Malpedia

yau 21/01/2021

YAU – Parte 4 – Primo stadio e la sezione bss

Nell’ultimo articolo avevamo visto come ottenere il payload contenuto nel packer. In alcune occasioni il payload è risultato essere un’eseguibile PE ma nei campioni recenti (e in quelli del 2018) è una DLL.Indipendentemente dal tipo di PE, l’esecuzione procede nello stesso modo; sono presenti alcune variazioni ma sono dettagli minori di implementazione. Vedremo che questo […]

yau 19/01/2021

YAU – Parte 3 – Il packer

Nell’articolo precedente abbiamo visto come analizzare i documenti malevoli utilizzati da Ursnif.In particolare abbiamo mostrato come ottenere l’URL dal quale il dropper recupera il payload da eseguire. Da più di un anno a questa parte il payload è una DLL eseguita con regsvr32.exe mentre in precedenza era un PE eseguibile (un .EXE).Questo payload non contiene […]

yau 14/01/2021

YAU – Parte 2 – Le macro

Nell’articolo precedente avevamo introdotto le categorie di macro usate da Ursnif nel corso del tempo. Lo schema riassuntivo è il seguente. In questo articolo affronteremo le tre categorie di macro, vedremo quali strumenti sono a disposizione dell’analista e se è possibile automatizzare l’analisi. Yet Another Ursnif Questo è il secondo di una seria di articoli, […]

yau 12/01/2021

YAU – Parte 1 – Le e-mail e il documento Excel

Ursnif è un malware ben conosciuto in letteratura, le informazioni che lo riguardano risalgono all’inizio del precedente1 decennio (circa 2012). Le campagne di Ursnif si presentano con frequenza quasi quotidiana ed è ormai molto raro che la settimana trascorra senza che gli autori di questo malware provino ad infettare quante più macchine possibile con l’ennesima […]

emotet 31/12/2020

Semplificare l’analisi di Emotet con Python e iced x86

In questi giorni l’Italia è interessata da campagne Emotet che fanno uso di payload offuscati che rendono l’analisi statica piuttosto tediosa. In questo caso infatti l’uso di un debugger non si rileva molto utile.La variante di Emotet analizzata impiega varie tecniche di offuscazione del codice, una di queste è nota come CFO (Control Flow Obfuscation); […]

Nefilim ransomware 10/11/2020

Il Ransomware Nefilim

Nefilim è il terzo ransomware che il CERT-AgID ha scelto di analizzare perchè, al pari dei precedenti Maze e NetWalker, è stato definito come ransomware con capacità di esfiltrazione di dati e risulta coinvolto in un recente ed importante data leak che ha coinvolto una azienda italiana. Le prime evidenze di Nefilim, noto anche come […]

NetWalker 06/11/2020

NetWalker: il ransomware che ha beffato l’intera community

Our encryption algorithms are very strong and your files are very well protected, the only way to get your files back is to cooperate with us and get the decrypter program. […] Additionally, you must know that your sensitive data has been stolen by our analyst experts and if you choose to no cooperate with […]

Maze 03/11/2020

Il ransomware Maze chiude. Era davvero in grado di esfiltrare dati?

Lo scorso 1 novembre 2020 gli sviluppatori del ransomware Maze hanno annunciato sulla home page del loro sito, accessibile via rete TOR, la chiusura ufficiale del progetto. Anche se di recente non è stata osservata alcuna campagna Maze veicolata in Italia tramite malspam, i criminali dietro al ransomware hanno pubblicato sul loro sito i dati […]

Agile.NET 29/10/2020

Decodificare e crackare Agile.NET 6.6

Agile.NET è un offuscatore commerciale per assembly .NET già conosciuto in letteratura ma che ha recentemente1 cambiato o introdotto la modalità di cifratura dei metodi. Agile.NET 6.6 usa un duplice fronte di azione: da un lato compie le usuali manipolazioni delle istruzioni CIL, come ad esempio l’utilizzo di CFF, l’utilizzo di delegate per nascondere il […]

CVE-2017-11882 equation editor 26/10/2020

Una vecchia vulnerabilità: Equation Editor CVE-2017-11882 nel dettaglio

Abbiamo scritto, non molto tempo fa, di un campione ASTesla che utilizzava Telegram per l’esfiltrazione delle credenziali delle vittime.In quell’articolo avevamo evidenziato come il malware facesse uso della vulnerabilità CVE-2017-11882 che colpisce l’equation editor. In questo nuovo articolo vogliamo approfondire la vulnerabilità e creare uno strumento per l’analisi del payload che non richieda l’utilizzo di […]