Ultima modifica:
Creare un malware è una challenge a più fasi, in cui la più difficile risiede nel far sopravvivere il PE al runtime (API hooking bypass). Gli EDR incorporano sistemi di machine learning che ricostruiscono i pattern comuni d'esecuzione e se notano troppe syscall sospette si arrabbiano. Ma nonostante tu abbia sconfitto questi meccanismi, come mai il tuo payload è stato catturato, e sei a navigare su internet in cerca di una risposta che nessuno sembra saperti dare?
Se sei arrabbiato per una detection anomala, e completamente inaspettata, c'è un piccolo errore che hai commesso, un errore attorno al quale l'EDR ha fatto un "ragionamento artificiale" deducendo la soluzione più ovvia: "In realtà era un malware, eliminiamolo". Il tuo errore è.. aver chiesto al tuo payload di connettersi ad un IP in blacklist. Capita, perché mentre si affronta un EDR la reputazione dell'IP che stiamo codificando nel payload è l'ultimo pensiero che abbiamo per la testa.
!avast quando rileva un IP in blacklist codificato in un PE, non perde neanche tempo a dirti che era l'IP il problema: prenderà direttamente il PE, lo flaggherà chiamandolo con un nomignolo del tipo "Win32/Generic" o "Evogen-Sus", il file sarà categorizzato come "Medium Danger", e spostato in quarantena. Inoltre, come se non bastasse, sembra che gli ingeneri di Avast abbiano avuto un "calo del senso della sportività", pretendendo di ricevere a tutti i costi un sample di un malware appena scoperto (sì, anche se hai disabilitato la casella di auto-invio dei sample).
Tutto il tuo lavoro, tutte le tue conoscenze, sono state annullate da un errore di distrazione. Un IP che non dovevi includere nel codice.
Molti IP di VPN, molti servizi di "TCP tunnelling" e free proxy sono presenti nelle blacklist, poiché già sfruttati da tizi non proprio svegli, o comunque da criminali irrispettosi della reputazione di questi servizi. Facendo attenzione, è possibile fare esperimenti con i botnet-type malware senza rischiare di far finire l'IP nelle blacklist, ma questi signori, sfortuntamente non l'hanno capito (o non gli importa proprio)
Buono studio.
SPOILER: è sufficiente insegnare al payload a viaggiare su HTTPS, implementare un dominio protetto da Let's Encrypt e si vola. Ma dato che chi fa finire gli IP nelle blacklist sta lì ad aspettare solo che gli arriva la callback dal payload, queste misure di cautela non vengono applicate, e gli EDR vedono addirittura il traffico della botnet in plain text.
Se sei arrabbiato per una detection anomala, e completamente inaspettata, c'è un piccolo errore che hai commesso, un errore attorno al quale l'EDR ha fatto un "ragionamento artificiale" deducendo la soluzione più ovvia: "In realtà era un malware, eliminiamolo". Il tuo errore è.. aver chiesto al tuo payload di connettersi ad un IP in blacklist. Capita, perché mentre si affronta un EDR la reputazione dell'IP che stiamo codificando nel payload è l'ultimo pensiero che abbiamo per la testa.
!avast quando rileva un IP in blacklist codificato in un PE, non perde neanche tempo a dirti che era l'IP il problema: prenderà direttamente il PE, lo flaggherà chiamandolo con un nomignolo del tipo "Win32/Generic" o "Evogen-Sus", il file sarà categorizzato come "Medium Danger", e spostato in quarantena. Inoltre, come se non bastasse, sembra che gli ingeneri di Avast abbiano avuto un "calo del senso della sportività", pretendendo di ricevere a tutti i costi un sample di un malware appena scoperto (sì, anche se hai disabilitato la casella di auto-invio dei sample).
Tutto il tuo lavoro, tutte le tue conoscenze, sono state annullate da un errore di distrazione. Un IP che non dovevi includere nel codice.
Molti IP di VPN, molti servizi di "TCP tunnelling" e free proxy sono presenti nelle blacklist, poiché già sfruttati da tizi non proprio svegli, o comunque da criminali irrispettosi della reputazione di questi servizi. Facendo attenzione, è possibile fare esperimenti con i botnet-type malware senza rischiare di far finire l'IP nelle blacklist, ma questi signori, sfortuntamente non l'hanno capito (o non gli importa proprio)
Buono studio.
SPOILER: è sufficiente insegnare al payload a viaggiare su HTTPS, implementare un dominio protetto da Let's Encrypt e si vola. Ma dato che chi fa finire gli IP nelle blacklist sta lì ad aspettare solo che gli arriva la callback dal payload, queste misure di cautela non vengono applicate, e gli EDR vedono addirittura il traffico della botnet in plain text.
