Introduzione Ciao a tutti! Oggi vedremo come realizzare uno script sfruttando le API di Ghidra per decifrare le stringhe di Orchard. In particolare analizzeremo il sample V3 (MD5: cb442cbff066dfef2e3ff0c56610148f) sviluppato…
Blog
Realizziamo un HTTP C&C in Python (Bankshot)
Introduzione Ciao a tutti! Oggi vedremo l'analisi di Bankshot (conosciuto anche come CopperHedge); Bankshot è un RAT semplice che implementa 15 comandi, scritto in C++ e utilizza RC4 per effettuare…
Memlabs lab6 – Walkthrough
Ciao a tutti! oggi chiudiamo la serie di post sul laboratorio MemLabs con l'ultima challenge ( in teoria la più difficile). Iniziamo con il download del dump di memoria del…
Forensic’s Artifacts #1: Attenti al Cestino!
Ciao a tutti, in questa serie di post vi parlerò di alcuni importanti artefatti di windows, elementi da analizzare che possono contenere una notevole quantità di informazioni in fase di…
Memlabs lab5 – Walkthrough
Con la sfida di oggi entriamo nel vivo dei laboratori MemLab, la challenge si presenta articolata e piena di insidie, già dalla presentazione dello Scenario sembra che si tratti di…
Memlabs lab4 – Walkthrough
Oggi risolveremo la sfida MemLab 4, dal repository ghithub https://github.com/stuxnet999/MemLabs. procediamo con il download del lab 4 dal titolo "Obsession". Tool utilizzati: Volatility FrameworkStrings / grep / catNotepad++Cyberchef Come prima…
Memlabs lab3 – Walkthrough
Nella sfida di oggi mostrerò la risoluzione del laboratorio numero 3 di MemLabs reperibile al seguente link: https://github.com/stuxnet999/MemLabs/tree/master/Lab%203 Il modus operandi è sempre lo stesso, scaricate il file dump di…
Config Extractor per DanaBot (PARTE 1)
Introduzione Ciao a tutti, oggi volevo analizzare la sfida bi-settimanale lanciata di Daniel di Zero2Auto che consiste questa volta nel scrivere un Config Extractor che funzioni per le diverse versioni…
Memlabs lab2 – Walkthrough
Il presente Write-up mostra lo svolgimento del Lab2 del repository github Memlabs che potete trovare al presente Link: https://github.com/stuxnet999/MemLabs. Gli strumenti utilizzati: Volatility FrameworkCyberchef https://gchq.github.io/CyberChef/Comandi Linux (grep, file)7zip PRIMO FLAG:…
Memory forensics – TryHackMe room
Intro: La "stanza" o esercitazione proposta da Tryhackme.com si svolge fondamentalmente in tre step, all'interno dei quali vengono forniti 3 diversi dump di memoria da analizzare per recuperare i flag…