Pillole
Visite: 5988

Facendo seguito alla pillola della settimana scorso oggi vi continua a parlare di memoria.

La memoria si divide in due aree distinte:

Lo User Space, che è un insieme di posizioni in cui vengono eseguiti i normali processi utente ed è dove viene mappato il VAS (Virtual Address Space) che vi ho descritto nella pillola precedente.
Il Kernel Space, che è la posizione in cui è eseguito il kernel e tutti quei processi che necessitano di essere eseguiti in Kernel mode.
Attenzione, quando parliamo di space ci riferiamo alla memoria, quando parliamo di mode ci riferiamo alla modalità di lavoro della CPU.
Quando la CPU lavora in Kernel Mode (Ring0) è in grado di accedere al Kernel Space (andatevi a rivedere la mia pillola sui Ring di protezione)
I processi in esecuzione nello spazio utente hanno accesso solo al loro Virtual Address Space, mentre i processi kernel vedono a tutta la memoria.

I processi in esecuzione nello user space non hanno accesso diretto allo spazio del kernel ma possono utilizzre API che consentono di passare al Kernel Mode.

Tipicamente sui sistemi Windows questo viene effettuato chiamado API che si trovano in Kernel32.dll e che, passando tramite altre API in Ntdll.dll passano l'esecuzione da User Mode a Kernel mode.
E' importante però sottolineare che i processi che lavorano in Kernel Space utilizzano tutti lo stesso spazio di indirizzamento e non sono protetti, come in user space, dalla VAS.
Cosa significa? Che quando un processo in user space si "pianta" non succede nulla, il SO continua a funzionare. Quando si "pianta" un processo in Kernel Space, vengono coinvolti potenzialmente tutti i processi che girano in quell'area.
Il risultato?
Schermata blu!

#Windows #Kernel #VAS #MalwareAnalysis #Cybersecurity #Malware #Hacker #EthicalHacker

Pillole
Visite: 17063

Un file #thumbs.db viene generato automaticamente ogni volta che un utente visualizza una cartella in modalità "thumbs" o "filmstrip". Il file crea un insieme di piccole immagini (non più di 96×96 pixel), note come miniature, per tutte le immagini presenti in una cartella.
Lo scopo di questo file è accelerare il tempo necessario per visualizzare una cartella in modalità thumbs creando una miniatura memorizzata nella cache di ciascuna immagine in modo che #Windows non debba crearne una nuova ogni volta. I file indicizzati in un file Thumbs.db includono file di immagine come JPEG, BMP, GIF e PNG, file di immagine di documenti come TIFF e PDF, file video come AVI e MOV, file di presentazione come PPT e alcune pagine Web HTML .
Il file Thumbs.db contiene quindi le miniature delle immagini, queste spesso rimangono sul computer di una persona anche dopo aver eliminato il file immagine stesso. Molte persone non riescono a eliminare il file Thumbs.db perché è un "file nascosto", il che significa che è visualizzabile solo in una directory quando l'opzione "Mostra file nascosti" è attivata.

I dati Thumbs.db sono archiviati nel "OLE Compound Document", il che significa che il contenuto del file non può essere visualizzato senza conoscenze o software specialistici. Tuttavia, gli esperti di informatica forense sono in grado di convertire i dati archiviati all'interno di un file Thumbs.db in una forma leggibile, estraendo ciascuna delle immagini in miniatura, insieme a informazioni come il nome del file originale e la data in cui ciascuna miniatura è stata scritta l'ultima volta.
Sono disponibili numerosi strumenti che possono essere utilizzati per estrarre e visualizzare i dati in un file Thumbs.db. Questi includono ad esempio le soluzioni di 'Encase' o 'AccessData FTK', che offrono una semplice interfaccia utente per visualizzare le miniature all'interno dei file Thumbs.db.

Le prove estratte dai file Thumbs.db possono avere un peso significativo nei casi giudiziari. Ad esempio, nel dicembre 2008, un uomo norvegese, Martin Stenstadvolden, si è dichiarato colpevole di aver scaricato materiale pedopornografico dopo che l'analisi forense del computer ha rivelato miniature di immagini illecite memorizzate nella cache, di cui credeva di aver cancellato ogni traccia. Con l'enorme quantità di informazioni su Internet che aumenta ogni giorno di più e le nuove tecnologie che producono modi sempre più illeciti di condividere immagini indecenti, l'informatica forense rappresenta uno strumento sempre più vitale nell'arsenale delle forze dell'ordine.

#cybersecurity #ethicalhacker #malware #forensic #analisiforense #penetrationtester

Pillole
Visite: 6013

Per poter fare efficacemente #malwareAnalysis è importante capire le strutture di memoria dei sistemi operativi.
Tra queste è fondamentale comprendere il concetto di #VAS o virtual address space.
Lo spazio degli indirizzi virtuali può essere definito come l'intervallo di indirizzi con cui un processo funziona che va da un valore basso (0x0) al più alto possibile. Il massimo è limitato dall'architettura del set di istruzioni e dalla dimensione massima del puntatore implementata dal sistema operativo (32/64 bit, ecc.).

Un tipico esempio potrebbe essere un sistema operativo a 32 bit che esegue un processo dove il Virtual Address Space ( VAS ) del programma è di 4 GB (da 0 a 2^32-1).
Attenzione, si chiama #VirtualAddressSpace perchè è virtuale quindi non vi è una mappatura 1 a 1 con la memoria fisica. Questo indica che tutti i processi hanno indirizzi virtuali identici (o quasi), ma questi indirizzi vengono mappati in differenti aree di memoria.

Quindi, se ogni processo avrà lo stesso spazio di indirizzi, non accederanno/distruggeranno reciprocamente i dati? No, perché quando il processo1 accede a VAS 0X3233A (diciamo), non accede alla stessa area di memoria fisica assegnata al VAS 0x3233A del processo2.
Questa mappatura si trova in una struttura chiamata #PageTable appartenente ad ogni singolo processo.
Quindi, quando 0X3233A viene cercato nella tabella delle pagine del processo1, potrebbe puntare a una posizione di memoria 0X234AA nella memoria fisica . D'altra parte, se 0X3233A viene cercato nella tabella delle pagine del processo2, potrebbe puntare alla posizione di memoria fisica 0x11BB.
Naturalmente sto parlando di processi che girano nella User Memory. I processi Kernel, non hanno una VAS ma condividono tutti lo stesso spazio di indirizzamento.

Nella prossima pillola vi spiegherò le implicazioni dello spazio di indirizzamento unico dei processi Kernel.

Stay Tuned!

Pillole
Visite: 9175

I file LNK, denominati Shortcut o scorciatoie, sono un artefatto relativamente semplice ma prezioso per l'investigatore forense. Sono file di collegamento che si collegano a un'applicazione o a un file e terminano con un'estensione .LNK. I file LNK possono essere creati dall'utente o automaticamente dal sistema operativo Windows.
Quando sono creati da Windows vengono generati quando un utente apre un file o un documento locale o remoto, fornendo agli investigatori informazioni preziose sull'attività di un sospetto.
Questi sono eccellenti artefatti per gli investigatori forensi che stanno cercando di trovare file che potrebbero non esistere più sul sistema che stanno esaminando. I file potrebbero essere stati cancellati, archiviati su una USB o una condivisione di rete, quindi anche se il file potrebbe non essere più presente, i file LNK associati al file originale continueranno a esistere (e riveleranno informazioni preziose su ciò che è stato eseguito sul file sistema).
Attenzione però, perchè non tutti questi artefatti contengono le stesse informazioni, che posso variare da uno all'altro.
I file LNK in genere contengono i seguenti elementi di valore probatorio:

  • Il percorso originale del file
  • tempo MAC del file originale; non solo un file LNK conterrà timestamp per il file LNK stesso, ma conterrà anche orari MAC per il
  • file collegato all'interno dei suoi metadati
  • Informazioni sul volume e sul sistema in cui è archiviato il file LNK. Ciò includerà il nome del volume, il numero di serie, il nome
  • NetBIOS e l'indirizzo MAC dell'host in cui è archiviato il file collegato
  • Dettagli di rete se il file è stato archiviato su una condivisione di rete o su un computer remoto
  • Dimensione file del file collegato

Un utile tool per analizzarli è LECmd.exe di Eric Zimmerman

Pillole
Visite: 5422

Per poter eseguire un'efficace analisi del #malware è fondamentale sapere cosa sia un malware e come viene classificato.
Come definizioni potremmo utilizzarne tante, ma a me piace questa Il malware è un software eseguito su un sistema all'insaputa del suo amministratore
I malware si possono classificare in base a 3 differenti parametri: Tipologia, Comportamento e Privilegi
Classificando un malware come tipologia abbiamo gli #Scareware, #bot, #ransomware, #cryptominer etc...
Classificandolo per comportamento abbiamo quelli che rubano le risorse del sistema, negano un servizio, ingannano un utente etc...
Mentre classificandolo per privilegi abbiamo qualli che lavorano in User mode, Kernel mode, a Ring -1 e -3
Se vi interessa questo argomento vi consiglio di leggere Dynamic Malware Analysis in the Modern era scritto da ricercatori della Ben Gurion University

Pillole
Visite: 6279
Il registro #KnownDll viene utilizzato da à#Windows per velocizzare il caricamento delle DLL più comuni ma anche come meccanismo di protezione.
Queste DLL si trovano nel registro HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls e vengono carica dal sistema operativo al suo avvio.
Quando un esegubile necessita di utilizzare una DLL contenuta in quel registro se la ritrova già caricata in memoria e non ha bisogno di utilizzare il loader per caricarla.
"Ok, serve per velocizzare ma perchè è un meccanismo di sicurezza?" direte voi.
Ebbene, Windows quando deve caricare una DLL, ha un suo ordine sequenziale di directory all'interno delle quali ricercarle e la prima directory nella quale ricerca la dll da caricare è quella dal quale viene lanciato il programma che la richiede.
La directory C:\Windows\System32 è seconda in quell'ordine.
Questo comporta che se un malintenzionato carica una Dll malevola nella directory dal quale viene lanciato il programma, e quella DLL si trova in C:\Windows\System32 il loader caricherà la prima e non quella legittima.
Per ovviare a questo, viene creata KnownDll: se una Dll si trova al suo interno sarà sempre già caricata in memoria e quel pericolo verrà scampato.
Naturalmente se un attore modifica le KnownDll nel registro ... buonanotte ai suonatori ;-)

Pillole
Visite: 5807

Le tecniche #antiforensics si riferiscono a qualsiasi strategia o software per contrastare un'indagine informatica. I criminali informatici possono alterare le prove modificando l'intestazione o i metadati o alterando l'intestazione da .jpg a .mp3 per indurre un analista (poco accorto) a credere che si tratti di un file audio.
I criminali informatici utilizzano tecniche anti-forensi per falsificare il rapporto sulle prove della scientifica informatica, portando gli investigatori forensi su una pista investigativa sbagliata. Pertanto, diventa un compito arduo per l'investigatore forense recuperare qualsiasi prova dalla scena del crimine. Il processo di indagine forense richiede molto tempo per identificare queste tecniche anti-forensi.

Le tecniche antiforensi sono utilizzate per:

  • Eliminare le prove del crimine informatico
    Compromettere i rapporti dell'analista forense
    Eliminare o modificare i record di registro delle attività dell'attaccante

Per esempio una tecnica potrebbe essere quella di cambiare volontariamente i timestaps dei file in modo da alterare la timeline per invalidare una prova scientifica o portare a conclusioni sbagliate.

Pillole
Visite: 4597

Spesso e volentieri mi ritrovo a dover rivedere alcune ricerche effettuate sul web con uno specifico motore di ricerca, il più delle volte non ricordo il contesto oppure la giusta frase o termine usato nella ricerca.

MyLastSearch della NirSoft ci da una mano, permette la scansione della cache e dei file di cronologia del browser Web e individua tutte le query di ricerca effettuate con i motori di ricerca più popolari (Google, Yahoo e MSN) e con i siti di social networking più diffusi (Twitter, Facebook, MySpace).

Le query di ricerca effettuate vengono visualizzate in una tabella, è possibile salvarla in un file di testo/html/xml.

Pillole
Visite: 5612

Il popolare collettivo di hacker #Anonymous afferma di aver violato servizi di streaming e diversi canali televisivi statali in Russia per trasmettere filmati della guerra in Ucraina. L'ultimo attacco informatico è arrivato appena una settimana dopo che il gruppo ha interrotto le trasmissioni di diversi canali televisivi statali in Russia per suonare l'inno nazionale ucraino.
Infatti, la sera del 6 marzo 2022, Anonymous ha pubblicato su #Twitter i filmati dell'hackeraggio della TV di stato russa. Secondo Anonymous, tre canali televisivi di stato russi, Russia 24, Moscow 24 e Channel One e due servizi di streaming russi simili a Netflix, Ivi e Wink, sono stati presi di mira nell'attacco informatico. Il filmato è stato pubblicato con la seguente didascalia:

Hackread ha riferito in precedenza che Anonymous aveva minacciato pubblicamente il presidente russo Vladimir Putin dopo che la Russia aveva invaso l'Ucraina in una presunta missione di mantenimento della pace. Il 27 febbraio 2022, il gruppo ha pubblicato un videomessaggio avvertendo Putin di gravi conseguenze e di un'imminente guerra informatica se le sue forze non evacueranno l'Ucraina.

Successivamente, i siti web del governo russo , del ministero della Difesa russo e di aziende russe come Gazprom sono stati presi di mira. Poco dopo, è stato lanciato un attacco informatico contro una stazione di ricarica di veicoli elettrici a Mosca, interrompendo i servizi presso la struttura.

Gli schermi della stazione mostravano messaggi anti-Putin e anti-governo e sostegno al presidente ucraino Volodymyr Zelenskyy. Inoltre, il 4 marzo 2022 , Anonymous ha effettuato un altro attacco informatico effettuando il defacement del sito web ufficiale del Russian Space Research Institute.

Il gruppo di hacktivisti ha anche twittato link per il download dei dati rubati dall'agenzia spaziale russa Roscosmos .

Pillole
Visite: 4984

La Digital Forensics è di sicuro un argomento molto complesso, ed uno degli obbiettivi dell’analisi è sicuramente il Filesystem.

Diversi livelli di analisi possono essere compiute su di esso, vi riporto indicazioni sulla parte dei metadati, appunto Metadata Layer.

Un esempio di questo è lo spazio non allocato lo “slack space”. Il più importante di queste è, la MFT (Master File Table), corrispondente al file $mft, questo contiene un record per ogni file e directory contenuti all’interno del volume e per ognuno di essi una serie di attributi.

L’analisi di questa parte è possibile tramite l’acquisizione dell’immagine del disco, uno strumento utile a ciò è FTK Imager.

Ecco alcuni degli attributi ed una breve descrizione, importanti per l’analisi:

  • $DATA, contenuto del file.
  • $STANDARD_INFORMATION, contiene I valori MAC (Modified, Accessed, Changed) del file.
  • $FILE_NAME, contiene il nome del file, riferimenti alla directory di appartenenza.

Ovviamente un esempio di analisi completa la troviamo nel corso di analisi forense.

  1. Anonimous prende di mira la Russia
  2. Il Ransomware e le estorsioni multiple
  3. Pillole di analisi forense: la Link Analysis
  4. Le truffe BEC si spostano su Zoom et simila!

Pagina 5 di 16

Per rimanere aggiornato iscriviti alla nostra newsletter

Cyber pillole più lette

Articoli più letti

Cyber Security UP

CybersecurityUP is a BU of Fata Informatica.
Since 1994, we have been providing IT security services to large civil and military organizations.
  • Ethical Hacking
  • Red Teaming
  • Penetration Testing
  • Security Code Review
  • SOC 24x7
  • Specialized Training
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Monday-Friday
09:00 - 13:00
14:00 - 18:00

+39 06 4080 0490
amministrazione@fatainformatica.com

Contact us

Do you need our cybersecurity services?

Privacy policy

We invite you to read our
privacy policy for the protection of your personal data.
Disclaimer
Some of the photos on Cybersecurityup.it may have been taken from the Internet and therefore considered to be in the public domain. If the subjects or authors have any objections to their publication, they can report this by email to the editorial staff, who will promptly remove the images used.
© 2026 Fata Informatica. Tutti i diritti riservati.
We use cookies

Utilizziamo i cookie sul nostro sito Web. Alcuni di essi sono essenziali per il funzionamento del sito, mentre altri ci aiutano a migliorare questo sito e l'esperienza dell'utente (cookie di tracciamento). Puoi decidere tu stesso se consentire o meno i cookie. Ti preghiamo di notare che se li rifiuti, potresti non essere in grado di utilizzare tutte le funzionalità del sito.

Ok Rifiuta