
g.amato@cert-pa.it
Base64 Decoding (r)
fGludGVydmFsPTkwfA==
|interval=90|
fHRhc2tpZD0yfGNvbW1hbmQ9IXZpZXcgd3d3LnlhaG9vLmNvbXw=
|taskid=2|command=!view www.yahoo.com|
28. Gianni Amato
Senior Security Analyst presso il CERT-PA
www.cert-pa.it
g.amato@cert-pa.it
Alcuni strumenti utilizzati dal
CERT-PA
• Strumenti open source utilizzati dal
CERT-PA;
• Strumenti pubblici realizzati dal CERT-
PA;
• Strumenti privati realizzati dal CERT-PA.
29. Gianni Amato
Senior Security Analyst presso il CERT-PA
www.cert-pa.it
g.amato@cert-pa.it
Virtualbox
Sono ormai frequenti i malware progettati per lavorare in un ambiente specifico.
Virtualbox consente di gestire agevolmente differenti ambienti operativi (Windows
XP, Vista, Seven, Windows 10);
Nota: Un laboratorio di malware analysis non può prescindere da ambienti fisici su cui testare i sample che dispongono
di componenti anti virtual machine.
https://www.virtualbox.org/wiki/Downloads
30. Gianni Amato
Senior Security Analyst presso il CERT-PA
www.cert-pa.it
g.amato@cert-pa.it
Cuckoo Sandbox
Una delle migliori soluzioni sandbox, open source, per l'analisi comportamentale
dei sample.
https://cuckoosandbox.org/download.html
31. Gianni Amato
Senior Security Analyst presso il CERT-PA
www.cert-pa.it
g.amato@cert-pa.it
Proprietà e Informazioni statiche
• Hash
• Packer
• Certificati
• Codifiche Xor
• Sezioni sospette
• API sospette
• Stringhe
• Meta-data information
• Tecniche di anti Debug
• Tecniche di anti Virtual Machine
32. Gianni Amato
Senior Security Analyst presso il CERT-PA
www.cert-pa.it
g.amato@cert-pa.it
Informazioni statiche con PEframe
https://github.com/guelfoweb/peframe
Stringhe
individuate
dal fuzzer
33. Gianni Amato
Senior Security Analyst presso il CERT-PA
www.cert-pa.it
g.amato@cert-pa.it
Certificati, Compilatori e codifiche
Xor - PEframe
34. Gianni Amato
Senior Security Analyst presso il CERT-PA
www.cert-pa.it
g.amato@cert-pa.it
Malware Unpacking
Sample compresso con UPX Sample originale
35. Gianni Amato
Senior Security Analyst presso il CERT-PA
www.cert-pa.it
g.amato@cert-pa.it
Malware Collection with PEframe
Comparare i sample al fine di individuare similitudini nelle metodologie e nella
progettazione.
36. Gianni Amato
Senior Security Analyst presso il CERT-PA
www.cert-pa.it
g.amato@cert-pa.it
Progetti che fanno uso di PEframe
● https://infosec.cert-pa.it
● https://tracker.phage.nz
● https://remnux.org
● http://openblacklist.co
37. Gianni Amato
Senior Security Analyst presso il CERT-PA
www.cert-pa.it
g.amato@cert-pa.it
Detection
In caso di incidenti rilevanti, il CERT-PA distribuisce alla propria constituency
indicatori di compromissione basati su hash.
● In chiaro
– qualora le informazioni trattate
sono di pubblico dominio
● In forma cifrata
– nel caso di indagini che
richiedono di garantire la
riservatezza delle informazioni
38. Gianni Amato
Senior Security Analyst presso il CERT-PA
www.cert-pa.it
g.amato@cert-pa.it
HASHR
● Hashr è un tool scritto e mantenuto
dagli analisti del CERT-PA
– Consente di computare hash dei file e
ricercare corrispondenza su una lista di
hash predefinita (ad esempio IoC di
hash);
– Distributito alla constituency;
● Tipologie di ricerche
– Ricerche ricorsive;
– Ricerche per tipologia di file;
● Non è di pubblico dominio
39. Gianni Amato
Senior Security Analyst presso il CERT-PA
www.cert-pa.it
g.amato@cert-pa.it
HASHR Algoritmi
● Hashr supporta i seguenti
algoritmi:
– MD5
– SHA-1
– SHA-256
– Import Hash
Supporto hash cifrati con algoritmo proprietario del CERT-PA
40. Gianni Amato
Senior Security Analyst presso il CERT-PA
www.cert-pa.it
g.amato@cert-pa.it
HASHR file di output
Utilizzando l’opzione «-o», i risultati della scansione verranno salvati su file di testo
41. Gianni Amato
Senior Security Analyst presso il CERT-PA
www.cert-pa.it
g.amato@cert-pa.it
HASHR e i Rootkit
● Hashr non è in grado di rilevare file utilizzati da componenti rootkit mentre
il sistema è in funzione in quanto, per loro natura, i rootkit lavorano in
kernel-mode con lo scopo di sfuggire ai software antivirus e garantirsi la
persistenza sul sistema.
● Hashr potrà essere utile allo scopo solo lavorando su unità disco collegata
come device esterno.
42. Gianni Amato
Senior Security Analyst presso il CERT-PA
www.cert-pa.it
g.amato@cert-pa.it
HASHR e il Builder per la cifratura
● Il builder, lo strumento usato per la cifratura, non viene distribuito alla
constituency;
● Le hashlist cifrate possono essere generete esclusivamente dal CERT-PA;
● Il CERT-PA si riserva di valutare eventuali proposte di cifratura provenienti
dai membri della constituency e della community che ne fanno esplicita
richiesta.
43. Gianni Amato
Senior Security Analyst presso il CERT-PA
www.cert-pa.it
g.amato@cert-pa.it
Grazie per l'attenzione!