analisi dinamica del malware blackenergyads/.../2018/...blackenergy.pdf · blackenergy v.3 – 2/3...
TRANSCRIPT
Analisi Dinamica del Malware BlackEnergy
Alfredo De SantisDipartimento di InformaticaUniversità di Salerno
http://www.dia.unisa.it/professori/ads
Maggio 2018
SommarioØCaratteristiche di BlackEnergy
V.3ØRichiami
ØAnalisi DinamicaØBlack BoxØWhite Box
BlackEnergy
IdentikitNome
ØBlackEnergyAnno Nascita
Ø2007SO Attaccati
ØMicrosoft Windows®Segni Particolari
ØUsato per un attacco alsettore energetico ucraino(2015)
Descrizione – 1/2
Descrizione – 2/2Ø È costituito da tre elementi principali
1. File Microsoft Excel®Ø Contente una macro in Visual Basic for
Application (VBA)2. Modulo Dropper3. Modulo Core
Struttura BlackEnergy v.3 – 1/3
File Microsoft Excel®
Ø Questo file rappresenta il veicolo didiffusione del modulo Dropper del malwareØ Al suo interno è inclusa una macroØ La macro contiene del codice malevoloØ Viene generalmente trasmesso mediante allegati e-
Struttura BlackEnergy v.3 – 1/3
Visual Basic for Application (VBA) Macro
Ø Una macro è uno script contenente una serie diØ ComandiØ FunzioniØ Procedure
Ø Una macro è contenuta in un modulo di Microsoft VisualBasic®Ø Può essere eseguita ogni volta che è necessarioØ È tipicamente inglobata all’interno di un file
Microsoft Office
Ø Il linguaggio di programmazione in cui è scritta unamacro è Visual Basic for Application (VBA)Ø Versione rimodellata e semplificata di Microsoft
Visual Basic (VB)
Def
inizione
di M
acro
Struttura BlackEnergy v.3 – 1/3
File Excel con Macro
Inoculazione ed esecuzione del modulo Dropper e del modulo Core
Struttura BlackEnergy v.3 – 1/3
File Excel con Macro
Macro con codice malizioso(affinché la macro venga eseguita è necessario il consenso dell’utente)
Inoculazione ed esecuzione del modulo Dropper e del modulo Core
Struttura BlackEnergy v.3 – 1/3
File Excel con Macro
Macro con codice malizioso(affinché la macro venga eseguita è necessario il consenso dell’utente)
Inoculazione ed esecuzione del modulo Dropper e del modulo Core
Struttura BlackEnergy v.3 – 1/3
File Excel con Macro
vba_macro.exe
Inocula ed Esegue il file vba_macro.exe
Struttura BlackEnergy v.3 – 1/3
File Excel con Macro
vba_macro.exe
FONTCACHE.DAT rundll32.exe
Struttura BlackEnergy v.3 – 1/3
File Excel con Macro
vba_macro.exe
FONTCACHE.DAT rundll32.exe
vba_macro.exeinocula i seguenti file
• FONTCACHE.DAT• rundll32.exe
Struttura del modulo Dropper
Ø Si tratta del file eseguibile vba_macro.exeØ Inocula quattro file, di cui due necessari per
l’esecuzione del codice malevoloØ FONTCACHE.DAT
Ø Modulo Core del malwareØ Si tratta di una DLLØ Necessita di rundll32.exe per essere eseguito
Ø rundll32.exeØ File del Sistema Operativo Microsoft Windows®: tale
file non è alterato dal malwareØ Viene inoculato solo se non è presente o se
eventualmente è inaccessibile
Struttura BlackEnergy v.3 – 2/3
Struttura del modulo Dropper
Ø Si tratta del file eseguibile vba_macro.exeØ Inocula quattro file, di cui due necessari per
l’esecuzione del codice malevoloØ FONTCACHE.DAT
Ø Modulo Core del malwareØ Si tratta di una DLLØ Necessita di rundll32.exe per essere eseguito
Ø rundll32.exeØ File del Sistema Operativo Microsoft Windows®: tale
file non è alterato dal malwareØ Viene inoculato solo se non è presente o se
eventualmente è inaccessibile
Struttura BlackEnergy v.3 – 2/3
rundll32.exe è un processo legittimo di Microsoft
Windows, che è responsabile del caricamento e
l’esecuzione dei file dynamiclink library (.dll).
Struttura del modulo Core
Ø È costituito dal file FONTCACHE.DATØ Si tratta di una DLL
Ø Per essere eseguita necessita di rundll32.exeØ Viene inoculato nel sistema infetto
Ø Tramite il modulo DropperØ Fornisce una serie di API a basso livello
Ø Utilizzate dal malware per svolgere le proprieazioni malevole
Struttura BlackEnergy v.3 – 3/3
Ø Ci focalizzeremo sul modulo DropperØ Il primo passo è quello estrarre tale modulo dal file
Excel ed isolarloØ Eliminando le due righe evidenziate dal rettangolo verde ed
eseguendo la macro stessa in ambiente controllato
Analisi DinamicaBlack-Box
Ø Ci focalizzeremo sul modulo DropperØ Il primo passo è quello di isolare tale modulo
Ø Effettuando alcune modifiche alla macro del file Exceled eseguendo la macro stessa in ambiente controllato
Analisi DinamicaBlack-Box
Eliminando queste due istruzioni evitiamo che vba_macro.exe venga eseguito dalla macro
del file Excel e possiamo analizzarne il comportamento
Ø Ci focalizzeremo sul modulo DropperØ Il primo passo è quello di isolare tale modulo
Ø Effettuando alcune modifiche alla macro del file Exceled eseguendo la macro stessa in ambiente controllato
Analisi DinamicaBlack-Box
Una volta eseguita la macro modificata, potremo reperire il modulo Dropper malware
dalla cartella temporanea di Windows
Ci sono comunque diversi altri metodi per ottenere il modulo Dropper
Ø Dopo aver isolato il modulo DropperØ Il passo successivo consiste nella sua
esecuzione in un ambiente controllatoØ Su una macchina virtuale oppureØ Su una macchina fisica adeguatamente
protetta
Analisi DinamicaBlack-Box
Ø Il modulo Dropper delmalware BlackEnergy(file vba_macro.exe) èstato eseguito su unamacchina virtualeØ Microsoft Windows ® 7
Ø Per semplicità il file èstato eseguito dalDesktopØ Ma è possibile eseguirlo
da qualsiasi cartella con imedesimi effetti
Analisi DinamicaBlack-Box
Esecuzione in Macchina Virtuale
Ø Il modulo Dropper delmalware BlackEnergy(file vba_macro.exe) èstato eseguito su unamacchina virtualeØ Microsoft Windows ® 7
Ø Per semplicità il file èstato eseguito dalDesktopØ Ma è possibile eseguirlo
da qualsiasi cartella con imedesimi effetti
Analisi DinamicaBlack-Box
Esecuzione in Macchina Virtuale
Ø N.B. vba_script.exe èun file consideratolegittimo da parte diWindowsØ Veniamo avvisati della
possibile pericolosità ditale file eseguibilepoiché non dispone diuna firma digitale valida
Analisi DinamicaBlack-Box
Ø OsservazioniØ L’esecuzione del modulo
Dropper è molto rapidaØ Subito dopo la sua
esecuzione, il filevba_macro.exe vieneautoeliminatoØ Tale file non è più
presente sul Desktop
Analisi DinamicaBlack-Box
Ø OsservazioniØ L’esecuzione del modulo
Dropper è molto rapidaØ Subito dopo la sua
esecuzione, il filevba_macro.exe vieneautoeliminatoØ Tale file non è più
presente sul Desktop
Analisi DinamicaBlack-Box
Questo comportamento è tipicodei software che eseguonocodice malevoloØ Cercano di nascondere le
proprie “tracce”Ø Codice malevoloØ File correlatiØ Etc.
Ø Abbiamo osservato alcuni effetti immediatamente“visibili” dopo l’esecuzione del DropperØ Autoeliminazione del modulo stesso (file vba_macro.exe)
Analisi DinamicaBlack-Box
Ø Abbiamo osservato alcuni effetti immediatamente“visibili” dopo l’esecuzione del DropperØ Autoeliminazione del modulo stesso (file vba_macro.exe)
Ø Quali sono state le altre conseguenzedell’esecuzione del modulo Dropper di BlackEnergy?Ø Ricordiamo quello che abbiamo individuato nell’analisi
statica…
Analisi DinamicaBlack-Box
Ø Abbiamo osservato alcuni effetti immediatamente“visibili” dopo l’esecuzione del DropperØ Autoeliminazione del modulo stesso (file vba_macro.exe)
Ø Quali sono state le altre conseguenzedell’esecuzione del modulo Dropper di BlackEnergy?Ø Ricordiamo quello che abbiamo individuato nell’analisi
statica…Ø vba_macro.exe prima di inoculare file, reperisce
Ø Il path della cartella di sistema APPDATAØ Il path della cartella di sistema System32
Analisi DinamicaBlack-Box
Ø Abbiamo osservato alcuni effetti immediatamente“visibili” dopo l’esecuzione del DropperØ Autoeliminazione del modulo stesso (file vba_macro.exe)
Ø Quali sono state le altre conseguenzedell’esecuzione del modulo Dropper di BlackEnergy?Ø Ricordiamo quello che abbiamo individuato nell’analisi
statica…Ø vba_macro.exe prima di inoculare file, reperisce
Ø Il path della cartella di sistema APPDATAØ Il path della cartella di sistema System32
Ø È importante quindi monitorare queste due cartelleed in particolar modo la cartella APPDATA
Ø Il path della cartella System32 viene reperito moltoprobabilmente per vedere se è presente (ed accessibile) il filerundll32.exeØ Solitamente memorizzato da Windows proprio in questa cartella
Analisi DinamicaBlack-Box
Analisi DinamicaBlack-Box
Ø Monitorando prima e dopol’esecuzione del malware ilcontenuto della cartellaAPPDATAØ Possiamo osservare che è stato
inoculato il modulo DropperØ Caratterizzato dal file
FONTCACHE.DAT
Ø Il modulo Core (file FONTCACHE.DLL) è una libreria DLLche necessita del file di sistema rundll32.exe per poteressere eseguito
Ø Il legame tra il modulo Core ed il file rundll32.exe èevidenziato anche dal messaggio mostrato in output quandosi tenta (senza successo) di eliminare il fileFONTCACHE.DAT
Analisi DinamicaBlack-Box
Analisi DinamicaBlack-Box à White-Box
Ø Il passo successivo all’analisi dinamica black-box consiste nell’analisi white-box del moduloDropperØ Monitorando il comportamento del processo
istanziato dal file eseguibile vba_macro.exe
Analisi DinamicaBlack-Box à White-Box
Ø Il passo successivo all’analisi dinamica black-box consiste nell’analisi white-box del moduloDropperØ Monitorando il comportamento del processo
istanziato dal file eseguibile vba_macro.exeØ L’obiettivo è quello di ampliare le conoscenze
relative al modulo in esame e carpire ulterioriinformazioni utili
Analisi DinamicaWhite-Box
Ø Mediante il tool Process Monitor è possibilemonitorare il comportamento del processoistanziato da vba_macro.exe
Ø Mediante il tool Process Monitor è possibilemonitorare il comportamento del processoistanziato da vba_macro.exe
Analisi DinamicaWhite-Box
Finestra in cui vengono mostrati i processi attivi
Analisi DinamicaWhite-Box
1° Colonna: Nome del Processo e relativo PIDViene mostrato il nome di ogni processo attivo ed eventuali gerarchie
relative a sotto-processi
Tra parentesi tonde è mostrato il Process IDentifier (PID) di ciascun processo
Finestra in cui vengono mostrati i processi attivi
Analisi DinamicaWhite-Box
2° Colonna: Descrizione del processo
Finestra in cui vengono mostrati i processi attivi
Analisi DinamicaWhite-Box
3° Colonna: Path del file eseguibile che ha istanziato il processo
Finestra in cui vengono mostrati i processi attivi
Analisi DinamicaWhite-Box
4° Colonna: Life Time (Tempo di Attività)
Ø VerdeØ Tempo di attività del processo
Ø BiancoØ Tempo di inattività del processo
Finestra in cui vengono mostrati i processi attivi
Analisi DinamicaWhite-Box
5° Colonna: Nome Azienda Sviluppatrice
Finestra in cui vengono mostrati i processi attivi
Analisi DinamicaWhite-Box
Una riga mostra le informazione complete di un processo
Finestra in cui vengono mostrati i processi attivi
Ø Il processo vba_macro.exe è un processo“figlio” del processo Explorer.EXEØ Windows Explorer (Explorer.EXE) è un processo
che si occupa principalmente della gestionedell’interfaccia graficaØ I processi che fanno uso di interfaccia grafica sono
quasi sempre dipendenti da tale processo o ne sonofigli
Ø Si può notare come lo stesso Process Monitor(Procmon.exe) sia figlio di Explorer.exe
Analisi DinamicaWhite-Box
Ø Il tool Process Monitor evidenzia che ilprocesso vba_macro.exe genera unprocesso figlio
Analisi DinamicaWhite-Box
Ø Il tool Process Monitor evidenzia che ilprocesso vba_macro.exe genera unprocesso figlioØ Denominato cmd.exe
Ø L’eseguibile è memorizzato nella cartellaSystem32
Analisi DinamicaWhite-Box
Ø Il tool Process Monitor evidenzia che ilprocesso vba_macro.exe genera unprocesso figlioØ Denominato cmd.exe
Ø L’eseguibile è memorizzato nella cartellaSystem32
Ø Il processo cmd.exe genera un ulterioreprocesso figlioØ Denominato PING.EXE
Analisi DinamicaWhite-Box
Analisi DinamicaWhite-Box
cmd.exe PING.EXEØ Prompt dei comandi di Microsoft
WindowsØ Tramite il prompt è possibile
effettuare diverse operazioni (copia,cancellazione, esecuzione, etc.)
Ø Usato da vba_macro.exe perØ Istanziare il processo PING.EXEØ Inoculare il modulo Core
Ø Applicativo di Microsoft Windows chepermette di effettuare diverseoperazioniØ Connessioni a reti/InternetØ Monitoring dell’esecuzione di
applicazioniØ Etc.
cmd.exeSintassi e alcune opzioni di PING.EXE
Ø Process Monitor mette in luce altreimportanti informazioni riguardanti ilprocesso vba_macro.exe
Analisi DinamicaWhite-Box
Ø Process Monitor mette in luce altreimportanti informazioni riguardanti ilprocesso vba_macro.exeØ Come si può osservare dall’analisi Black Box,
l’esecuzione è molto rapidaØ Il tempo di attività (life time) del processo
vba_macro.exe e dei relativi sotto-processi è moltobreve
Analisi DinamicaWhite-Box
Ø Process Monitor mette in luce altreimportanti informazioni riguardanti ilprocesso vba_macro.exeØ Le attività del modulo Dropper sono quindi molto rapide
Ø Al fine di occultare velocemente le operazioni malevoleØ L’attività del malware prosegue con il modulo Core
(libreria DLL)Ø Che si avvale del legittimo processo di sistema
rundll32.exe
Analisi DinamicaWhite-Box
Ø Mediante il tool Process Monitor è possibileproseguire l’analisi dinamica sul moduloDropper ed in particolare sul comportamentodel processo vba_macro.exeØ È possibile osservare nel dettaglio quali sono le API
di sistema invocate e quali sono le eventuali chiavi diregistro coinvolte dal processo vba_macro.exe edai relativi sotto-processi
Analisi DinamicaWhite-Box
Ø Le operazioni svolte dal processovba_macro.exe riguardano funzioni edoperazioni appartenenti principalmente allalibreria ADVAPI32.DLLØ ADvanced Windows Base API 32-bit
Ø Libreria che permette di effettuare numeroseoperazioniØ Accesso al registro di sistemaØ Riavvio/spegnimento del SistemaØ Avvio/stop/creazione di servizi
Analisi DinamicaWhite-Box
Ø Le attività svolte dal processo PING.EXEriguardano principalmente funzioni edoperazioni delle librerieØ kernel32.dllØ ntdll.dllØ apisetschema.dll
Ø Librerie che svolgono un ruolo importantenell’ambito della sicurezza del sistemaoperativo
Analisi DinamicaWhite-Box
Ø Analizzando le operazioni svolte dal processocmd.exe è possibile osservareØ Il probabile punto in cui viene inoculato il modulo
CoreØ Il modulo Core, caratterizzato dal file
FONTCACHE.DAT, viene memorizzato nellacartella APPDATA
Analisi DinamicaWhite-Box
Ø Process Monitor permette di individuare la cartella (o lechiavi in caso di funzioni su registro) su cui opera unafunzioneØ Tuttavia, non fornisce ulteriori informazioni riguardo i
parametri utilizzati nelle invocazioni delle funzioniØ Nel caso specifico, è lecito supporre che le funzioni
evidenziate operino sull’unico file presente nella cartellaAPPDATA, ovvero il file FONTCACHE.DAT (modulo Core delmalware)
Analisi DinamicaWhite-Box
Analisi DinamicaWhite-Box
Ø Mediante la funzione CreateFile viene creato ilfile FONTCACHE.DAT
Analisi DinamicaWhite-Box
Ø Mediante la funzione CreateFile viene creato ilfile FONTCACHE.DAT
Ø Mediante la funzione SetBasicInformationFilevengono impostate le informazioni di base relative atale file, mentre, mediante la funzioneQueryFileInternalInformationFile, vengonorichieste alcune informazioni relative allo statusinterno del file
Analisi DinamicaWhite-Box
Ø Mediante la funzione CreateFile viene creato ilfile FONTCACHE.DAT
Ø Mediante la funzione SetBasicInformationFilevengono impostate le informazioni di base relative atale file, mentre, mediante la funzioneQueryFileInternalInformationFile, vengonorichieste alcune informazioni relative allo statusinterno del file
Ø Mediante la funzione CloseFile, il file viene infinechiuso
Ø Mediante il tool Process Monitor è possibileproseguire l’analisi dinamica sul moduloDropper ed in particolare sul comportamentodel processo vba_macro.exeØ È possibile osservare nel dettaglio quali sono le API
di sistema invocate e quali sono le eventuali chiavi diregistro coinvolte dal processo vba_macro.exe edai relativi sotto-processi
Analisi DinamicaWhite-Box
Analisi DinamicaWhite-Box
Ø Passiamo ora all’analisi del fileFONTCACHE.DATØ Corrisponde ad una libreria DLL (packet.dll)
Ø DLL – Dynamic-Link Library - Libreriacondivisa in ambiente Microsoft Windows®
Ø Rappresenta il modulo Core di BlackEnergyØ Può essere usato come uno sniffer di reteØ FONTCACHE.DAT sembra incapsulare la
libreria WinPCAPØ WinPCAP permette di catturare e
trasmettere pacchetti, senza utilizzare leAPI di rete fornite da Windows
Ø https://www.winpcap.org/
Analisi DinamicaWhite-Box
Ø Passiamo ora all’analisi del fileFONTCACHE.DATØ Corrisponde ad una libreria DLL (packet.dll)
Ø DLL – Dynamic-Link Library - Libreriacondivisa in ambiente Microsoft Windows®
Ø Rappresenta il modulo Core di BlackEnergyØ Può essere usato come uno sniffer di reteØ FONTCACHE.DAT sembra incapsulare la
libreria WinPCAPØ WinPCAP permette di catturare e
trasmettere pacchetti, senza utilizzare leAPI di rete fornite da Windows
Ø https://www.winpcap.org/
Ø Windows mette a disposizioni apposite API (Winsock API) perpermette agli applicativi di utilizzare lo stack di protocolli voltialle reti
Ø L’incapsulamento della libreria WinPCAP (invece dell’utilizzo delleWinsock API) pone notevolmente l’accento sulla potenzialemaliziosità del modulo Core
Ø Mediante il tool Wireshark è possibileanalizzare il comportamento relativo altraffico di rete generato dal modulo Core
Ø L’obiettivo principale è quello di individuareeventuale traffico anomalo da e verso unostesso indirizzo IP
Analisi DinamicaWhite-Box
Ø In seguito all’esecuzione del modulo Droppered all’entrata in azione del modulo Core sonoemerse innumerevoli richieste HTTP verso ununico indirizzo IP
Analisi DinamicaWhite-Box
ANATOMIA DI UN PACCHETTO (su Wireshark)
Analisi DinamicaWhite-Box
1° Colonna: Timestamp del pacchetto
ANATOMIA DI UN PACCHETTO (su Wireshark)
Analisi DinamicaWhite-Box
2° Colonna: IP sorgente del pacchetto
ANATOMIA DI UN PACCHETTO (su Wireshark)
Analisi DinamicaWhite-Box
3° Colonna: IP destinazione del pacchetto
ANATOMIA DI UN PACCHETTO (su Wireshark)
Analisi DinamicaWhite-Box
4° Colonna: Protocollo del pacchetto
ANATOMIA DI UN PACCHETTO (su Wireshark)
Analisi DinamicaWhite-Box
5° Colonna: Lunghezza del pacchetto
ANATOMIA DI UN PACCHETTO (su Wireshark)
Analisi DinamicaWhite-Box
6° Colonna: Dettagli del pacchetto
Ø Analizziamo nel dettaglio una delleinnumerevoli richieste aventi il medesimo IP didestinazioneØ IP destinazione: 5.149.254.114Ø Protocollo: HTTP (HTTP/1.1)Ø Dettagli Richiesta HTTP
Ø POSTØ /Microsoft/Update/KC074913.php
Analisi DinamicaWhite-Box
Ø Analizziamo nel dettaglio una delleinnumerevoli richieste con il medesimo IP didestinazioneØ IP destinazione: 5.149.254.114Ø Protocollo: HTTP (HTTP/1.1)Ø Dettagli Richiesta HTTP
Ø POSTØ /Microsoft/Update/KC074913.php
Analisi DinamicaWhite-Box
Indirizzo IP di un Proxy che si interfaccia con il modulo Core del malware
Ø Analizziamo nel dettaglio una delleinnumerevoli richieste con il medesimo IP didestinazioneØ IP destinazione: 5.149.254.114Ø Protocollo: HTTP (HTTP/1.1)Ø Dettagli Richiesta HTTP
Ø POSTØ /Microsoft/Update/KC074913.php
Analisi DinamicaWhite-Box
Da notare come le richieste siano adeguatamente mascherate per somigliare al servizio di Microsoft
Windows Update
Ø Analizzando ulteriormente il traffico èpossibile osservare che la comunicazione èbidirezionaleØ Sono presenti anche risposte da parte del server
Analisi DinamicaWhite-Box
Risposte dall’indirizzo IP 5.149.254.114
1. Il primo passo relativo all’analisi dinamica è stato l’isolamento delmodulo DropperØ Partendo dalla macro del file Excel è stato possibile isolare il modulo
DropperØ Caratterizzato dal file vba_macro.exe
2. Mediante l’analisi dinamica black-box è stato possibile monitoraresuperficialmente il comportamento del modulo Dropper, da cuisono emerse alcune informazioni fondamentali per l’analisidinamica white-boxØ Il modulo Dropper si autoelimina al termine della propria esecuzioneØ Nella cartella di sistema APPDATA viene inoculato il modulo Core
Ø Il modulo Core è costituito dal file FONTCACHE.DAT. Tale file corrisponde aduna libreria DLL, che può essere eseguita in maniera diretta medianterundll32.exe
Ø Non è possibile eliminare il suddetto file, poiché utilizzato dal processolegittimo di Windows, denominato rundll32.exe
Analisi DinamicaConclusioni – 1/3
3. Utilizzando l’analisi dinamica white-box si è studiato ilcomportamento del modulo DropperØ Mediante Process Monitor è stata monitorata l’attività del
processo vba_macro.exe e sono state ottenute leseguenti informazioniØ Il Life Time (tempo di attività) del suddetto processo risulta essere
molto breveØ Viene creato un processo “figlio”, il quale ha il compito di invocare la
Shell di Windows (cmd.exe), che a sua volta genera un altroprocesso, «PING.EXE»Ø Osservando le operazioni e le API invocate dal processo
cmd.exe è stato possibile individuare il probabile punto in cuiviene inoculato il modulo Core del malware
Analisi DinamicaConclusioni – 2/3
4. Il modulo Core è essenzialmente uno sniffer di reteØ Basato sulla libreria WinPCAPØ È quindi necessaria un’analisi del traffico di rete per studiarne il
comportamento5. L’analisi del traffico di rete è stata effettuata mediante
il tool WiresharkØ L’analisi è stata effettuata prima e dopo l’esecuzione del modulo
Dropper (e conseguentemente del modulo Core)Ø L’obiettivo principale è stato l’individuazione di anomalie
(invio/ricezione di pacchetti da/verso uno stesso indirizzo IP, etc.)Ø L’analisi del traffico ha condotto all’individuazione di un indirizzo
IP di un proxy, con cui il modulo Core comunicava in manierabidirezionaleØ Le interazioni di rete sono state abilmente mascherate, sotto forma
di interazioni effettuate dal servizio Microsoft Windows Update
Analisi DinamicaConclusioni – 3/3
Ø L’analisi dinamica white-box potrebbe ulteriormentesvilupparsi in diverse direzioni, alcune delle qualipotrebbero essere le seguentiØ Utilizzo di debugger interattivi come OllyDBG
Ø Per reperire ulteriori dettagli circa l’esecuzione del modulo Droppere del modulo Core
Ø Analisi dei pacchetti di reteØ Per reperire eventuali informazioni
Ø Analisi delle API invocate dal modulo Core
Analisi DinamicaSviluppi Futuri
Bibliografia/SitografiaØ https://www.f-
secure.com/documents/996508/1030745/blackenergy_whitepaper.pdf
Ø https://www.sentinelone.com/wp-content/uploads/2016/01/BlackEnergy3_WP_012716_1c.pdf
Ø https://msdn.microsoft.com/en-us/library/windows/desktop/gg314982(v=vs.85).aspx