Questa guida e' incentrata sul rilevare la presenza di malware DOPO che e' gia' stato installato su un PC Windows, richiede una buona dose di smanettamento e non e' basilare, in quanto potenzialmente vi permette di trovare malware non rilevati dall'antivirus.
Essendo una procedura fatta post-infezione non vi salvera' da un Ransomware che ha gia' criptato i vostri file o da un RAT che ha gia' trafugato le vostre password.
Una precisazione doverosa e' che esistono malware particolarmente sofisticati e tramite tecniche di rootkit/injection riusciranno comunque ad essere invisibile ai vostri occhi.
Intraprendete questa guida solo dopo aver fatto la cosa piu' semplice, cioe' scansionare il PC con antivirus e tool classici che sono molto piu' semplici da usare, come Malwarebytes, ovviamente gli antivirus sono lontani dall'essere perfetti, ma cosa piu' importante voi sapete cosa avete installato volontariamente e cosa no.
Occorrente:
Ricerca degli IOC (Indicator Of Compromise)
Persistenza:
I malware quasi sempre necessitano di un metodo per mantenere la persistenza, in modo che se riavviate il PC, il malware verra' "risvegliato" dal sistema operativo o da un altro software installato.
Usando Autoruns abbiamo una lista esaustiva dei programmi all'avvio del sistema, per filtrare un po' di voci, abilitiamo nelle opzioni tutte le voci "Hide" tranne quella di virustotal clean.
Autoruns marchera' per voi gli eseguibili non firmati digitalmente in rosso, partite da quelli, ma controllate anche che gli altri abbiano firme congruenti con quello che sembrano essere, ad esempio se vediamo un eseguibile di Java Update mi aspetto che la firma sia di Oracle, non di John Doe Ltd.
Controllate anche gli argomenti, a volte il malware usa un programma legittimo per avviarsi, ad esempio cmd o powershell. Se vedete powershell.exe seguito da una lunga sequenza di caratteri apparentemente casuale (solitamente base64) e' altamente probabile che sia malevolo.
Se trovate un file sospetto, provate a caricarlo su VirusTotal, e rimuovetelo solo se ne siete assolutamente convinti.
Ricorda che esistono metodi per non figurare in quella lista, ma sono assolutamente poco comuni, di solito utilizzati da APT che in un modo o nell'altro vi fregheranno.
Esfiltrazione/accesso a internet:
Potete usare un Desktop Firewall, Wireshark o altri tool simili, per vedere quale programma sta facendo richieste ad internet, difficilmente potrete vedere il contenuto, perche' al giorno d'oggi anche i malware usano la crittografia per contattare il C&C, ma il solo fatto che lo stia facendo puo' suggerirvi di andare a controllare il processo con Procexp. Ovviamente questo e' poco utile se il malware e' installato come servizio (nascosto quindi nelle innumerevoli richieste di svchost) oppure iniettato nel vostro browser (confondibile con altre richieste HTTPS, per sicurezza in questo caso e' meglio chiudere ogni finestra del browser in modo che vi salta all'occhio).
NB: prima di aprire/installare il software di monitoring della rete, tenete d'occhio i processi, alcuni malware vedendo processi come "Wireshark.exe" si auto-terminano per non farsi beccare.
Operazioni tipiche da spyware:
Potete rilevare le singole funzionalita' da spyware, in questo trovo molto utile l'HIPS di Comodo, che puo' essere regolato per avvertirvi se un software richiede accesso al Monitor (per fare screenshot) o alla Tastiera (Keylogger), ma ci sono anche software piu' specifici come Zemana AntiLogger. Per il resto se vi si accende il led della webcam e non siete su Skype con gli amici o i colleghi la conclusione e' scontata.
Coin-miner:
Solitamente e' il piu' semplice da rilevare, oltre alla persistenza e l'accesso a internet di cui necessitano, vi basta vedere i processi che consumano piu' CPU/GPU (e' sufficiente il task manager di Windows).
Nota finale: se non sapete cosa state facendo non eliminate programmi all'avvio, non mi ritengo responsabile se rimuovete una componente critica di Windows o un driver e rompete il sistema
Essendo una procedura fatta post-infezione non vi salvera' da un Ransomware che ha gia' criptato i vostri file o da un RAT che ha gia' trafugato le vostre password.
Una precisazione doverosa e' che esistono malware particolarmente sofisticati e tramite tecniche di rootkit/injection riusciranno comunque ad essere invisibile ai vostri occhi.
Intraprendete questa guida solo dopo aver fatto la cosa piu' semplice, cioe' scansionare il PC con antivirus e tool classici che sono molto piu' semplici da usare, come Malwarebytes, ovviamente gli antivirus sono lontani dall'essere perfetti, ma cosa piu' importante voi sapete cosa avete installato volontariamente e cosa no.
Occorrente:
- SysInternals Suite (Microsoft)
- Autoruns
- Procexp
- Wireshark o simili
Ricerca degli IOC (Indicator Of Compromise)
Persistenza:
I malware quasi sempre necessitano di un metodo per mantenere la persistenza, in modo che se riavviate il PC, il malware verra' "risvegliato" dal sistema operativo o da un altro software installato.
Usando Autoruns abbiamo una lista esaustiva dei programmi all'avvio del sistema, per filtrare un po' di voci, abilitiamo nelle opzioni tutte le voci "Hide" tranne quella di virustotal clean.
Autoruns marchera' per voi gli eseguibili non firmati digitalmente in rosso, partite da quelli, ma controllate anche che gli altri abbiano firme congruenti con quello che sembrano essere, ad esempio se vediamo un eseguibile di Java Update mi aspetto che la firma sia di Oracle, non di John Doe Ltd.
Controllate anche gli argomenti, a volte il malware usa un programma legittimo per avviarsi, ad esempio cmd o powershell. Se vedete powershell.exe seguito da una lunga sequenza di caratteri apparentemente casuale (solitamente base64) e' altamente probabile che sia malevolo.
Se trovate un file sospetto, provate a caricarlo su VirusTotal, e rimuovetelo solo se ne siete assolutamente convinti.
Ricorda che esistono metodi per non figurare in quella lista, ma sono assolutamente poco comuni, di solito utilizzati da APT che in un modo o nell'altro vi fregheranno.
Esfiltrazione/accesso a internet:
Potete usare un Desktop Firewall, Wireshark o altri tool simili, per vedere quale programma sta facendo richieste ad internet, difficilmente potrete vedere il contenuto, perche' al giorno d'oggi anche i malware usano la crittografia per contattare il C&C, ma il solo fatto che lo stia facendo puo' suggerirvi di andare a controllare il processo con Procexp. Ovviamente questo e' poco utile se il malware e' installato come servizio (nascosto quindi nelle innumerevoli richieste di svchost) oppure iniettato nel vostro browser (confondibile con altre richieste HTTPS, per sicurezza in questo caso e' meglio chiudere ogni finestra del browser in modo che vi salta all'occhio).
NB: prima di aprire/installare il software di monitoring della rete, tenete d'occhio i processi, alcuni malware vedendo processi come "Wireshark.exe" si auto-terminano per non farsi beccare.
Operazioni tipiche da spyware:
Potete rilevare le singole funzionalita' da spyware, in questo trovo molto utile l'HIPS di Comodo, che puo' essere regolato per avvertirvi se un software richiede accesso al Monitor (per fare screenshot) o alla Tastiera (Keylogger), ma ci sono anche software piu' specifici come Zemana AntiLogger. Per il resto se vi si accende il led della webcam e non siete su Skype con gli amici o i colleghi la conclusione e' scontata.
Coin-miner:
Solitamente e' il piu' semplice da rilevare, oltre alla persistenza e l'accesso a internet di cui necessitano, vi basta vedere i processi che consumano piu' CPU/GPU (e' sufficiente il task manager di Windows).
Nota finale: se non sapete cosa state facendo non eliminate programmi all'avvio, non mi ritengo responsabile se rimuovete una componente critica di Windows o un driver e rompete il sistema
