Discussione Sei un malware dev alle prime armi? Allora non dimenticarti di questo dettaglio, leggi di seguito

Stato
Discussione chiusa ad ulteriori risposte.

czonta96

Utente Gold
17 Gennaio 2022
268
73
164
289
Ultima modifica:
In informatica qualche volta sentiamo parlare di sistemi x64 e x86, queste volte incorrono soprattutto quando si scarica un programma da internet. La differenza fra queste due architetture è ignorata per due ragioni:
1. A livello do grafica e funzionalità, apparentemente, non cambia molto;
2. Oggi abbiamo quasi solo esclusivamente macchine che girano con processori a 64 bit.

Ma che ruolo hanno queste due architetture nella sicurezza informatica? Molti ricercatori di sicurezza, sono tratti in inganno dal fatto che i malware in grado di attecchire su arch x86 siano universali e in grado di infettare ogni OS della MS, dall'antico Windows XP fino a Windows 11.

Feature 1.
La verità è che Microsoft ha aggiunto silenziosamente un modulo di protezione nei moderni OS a 64 bit, chiamato WOW64 compatibility layer. Questa feature esclusiva di Windows x64, consente l'esecuzione dei programmi progettati per girare su OS x86. Tuttavia, questo comp layer potrebbe anche non permettere una corretta esecuzione di alcuni malware a 32 bit, precisamente dei malware che girano in "kernel mode".

Feature 2: DEP in memory shield. Un layer di protezione che fa mitigation dei buffer overflow, nativamente presente in win64. Questo modulo marca alcune aree della memoria delle applicazioni come non eseguibili, questo significa che potrei avere problemi a lanciare del codice arbitrario a un app su win64.

Feature 3: driver signing enforcement: supponendo che io volessi, con qualche tecnica di scam, farvi installare un add-on che sniffa cookies su Firefox, e i driver del mio add-on non hanno firma digitale alcuna, vi verrà restituito l'errore in output "cannot install this add-on: driver is corrupted" e sarete salvi dall'attacco. Questo layer di protezione è nativamente presente in win64, ma può essere installato anche su win32 smanettandoci un po'.

Feature 4: ASLR enforcement. Questa feature è già presente in sistemi win32, ma è più sofisticata in OS a 64 bit. Sfruttare alcuni exploit può essere un compito tediante, perchè i blocchi di memoria vengono allocati casualmente per l'uso delle app, devi indovinare qual è il blocco da sfruttare per concludere l'attacco.

Feature 5: KPP. Non ho capito bene perché gli os a 32 bit non lo fanno, anche se è tecnicamente possibile, ma win64, incorpora nativamente un modulo di protezione che impedisce ai programmi di applicare modifiche sostanziali al kernel. Senza questa feature, potrei rendere il tuo dispositivo mio schiavo, con molta facilità, usando anche un malware da quattro soldi.

Per concludere, se intendete testare l'efficacia dei vostri artefatti sulla sicurezza dei sistemi, dovrete fare un sacrificio e testarli su una virtualbox che ospita windows a 64 bit. Con questo non sto incitando assolutamente alla creazioni di armi informatiche, è solo un consiglio che si rivolge ai ricercatori di sicurezza. Alcuni scelgono di ospitare OS a 32 bit sulle macchine virtuali per ragioni di prestazioni. Un OS a 64 bit su virtual box, effettivamente richiede uno sforzo in più da parte del vostro PC, ma le linee di difesa costituiscono una sfida più appetibile. Anche il famigerato Windows Defender, risulta essere molto più attento e responsivo su OS a 64 bit. Giusto per curiosità, alcuni malware da me fabbricati, hanno superato Defender su windows 10 x86 ma sono stati fermati su windows 10 x64. Buono studio e buone ricerche a red teamers e blue teamers.
 
Stato
Discussione chiusa ad ulteriori risposte.