Ultima modifica da un moderatore:
Malware Analysis - Laboratorio di pratica con CTF - Parte 4
Tramite le precedenti parti del corso (link in fondo) avete acquisito le basi per poter iniziare a fare la pratica, che in questo ambito è la cosa più importante e la via per imparare sempre di più.
Per questa ultima parte ho realizzato una sfida di Capture The Flag, programmando 6 sample di finti malware e un programma che li installerà nella vostra macchina virtuale. Per catturare la flag dovrete trovare tutti i 6 sample.
Le categorie di "difficoltà" dei sample si suddividono in:
- Easy: sample 1 & 2
- Medium: sample 3 & 4
- Hard: sample 5 & 6
Nella prova non sono presenti rootkit per non complicare le cose più del necessario, tutti i sample agiscono in user-mode anche se con privilegi diversi.
Ambiente di test
La vostra macchina virtuale deve avere Windows 10 a 64 bit installato via file ISO (link ufficiale, se il vostro host è Windows e se volete ottenerlo senza MediaCreationTool usate un User-Agent di un OS non Windows), evitate quelle preconfezionate Microsoft MSEdge/IETest e simili, NON deve avere installati Anti-Virus e Windows Defender deve essere disabilitato manualmente (sia la Real-time protection che quella cloud), altrimenti il setup si rifiuterà di partire. Questo per evitare che l'Anti-Virus rilevi uno o più sample, falsi la prova o faccia sparire un artefatto silenziosamente. Consiglio di eseguire uno snapshot della VM prima di partire con l'infezione, in modo che se qualcosa andasse storto o volete ripeterla potete fare revert e installare da capo. Questa CTF può funzionare interamente offline, per cui potete benissimo togliere internet alla VM.
NON usate la vostra macchina fisica, anche se i malware sono fake non mi riterrò responsabile di eventuali danni o instabilità e non darò istruzioni o supporto su come eliminare artefatti del test.
Preparazione
Scaricate il pacchetto contenente MA_CTF.exe dal link sottostante; estraetelo ed eseguitelo come amministratore nella VM di test. Quando avrà finito, la VM si riavvierà dopo qualche secondo e sarete pronti alla caccia al malware!Nota: non è una sfida di reversing, non concentratevi subito sul reversing del setup, l'ho reso un po' impegnativo per rendere la sfida più realistica visto che spesso si ha a che fare con sistemi infetti di cui non disponiamo del vettore di infezione iniziale. Inoltre reversarlo non fa guadagnare punti extra nel CTF.
Nota bonus: alcuni sample cercheranno di mettervi i bastoni tra le ruote o comunque di irritarvi
Se il setup non dovesse farvi proseguire per via dell'antivirus, disabilitate la Virus & threat protection dalle impostazioni (da windows security o Win+R,
windowsdefender:
e invio) e se non bastasse eseguite dentro PowerShell amministratore il seguente comando:
Codice:
Set-MpPreference -MAPSReporting Disabled -SubmitSamplesConsent NeverSend -DisableRealtimeMonitoring 1
Caccia al "malware"
Qualsiasi tecnica e qualunque strumento sono concessi. Una volta completata l'installazione, aprire il programma CTF: stavolta mostrerà un riepilogo dei sample finora rinvenuti, come da immagine sotto.Trova tutti i sample e trascina i file infetti nel box dello strumento!
Una volta trovati i 6 sample avrete la flag corretta da postare in risposta a questo thread; la flag generata sarà diversa per ogni VM ed è possibile verificare la validità di flag di altri utenti, questo per invogliare ognuno a trovare la propria
Link al download:
Per vedere questo contenuto, devi Accedere o Registrarti.
Risorse aggiuntive
Di seguito sono elencati tutti i capitoli del corso ed ulteriori risorse utili per comprendere al meglio l'arte dell'analisi di malware e gli strumenti necessari:
- Primo articolo: Malware analysis cosa è, come funziona e perché è importante conoscerla
- Secondo articolo: Malware Analysis e analisi blackbox su Window
- Terzo articolo: Malware Analysis - Reversing e Strumenti per Windows
- Quarto articolo: Malware Analysis - Laboratorio di pratica con CTF
- Tutti gli strumenti necessari per il Reverse Engineering