Analisi forense & rimozione di malware

Attività di laboratorio

L'esame di "Sicurezza su Reti 2" includeva molte attività pratiche legate a una sorta di gioco di ruolo dove gruppi di studenti si trovavano a simulare scenari di attacco/difesa, a volte uno contro l'altro.

Queste sono le due attività principali su cui ho lavorato.


Predisposizione scenario per analisi forense

Ho preparato una virtual machine che sarebbe stata successivamente analizzata (con strumenti per la computer forensics) da un altro gruppo, incaricato di stabilire cosa fosse accaduto sul sistema.

Ho creato uno scenario in un cui un attaccante malintenzionato, LadyNastenka, aveva spinto con l'inganno il proprietario della VM a visitare un sito configurato per sfruttare una vulnerabilità di Internet Explorer. Tale exploiting era volto all'installazione di un server FTP clandestino sul sistema vittima, rendendolo un distributore inconsapevole di contenuti illegali.

Ho volontariamente lasciato alcune tracce (ma non molte) che fosse possibile trovare, in modo che fosse possibile (ma impegnativo) scagionare il proprietario del sistema compromesso via analisi forense.

relazione

Analisi e rimozione di malware

Mi è stata consegnata una virtual machine da analizzare. La VM era infetta da un malware giocattolo programmato da un altro gruppo.

Il documento mostra analisi dinamica e statica del malware e la creazione di un semplice tool di rimozione.

Anche se si tratta di un caso piuttosto semplice, molti dei principi e degli approcci discussi sono di validità generale.

relazione slides presentazione