Un virus, in informatica, è un software, appartenente alla categoria dei malware ,che una volta eseguito, si integra in qualche codice eseguibile (incluso il sistema operativo) del sistema informatico vittima, in modo tale da diffondersi su altro codice eseguibile quando viene eseguito il codice che lo ospita, senza che l'utente ne sia a conoscenza.
L’antivirus è un programma che protegge pc, smartphone e tablet da software potenzialmente dannosi, come i virus, i malware, i cryptolocker e i worm.
LINGUA: ITALIANO
1. Antivirus Evasion
(Techinche di analisi e di elusione degli Antivirus)
FRANCESCO GAROFALO
PROFESSORE: ALFREDO DE SANTIS
CORSO: SICUREZZA DEI DATI
2. Index:
• Introduzione agli antivirus
• Cosa sono i virus?
• Statistiche Malware
• Cosa sono e come funzionano gli Antivirus?
• Antivirus Evasion
• Tecniche di elusione degli Antivirus
• Elusione Analisi Statica Antivirus
• Caso Pratico Evasion con MSFVenom e Py2Exe
• Sandbox Evasion
• Wear andTear Artifacts
• Conclusioni
3. Index:
• Introduzione agli antivirus
• Cosa sono i virus?
• Statistiche Malware
• Cosa sono e come funzionano gli Antivirus?
• Antivirus Evasion
• Tecniche di elusione degli Antivirus
• Elusione Analisi Statica Antivirus
• Caso Pratico Evasion con MSFVenom e Py2Exe
• Sandbox Evasion
• Wear andTear Artifacts
• Conclusioni
4. Cos’è un Virus?
Un virus, in informatica, è
un software, appartenente alla
categoria dei malware ,che una volta
eseguito, si integra in qualche codice
eseguibile (incluso il sistema
operativo) del sistema informatico
vittima, in modo tale da diffondersi
su altro codice eseguibile quando
viene eseguito il codice che lo ospita,
senza che l'utente ne sia a
conoscenza.
7. Index:
• Introduzione agli antivirus
• Cosa sono i virus?
• Statistiche Malware
• Cosa sono e come funzionano gli Antivirus?
• Antivirus Evasion
• Tecniche di elusione degli Antivirus
• Elusione Analisi Statica Antivirus
• Caso Pratico Evasion con MSFVenom e Py2Exe
• Sandbox Evasion
• Wear andTear Artifacts
• Conclusioni
8. Rapporto Clusit 2019
Secondo il rapporto Clusit del
2019, il 2018 è stato l’anno
peggiore di sempre in termini
di minacce “cyber”, sia dal
punto di vista quantitativo che
dal punto di vista qualitativo.
[1]
12. Index:
• Introduzione agli antivirus
• Cosa sono i virus?
• Statistiche Malware
• Cosa sono e come funzionano gli Antivirus?
• Antivirus Evasion
• Tecniche di elusione degli Antivirus
• Elusione Analisi Statica Antivirus
• Caso Pratico Evasion con MSFVenom e Py2Exe
• Sandbox Evasion
• Wear andTear Artifacts
• Conclusioni
13. Cos’è un Antivirus?
L’antivirus è un programma che
protegge pc, smartphone e tablet
da software potenzialmente
dannosi, come i virus, i malware,
i cryptolocker e i worm.
14. Metodi di Analisi
1. Metodo delle Firme (signatures)
2. Euristiche
3. Analisi Comportamentale
4. Data Mining
5. Sandbox
15. Metodi di Analisi – Metodo delle Firme
1. Metodo delle Firme (signatures)
2. Euristiche
3. Analisi Comportamentale
4. Data Mining
5. Sandbox
16. Metodi di Analisi - Euristiche
1. Metodo delle Firme (signatures)
2. Euristiche
3. Analisi Comportamentale
4. Data Mining
5. Sandbox
17. Metodi di Analisi – Analisi Comportamentale
1. Metodo delle Firme (signatures)
2. Euristiche
3. Analisi Comportamentale
4. Data Mining
5. Sandbox
18. Metodi di Analisi – Data Mining
1. Metodo delle Firme (signatures)
2. Euristiche
3. Analisi Comportamentale
4. Data Mining
5. Sandbox
19. Metodi di Analisi - Sandbox
1. Metodo delle Firme (signatures)
2. Euristiche
3. Analisi Comportamentale
4. Data Mining
5. Sandbox
22. Index:
• Introduzione agli antivirus
• Cosa sono i virus?
• Statistiche Malware
• Cosa sono e come funzionano gli Antivirus?
• Antivirus Evasion
• Tecniche di elusione degli Antivirus
• Elusione Analisi Statica Antivirus
• Caso Pratico Evasion con MSFVenom e Py2Exe
• Sandbox Evasion
• Wear andTear Artifacts
• Conclusioni
23. Antivirus Evasion
Le tecniche di antivirus evasion sono utilizzate dai creatori di malware
per creare payload al fine di bypassare una o più applicazioni software
antivirus. Esistono diversi tool per l’antivirus evasion.
32. Index:
• Introduzione agli antivirus
• Cosa sono i virus?
• Statistiche Malware
• Cosa sono e come funzionano gli Antivirus?
• Antivirus Evasion
• Tecniche di elusione degli Antivirus
• Elusione Analisi Statica Antivirus
• Caso Pratico Evasion con MSFVenom e Py2Exe
• Sandbox Evasion
• Wear andTear Artifacts
• Conclusioni
33. Sandbox – Analisi Dinamica Automatica
Esistono diversi tool per l’analisi
dinamica automatica di Malware
all’interno di una sandbox.
34. Sandbox – Fingerprinting
Meccanismi Run-time di API – hooks
Caratteristiche di emulazione:
VMware, QEMU, BOCHS, Android Emulator, etc.
Euristiche Statiche:
Versione del Bios, configurazione hardware delleVM .
CPU emulate
Numero ridotto di processi
35. Sandbox Evasion
Attraverso Sandbox Evasion, il Malware
cambia il suo comportamento e non viene
rilevato durante l'analisi della Sandbox.
36. Difese contro Sandbox Evasion
1. Simulare un ambiente reale in un ambiente virutale:
Transparent Sandboxes
2. Eseguire il Malware in un ambiente reale;
3. Eseguire il Malware in più ambienti ed esaminare le
differenze nei comportamenti.
42. Wear and Tear Artifacts - Registro
1.Rete
2.Browser
3.Registro
•Le applicazioni installate e disinstallate
•Shared DLL
•Sistemi di Caching
•Regole del Firewall
•Applicazioni nello StartUp
43. Wear and Tear Artifacts - Sistema
1.Rete
2.Browser
3.Registro
4.Sistema
•Log degli eventi
•Numero di processi
•Caratteristiche del sistema
44. Wear and Tear Artifacts - Disco
1.Rete
2.Browser
3.Registro
4.Sistema
5.Disco
•FileTemporanei
•File Dump
•File eliminati
•File nel cestino
58. Riferimenti
• Spotless Sandboxes: Evading Malware Analysis System using Wear-and-Tear
Artifacts, 2017 IEEE Symposium on Security and Privacy
• Sandbox Evasion: http://unprotect.tdgt.org/index.php/Sandbox_Evasion
• Antivirus Evasion: http://unprotect.tdgt.org/index.php/Antivirus_Evasion
• Dynamic Malware Analysis of Phishing Emails 2018 9° International
Conference on Infomation and Communication System (ICICS)
• https://www.kaspersky.it/resource-center/threats/computer-viruses-and-
malware-facts-and-faqs
• https://www.kaspersky.it/blog/signature-virus-disinfection/9151/
• IE11 –Win81 PenetrationTestTool
Hinweis der Redaktion
Trojan: nasconde il suo funzionamento all'interno di un altro programma apparentemente utile e innocuo. L'utente, eseguendo o installando quest'ultimo programma, in effetti attiva anche il codice del trojan nascosto.
L’etimologia deriva dalla guerra tra achei e troiani del 12’ secolo a.c, il cavallo fu usato da ulisse per porre fine al conflitto.
RAT: RMS Rat è un virus ad alto rischio che si insinua furtivamente nel sistema e garantisce ai cyber criminali l'accesso remoto ai computer delle vittime. Sono dei Trojan ad accesso remoto (detti anche RAT dall'inglese Remote Administration Tool), composti generalmente da 2 file: il file server, che viene installato nella macchina vittima, ed un file client, usato dall'attaccante per inviare istruzioni che il server esegue
Backdoor: Sono dei software per aggirare le difese, firewall e/o antivirus, della macchina target, al fine di ottenere il controllo parziale o completo di questa. Molto spesso sono utilizzate per effettuare exploit.
Bot: i bot dannosi sono definiti malware auto-propaganti che infetta la macchina attaccata e si ricollega a uno o più server centrali. Il server funziona come un "centro di comando e controllo" per una botnet o una rete di computer compromessi e dispositivi simili. I bot dannosi hanno la "capacità di auto-propagarsi come un worm" e possono anche
Ransomeware: Con il termine Ransomware definiamo tutti quei programmi che bloccano l’accesso ai file di documenti o allo stesso computer, chiedendo un riscatto in denaro.
CLUSIT – Associazione Italiana per la Sicurezza Informatica
Promuovere e diffondere nel nostro paese la cultura e la consapevolezza della sicurezza informatica in tutti i suoi aspetti, in collaborazione alle consociate associazioni europee.
Promuovere iniziative per la formazione e la sensibilizzazione, in particolare tramite l’organizzazione di seminari e la pubblicazione di documenti, relativi alla sicurezza informatica;
Fornire supporto alle imprese in materia di sicurezza informatica;
Proporre raccomandazioni in materia di sicurezza informatica;
Intraprendere iniziative nei confronti di aziende ed autorità competenti, con lo scopo di coordinare, sia sul piano nazionale che internazionale, l’evoluzione delle tecniche e delle norme di sicurezza.
Lo studio si basa su un campione che al 31 dicembre 2018 è costituito da 8.417 attacchi noti di particolare gravità, ovvero che hanno avuto un impatto significativo per le vittime in termini di perdite economiche, di danni alla reputazione, di diffusione di dati sensibili (per- sonali e non), o che comunque prefigurano scenari particolarmente preoccupanti, avvenuti nel mondo (inclusa quindi l’Italia) dal primo gennaio 2011, di cui 1.552 nel 2018 (+77,8% rispetto al 2014, + 37,7% rispetto al 2017) e 5.614 registrati tra il 2014 e il 2018 .
Le SQL injection finalmente crollano all’ultimo posto facendo segnare un -85,7% rispetto al 2017 . Lo sfruttamento di vulnerabi- lità note invece è ancora in crescita (+39,4%), così come l’utilizzo di vulnerabilità “0-day”, (+66,7%), per quanto In sostanza gli attaccanti possono fare affidamento sull’efficacia del malware “semplice”, prodotto industrialmente a costi decrescenti, e sulle tecniche di Phishing / Social Engineering (+56,9%), per conseguire la gran maggioranza dei loro obiettivi .
Le SQL injection finalmente crollano all’ultimo posto facendo segnare un -85,7% rispetto al 2017 . Lo sfruttamento di vulnerabilità note invece è ancora in crescita (+39,4%), così come l’utilizzo di vulnerabilità “0-day”, (+66,7%), per quanto In sostanza gli attaccanti possono fare affidamento sull’efficacia del malware “semplice”, prodotto industrialmente a costi decrescenti, e sulle tecniche di Phishing / Social Engineering (+56,9%), per conseguire la gran maggioranza dei loro obiettivi .
Metodo delle Firme (signatures): Confronto del file da analizzare con un archivio in cui sono schedati tutti i malware conosciuti, o meglio le loro firme(una firma è una sequenza continua di byte che è comune per alcuni malware).
Metodo delle Firme (signatures): Confronto del file da analizzare con un archivio in cui sono schedati tutti i malware conosciuti, o meglio le loro firme(una firma è una sequenza continua di byte che è comune per alcuni malware).
Euristiche: Tecnologie complementare alla signature, scansione della memoria o del codice sorgente alla ricerca di pattern noti come maligni. Un antivirus con delle euristiche troppo rigide può portare a falsi positivi.
Analisi Comportamentale:
Metodo delle Firme (signatures): Confronto del file da analizzare con un archivio in cui sono schedati tutti i malware conosciuti, o meglio le loro firme(una firma è una sequenza continua di byte che è comune per alcuni malware).
Euristiche: Tecnologie complementare alla signature, scansione della memoria o del codice sorgente alla ricerca di pattern noti come maligni. Un antivirus con delle euristiche troppo rigide può portare a falsi positivi.
Analisi Comportamentale:
Metodo delle Firme (signatures): Confronto del file da analizzare con un archivio in cui sono schedati tutti i malware conosciuti, o meglio le loro firme(una firma è una sequenza continua di byte che è comune per alcuni malware).
Euristiche: Tecnologie complementare alla signature, scansione della memoria o del codice sorgente alla ricerca di pattern noti come maligni. Un antivirus con delle euristiche troppo rigide può portare a falsi positivi.
Analisi Comportamentale:
Metodo delle Firme (signatures): Confronto del file da analizzare con un archivio in cui sono schedati tutti i malware conosciuti, o meglio le loro firme(una firma è una sequenza continua di byte che è comune per alcuni malware).
Euristiche: Tecnologie complementare alla signature, scansione della memoria o del codice sorgente alla ricerca di pattern noti come maligni. Un antivirus con delle euristiche troppo rigide può portare a falsi positivi.
Analisi Comportamentale:
Metodo delle Firme (signatures): Confronto del file da analizzare con un archivio in cui sono schedati tutti i malware conosciuti, o meglio le loro firme(una firma è una sequenza continua di byte che è comune per alcuni malware).
Euristiche: Tecnologie complementare alla signature, scansione della memoria o del codice sorgente alla ricerca di pattern noti come maligni. Un antivirus con delle euristiche troppo rigide può portare a falsi positivi.
Analisi Comportamentale:
Analsi Statica: Analizza il codice del malware usando alcune tecniche di reverse engineering. Questa tecnica può essere fallace nel caso in cui il malware riceva istruzioni da internet oppure quando il codice malevole è offuscato o criptato. Il metodo delle fil
Analisi Dinamica: L’analisi dinamica sconfigge l’offuscamento del codice attraverso l’esecuzione e l’analisi del comportamento di questo.
L’obiettivo è capire lo scopo de malware quando si avvia, cosa scarica da internet e cosa esegue, cosa trasmette.
Le tecniche di antivirus evasion sono utilizzate dai creatori di malware per creare payload al fine di bypassare una o più applicazioni software antivirus.
Ciò garantisce che il payload che l'utente malintenzionato desidera eseguire sul computer di destinazione o sui computer non sia bloccato dal software antivirus e possa eseguire le azioni richieste.
Calcolo dell'hash: Gli AV sono in grado di rilevare se si tratta di un Malware noto calcolando l'hash del file, modificando un semplice bit in binario consentono al campione di eludere il rilevamento dell'hash.
Evadere la firma specifica:Alcune firme sono specificamente progettate per catturare un exploit o un comportamento specifico. Invertendo la firma, è possibile modificare il malware per eludere la firma. Ad esempio, modificando la dimensione della corrispondenza del payload o modificando l'intestazione del file.
Trucchi in formato PE:La firma di elusione può essere eseguita anche modificando la struttura PE (cambiando i nomi delle sezioni, TimeDateStamp, MajorLinkerVersion / MinorLinkerVersion, Major / Minor OperatingSystemVersion e ImageVersion / MinorImageVersion, AddressOfEntryPoint, Numero massimo di sezioni, Lunghezza del file.
Big File: A causa del limite di dimensioni del file imposto, è possibile indurre lo scanner a saltare un file modificando le dimensioni del file per renderlo maggiore del limite di dimensioni codificato. Questo limite di dimensione del file si applica in particolare ai motori euristici basati su dati statici.
Il formato di file confuso è un altro trucco che può essere utilizzato per bypassare un rilevamento AV specifico per un formato di file.
Bypassing euristico statico: Osservando la struttura di PE e il contenuto del file, il motore è in grado di rilevare se il file è dannoso o meno. Alcuni AV possono essere facilmente imbrogliati analizzandoli. Ad esempio, un motore euristico può provare a capire se un file utilizza una doppia estensione (ad esempio: invoice.doc.exe) e determinare il file come dannoso.
Bypassing euristico dinamico: I motori euristici dinamici sono implementati sotto forma di hook (in user-land o kernel-land) o basati sull'emulazione. Gli hook di land-user (HIPS) possono essere facilmente ignorati dal malware rattoppando il punto di ingresso della funzione hook. Per l'hook kernel-land, il malware deve essere eseguito nello spazio del kernel installando un driver o abusando di una vulnerabilità a livello di kernel.
Gli Splitters sono programmi che permettono di dividere in più parti un file malevolo rendendo di fatto più complessa la rilevazione da parte dell’Antivirus. La controindicazione è che occorre lo stesso programmino che ha diviso il file per riaccorparlo sulla macchina dove il malware deve attivarsi. Questo rende poco popolari gli Splitters tra i software di evasione.
Api-hooks : Tecniche che alterano il normale comportamento di un S.O. al fine di intercettare messaggi tra le componenti SW e le componenti del S.O. al fine di creare una tabella dei movimenti
Timing attacks: È un attacco in cui l’attaccante tenta di compromettere un sistema crittografico analizzando il tempo impiegato per eseguire attacci crittografici-.
Il sandboxing è una delle soluzioni di sicurezza più utili, tuttavia le best practice non vengono sempre seguite e il malware è in grado di rilevare facilmente l'ambiente sandbox. I sandbox sono spesso configurati in modo errato. Con semplici trucchi come il rilevamento del nome host, l'indirizzo mac o il rilevamento di processi, il malware può rilevare l'ambiente.
Le funzionalità di evasione del sandbox consentono al malware di non essere rilevato durante l'analisi del sandbox.
Ogni volta che un utente si collega ad una rete wireless oppure prova a risolvere un nome di dominio, ottenere il MAC address di un gateway i dati vengono memorizzati nella cache DNS.
Oppure quando un utente invia un pacchetto ad una destinazione remota, consulta la ARP cache per trovare l’indirizzo MAC del gateway. Oppure i certificati che sono stati scaricati.
La rete è un forte indicatore dell’uso del pc.
Ogni volta che un utente si collega ad una rete wireless oppure prova a risolvere un nome di dominio, ottenere il MAC address di un gateway i dati vengono memorizzati nella cache DNS.
Oppure quando un utente invia un pacchetto ad una destinazione remota, consulta la ARP cache per trovare l’indirizzo MAC del gateway. Oppure i certificati che sono stati scaricati.
La rete è un forte indicatore dell’uso del pc.
È stata effettuata un’indagine sonda per verificare se realemente esiste una correlazione tra le cinque categorie dell’artefatto quando sono macchine reali vs sandbox malware.
270 Utenti vs 98 Sandbox vs 22 BaseLine (Utilizzate diverse versioni di Windows)
The majority of these observations (89.4%) originate from Amazon Mechanical Turk workers, who downloaded and executed our artifact-probing tool, and the remaining from systems operated by friends and colleagues. The users who participated in this study come from 35 different countries, with the top countries being: US (44%), India (18%), GB (10%), CA (8%), NL (1%), PK (1%), RU (1%) and 28 other countries with lower than 1% frequency. Therefore, we argue that our dataset is representative of users from both developed and developing countries, whose machines may have different wear-and-tear characteristics. The BIOS vendor distribution of the user systems is shown in Table II. As the table shows, the users’ personal systems include different brands, such as Dell, HP, Lenovo, Toshiba, and Acer, as well as game series systems such as Alienware.
Shim Cache Entries:
Non eseguire mai come amministratore se non è necessario. Questa è una regola d'oro, può evitare il 99% di malware senza avere un AV. Questo è stato il modo normale di fare cose per gli utenti Linux per anni. Secondo me è la misura di sicurezza più importante.