Breve storia di un’analisi malware

A cura di:Giuseppe Turano Ore

Un software che causa danni al computer o alla rete è considerato software maligno, detto anche malware. L’analisi di un malware consiste nello studiare il suo comportamento, con l’obiettivo di:

  1. Identificare
  2. Difendere
  3. Eliminare

Durante questo tipo di analisi è bene tenere a mente che si sta analizzando un software dannoso e che, quindi, è necessario (se non fondamentale) prendere le dovute precauzioni.

Esistono due metodi principali per l’analisi del malware:

  1. Analisi statica: studio del malware a riposo.
  2. Analisi dinamica: studio del malware e del suo comportamento durante il suo ciclo di attività.

Queste due metodologie differiscono solo per lo stato (livello) di esecuzione del malware.

Come si può intuire, le due metodologie di analisi presentano vantaggi e svantaggi in virtù dello stato in cui intervengono.

TIPI DI MALWARE

Esistono diverse tipologie di malware. Quelle di mio interesse – e che analizzeremo in questo articolo – sono raggruppabili in queste categorie:

  1. Backdoor: questa tipologia di malware crea degli accessi nascosti in un PC che possono essere utilizzati da terzi al fine di controllare/monitorare il dispositivo infetto.
  2. Botnet: simile alla precedente categoria, una botnet è una rete di dispositivi infetti che tramite una backdoor riceve istruzioni dall’esterno.
  3. Spyware: malware utilizzati per raccogliere informazioni dal sistema su cui sono installati.
  4. Ransomware: virus che cripta tutti i dati di un dispositivo.

A questo link un elenco dettagliato e completo di tutti i malware ad oggi noti.

METODOLOGIA STATICA

Come abbiamo anticipato, l’analisi statica cerca di studiare il comportamento del malware a riposo. Essa si suddivide in una analisi di base e una avanzata.

Nell’analisi di base si cerca di studiare l’eseguibile[1] senza prendere in considerazione le istruzioni in esso contenute. In questo modo possiamo confermare che il file sia effettivamente nocivo o meno e confermare alcune sue funzionalità.

 

Analisi sicuramente veloce e semplice, ma largamente inefficace per stabilire delle contromisure adeguate e incompleta.

L’analisi avanzata consiste nell’effettuare il “reverse engineering[2]” del malware. Utilizzando dei software chiamati “disassembler[3] si riescono a ottenere e studiare le istruzioni contenute nell’eseguibile. Questo ci permette di capire esattamente come si comporterà il malware all’interno di un PC una volta avviato.

L’analisi è molto lunga e complessa ed è facile cadere in errore, specie se non si conosce bene il linguaggio macchina e non si è in grado di intuire il possibile comportamento del malware.

 

METODOLOGIA DINAMICA

L’analisi dinamica, suddivisibile anch’essa in base e avanzata, consiste nell’eseguire e osservare il comportamento del malware nel sistema. È bene precisare che il sistema che stiamo infettando sarà potenzialmente inutilizzabile: prima di effettuare l’analisi non sappiamo nulla sul malware, quindi il suo comportamento e i potenziali danni sono al momento sconosciuti. Potrebbe trattarsi di un Ransomware che inizierebbe a criptare i nostri dati o di un Backdoor che esporrebbe immediatamente il nostro sistema al vero e proprio attacco.

Quindi, prima di avviare l’analisi dinamica è meglio creare un ambiente di laboratorio (anche utilizzando delle macchine virtuali[4]) ben isolato e monitorato e che non contenga dati utili.

Nella sua parte base, si esegue il potenziale malware e si cerca di capirne il suo comportamento dallo stato del dispositivo infettato.

Nell’analisi dinamica avanzata viene utilizzato un debugger[5] per esaminare lo stato interno del malware mentre è avviato. Questo ci permette di leggere le singole istruzioni e di comprenderne, passo passo, il comportamento.

CONCLUSIONI

Quando si vuole comprendere la natura di un malware, identificarlo, eliminarlo e proteggersi da esso non sempre è possibile fermarsi alla semplice costatazione della sua mera natura di software malevolo.

Bisogna indagare a fondo e studiare con attenzione ogni riga di codice. Solo così sarà possibile comprendere la vera natura dell’eseguibile e il suo vero scopo.


BIBLIOGRAFIA

https://it.wikipedia.org/wiki/Malware#Categorie_di_Malware

http://www.ollydbg.de/

https://www.hex-rays.com/products/ida/support/tutorials/debugging.shtml

https://www.packtpub.com/networking-and-servers/learning-malware-analysis

https://www.oreilly.com/library/view/practical-malware-analysis/9781593272906/

https://resources.flexera.com/web/pdf/Research-SVM-Vulnerability-Review-2018.pdf

https://www.blackhat.com/presentations/bh-dc-07/Kendall_McMillan/Presentation/bh-dc-07-Kendall_McMillan.pdf

NOTE

[1] In informatica un file eseguibile, o semplicemente un eseguibile, è un file che contiene un programma eseguibile per un computer, ovvero un programma scritto in linguaggio macchina nel formato adatto ad essere caricato dal sistema operativo, quindi pronto per l’esecuzione e adatto all’architettura hardware del processore che lo esegue.

[2] Il processo di reverse engineering (chiamato in italiano anche ingegneria inversa) consiste nell’analisi dettagliata del funzionamento, progettazione e sviluppo di un oggetto (dispositivo, componente elettrico, meccanismo, software, ecc.) al fine di produrre un nuovo dispositivo o programma che abbia un funzionamento analogo, magari migliorando o aumentando l’efficienza dello stesso, senza in realtà copiare niente dall’originale; inoltre, si può tentare di realizzare un secondo oggetto in grado di interfacciarsi con il primo.

[3] Un disassemblatore o disassembler è un programma che traduce dal linguaggio macchina al linguaggio assembly. Effettua l’operazione inversa di un assembler.

[4] Il termine macchina virtuale (VM) indica un software che, attraverso un processo di virtualizzazione, crea un ambiente virtuale che emula tipicamente il comportamento di una macchina fisica (PC client o server) grazie all’assegnazione di risorse hardware (porzioni di disco rigido, RAM e risorse di processamento) e in cui alcune applicazioni possono essere eseguite come se interagissero con tale macchina; infatti, se dovesse andare fuori uso il sistema operativo che gira sulla macchina virtuale, il sistema di base non ne risentirebbe affatto.

[5] Un debugger in informatica è un programma/software specificatamente progettato per l’analisi e l’eliminazione dei bug (debugging), ovvero errori di programmazione interni al codice di altri programmi.

 

Articolo a cura di Giuseppe Turano

Profilo Autore
Giuseppe Turano

Laurea in Fisica (V.O.) – Elettronica e Strumentazioni
Ho trascorso gli ultimi anni a perfezionare le migliori metodologie di intervento inerenti alla sicurezza delle informazioni.
Lavoro da oltre dieci anni come Digital Evidence Examiner nella Cyber Intelligence & Information Security
Mi occupo principalmente di sicurezza delle reti, Penetration Test, Digital Forensic e Cyber Intelligence.

Altri Articoli
Condividi sui Social Network:

Articoli simili

Nasce il CyberPARCO, primo centro di eccellenza italiano multidisciplinare sulla Cyber Security

Nasce il CyberPARCO, primo centro di eccellenza italiano multidisciplinare sulla Cyber Security

A cura di:Redazione Ore Pubblicato il

Nell’ambito della prevista creazione di un Parco Tecnologico e dell’insediamento dell’Università Statale di Milano nelle Aree dell’Expo 2015, CyberPARCO s i propone di promuovere l’istituzione di un’area dedicata alle aziende, startup e centri di ricerca attivi nel settore della Sicurezza Informatica/Cyber Security. L’obiettivo è di creare il primo Hub EuroMediterraneo sulla cyber security teso ad…

OSINT (Open Source INTelligence) tra metodologia e funzione vitale per le aziende

OSINT (Open Source INTelligence) tra metodologia e funzione vitale per le aziende

A cura di:Redazione Ore Pubblicato il

COS’È L’OSINT In un’era in cui le informazioni valgono più degli asset, saperle gestire è il segreto del nuovo potere. Negli ultimi anni, la digitalizzazione delle informazioni e la condivisione in tempo reale, dove tutti possono fotografare, scrivere, segnalare, su varie piattaforme, blog, social network, si sta dimostrando un’arma potente, dove persone e aziende non…

Immagina di poter disporre di un analista SOC molto competente su ciascuno dei tuoi dispositivi

Immagina di poter disporre di un analista SOC molto competente su ciascuno dei tuoi dispositivi

A cura di:Redazione Ore Pubblicato il

Gli addetti alla sicurezza devono essere in grado di monitorare e proteggere tutti i punti ai margini della propria rete, dall’endpoint al cloud. Anche se molte soluzioni di rilevamento e risposta degli endpoint consentono agli operatori di individuare gli elementi dannosi, molti di essi non offrono il contesto necessario per comprendere cosa sia stato rilevato…

Il ruolo della ricerca della cyber security nel settore life science

Il ruolo della ricerca della cyber security nel settore life science

A cura di:Luca Barbieri Ore Pubblicato il

Introduzione: il contesto della politica UE Nella nuova strategia dell’Unione Europea la cybersecurity ha assunto ab initio una significativa importanza per la sicurezza dell’Unione stessa, in quanto i cittadini devono essere tutelati dalle minacce informatiche. Nel 2020 il Presidente della Commissione Europea ha dichiarato che “stiamo vivendo nel decennio digitale europeo”. Alla fine del 2020,…

Andrea Margelletti – Intervista al Cyber Crime Conference 2018

Andrea Margelletti – Intervista al Cyber Crime Conference 2018

A cura di:Redazione Ore Pubblicato il

Andrea Margelletti Presidente del Ce.S.I.- Centro Studi Internazionali Il Centro Studi Internazionali, che presiede, dal 2004 produce ricerche e approfondimento sulle tematiche di politica estera e di sicurezza interna e internazionale. In quasi quindici anni, quanto (e come) ha visto cambiare l’approccio a questi temi rispetto alle variabili tecnologiche e digitali? In 15 anni la…

La dematerializzazione della Pubblica Amministrazione: la trasposizione dell’analogico nel digitale

La dematerializzazione della Pubblica Amministrazione: la trasposizione dell’analogico nel digitale

A cura di:Salvatore Lombardo Ore Pubblicato il

Nel lontano 2006 con l’entrata in vigore del decreto legislativo n.82 del 7 marzo 2005 n.82 il cosiddetto C.A.D. (acronimo di Codice dell’Amministrazione Digitale) il termine dematerializzazione viene usato per i documenti e gli atti cartacei delle Pubbliche Amministrazioni per identificare la progressiva perdita di consistenza fisica degli archivi cartacei con la loro sostituzione in…