Argomenti per l'analisi del malware - Progettazione del malware

Le tecniche antimalware utilizzate per eseguire azioni dannose sono spesso simili a quelle utilizzate dai prodotti antivirus e di sicurezza. Capire come scrivere e progettare malware può aiutare gli analisti della sicurezza a identificare rapidamente modelli di codice durante l’analisi di un file binario dannoso.

Sapere come progettare e sviluppare ogni parte di un payload può consentire ai membri del red team di riutilizzare, eseguire il debug, correggere o riscrivere una soluzione.

Gli studenti possono imparare a produrre un blob di shellcode in grado di caricare e iniettare più file binari dannosi usando tecniche riproposte da campioni dannosi esistenti. Questo corso include API e tecniche utilizzate per eseguire funzionalità dannose comuni ed estende queste tecniche per produrre payload affidabili che funzionano su tutte le versioni del sistema operativo e limitare l’esposizione ai prodotti di sicurezza.

I lab pratici per questo corso sono incentrati sullo sviluppo attraverso l'uso di C e Intel Assembly.

Prerequisiti: conoscenza avanzata delle nozioni di base di computer e sistemi operativi e degli elementi interni di Windows. È consigliabile avere familiarità con il reverse engineering, l'SDK per Windows e lo sviluppo in C.

Al termine del corso, gli studenti dovrebbero essere in grado di:

• Sviluppare applicazioni dannose utilizzando Windows SDK
• Creare codice indipendente dalla posizione (PIC) utilizzando C e Intel Assembly
• Scrivere un codice dannoso per eseguire l'inserimento del codice e modificare in memoria un'applicazione in esecuzione
• Analizzare e modificare un programma binario dannoso per riutilizzare le funzionalità
• Progettare e scrivere payload affidabili in diverse versioni del sistema operativo
• Usare tecniche comprovate per eseguire iniezioni, hook e fingerprinting su vari sistemi

Sviluppatori di software, professionisti della sicurezza delle informazioni, addetti alla risposta agli incidenti, ricercatori della sicurezza informatica, investigatori aziendali e altri soggetti che necessitano di una comprensione del funzionamento interno del malware, della creazione di shellcode e payload affidabili e di un riutilizzo rapido dei campioni di malware.

Formazione con istruttore (ILT) in aula

5 giorni

Gli studenti devono portare con sé un laptop che soddisfi le seguenti specifiche:

• VirtualBox 7 o versioni successive
• Almeno 30 GB di spazio libero su HDD