Mi piace definire con l'espressione "esperienza cyberbellica" quella sfida in cui io, o altri hacker etici, ci cimentiamo per creare un
Come già sappiamo, gli AV sfruttano un database contenente le cosiddette "signature" di malware già rilevati, e inoltre, grazie a modelli di machine learning sempre più sofisticati, quasi ogni antivirus riesce ad individuare delle varianti sconosciute dello stesso malware. Com'è preparato Sophos Antivirus sotto quest'aspetto? Per testare le capacità di resistenza di quest'AV ho sfruttato
Qual è il verdetto finale su Sophos? Quest'AV è interessante... Ma soffre dello stesso problema che hanno molti altri, non è in grado di rilevare l'elemento di novità in modo dinamico nel malware, e quindi c'è una probabilità - molto bassa - di poter essere attaccati, anche con la versione a pagamento. Ottimo antivirus contro i malware già noti, e ha rilevato anche varianti auto-prodotte di questi malware, per generare solamente nuove signature. Pessimo nel respingere lo stage iniziale dell'infezione nei malware sofisticati, ma ha mostrato una buona resistenza negli stage finali... A parte Mimikatz... Voto 4/10. Non comprate. La versione gratuita è già praticamente il 90% del prodotto, dato che la versione a pagamento si è rivelata niente di speciale.
evasive executable
che può rimanere sotto il Radar di quanti più antivirus possibili in più stage dell'attacco. Come alcuni di voi già sanno, lo stage iniziale di un attacco consiste nell'invio del malware al target, lo stage intermedio è l'esecuzione del malware, e lo stage finale, denominato post-exploitation
è quella fase che va a concretizzare le operazioni compiute da questo malware. Quest'oggi vi racconterò della mia esperienza cyberbellica contro un noto colosso della sicurezza informatica, Sophos Antivirus. Come si fa a stabilire se un Antivirus è migliore di un altro nel rilevamento dei malware? In realtà sono tutti più o meno allo stesso piano, più che parlare di "qual è meglio?" io preferirei usare l'espressione "qual è quello che ha visto più malware?"Come già sappiamo, gli AV sfruttano un database contenente le cosiddette "signature" di malware già rilevati, e inoltre, grazie a modelli di machine learning sempre più sofisticati, quasi ogni antivirus riesce ad individuare delle varianti sconosciute dello stesso malware. Com'è preparato Sophos Antivirus sotto quest'aspetto? Per testare le capacità di resistenza di quest'AV ho sfruttato
czonta.exe
, un payload in grado di rimanere nell'ombra sul target device dopo l'execution, che uso nelle operazioni segrete, e di cui le informazioni sono private. Cosa fa questo payload? L'obiettivo di questo payload è quello di spacciare una serie di attacchi volti al furto delle credenziali per un processo di sistema valido, per spiegarlo a livello tecnico mi basterebbe richiamare un riferimento tramite link, ma essendo a conoscenza del fatto che non tutti hanno scopi davvero etici, preferisco lasciarvi pensare che l'ho fatto con qualcosa preso a caso da Git, dato che i tool provenienti da quel canale sono diventati una moda nell'ultimo biennio. Com'è andata alla fine? Sophos, merita davvero di essere acquistato per la sicurezza della tua azienda, del tuo server o della tua rete domestica?- Stage 1: download e piazzamento dell'.exe nell'user folder. Riuscita
- Stage 2: esecuzione dell'.exe. Riuscita
- Stage 3: Fase 1 post-exploitation, check completo dell'hard disk in cerca di ogni estensione di file che possa contenere una password (.docx .txt .pdf .csv .xls). Riuscita
- Stage 4: Fase 2 post-exploitation, impersonificazione dei privilegi dell'user, anche se non richiesto, ma in alcuni casi è utile. Fallito (Detection avvenuta nel momento in cui si prova a sfruttare
explorer.exe
per impersonare l'user) - Stage 5: Fase finale, Mimikatz. Riuscita.
process injection
invece devo ammettere che quest'AV è un prodotto decente. Non mi ha consentito di far girare codice malevolo nei processi legittimi di Windows, quest'accortezza mi ha costretto a modificare l'.exe per far spawnare un processo indipendente nel Task Manager. Questo comportamento, far spawnare un processo indipendente dal malware, rispecchia quello di molte app legittime, e quindi ritenuto sicuro dall'AV - Ma non dalla persona che è dietro al device. Infatti quando i malware si comportano in modo così "standard", è pur vero che possono evadere l'AV, ma possono essere fermati manualmente, dal Task Manager. Esistono tecniche di evasion ausiliari per sorvolare anche quest'ostacolo, così tante che diventerebbe davvero troppo lunga la storia, se dovessi spiegarle tutte in una volta, e ne parlerò in un'altra occasione.Qual è il verdetto finale su Sophos? Quest'AV è interessante... Ma soffre dello stesso problema che hanno molti altri, non è in grado di rilevare l'elemento di novità in modo dinamico nel malware, e quindi c'è una probabilità - molto bassa - di poter essere attaccati, anche con la versione a pagamento. Ottimo antivirus contro i malware già noti, e ha rilevato anche varianti auto-prodotte di questi malware, per generare solamente nuove signature. Pessimo nel respingere lo stage iniziale dell'infezione nei malware sofisticati, ma ha mostrato una buona resistenza negli stage finali... A parte Mimikatz... Voto 4/10. Non comprate. La versione gratuita è già praticamente il 90% del prodotto, dato che la versione a pagamento si è rivelata niente di speciale.