LA GUIDA COMPLETA

Analisi del malware: metodologie e strumenti per capire gli attacchi informatici

L’analisi del malware deve diventare parte del processo di gestione degli incidenti di sicurezza informatica, prima di trovarsi in una situazione di emergenza, sviluppando le opportune conoscenze e predisponendo processi e strumenti appropriati. Ecco una panoramica su metodologie e tool più usati per analizzare il funzionamento del malware e comprenderne il comportamento

Aggiornato il 10 Gen 2023

Fabio Bucciarelli

Security Senior Advisor

Analisi del malware metodologie e strumenti

Con l’analisi del malware si analizzano programmi e codici dannosi per capire come funzionano, quali sono le loro intenzioni per comprendere come attivare le giuste protezioni

Un metodo molto utilizzato è il reverse engineering e lo studio del codice sottostante a una minaccia alla sicurezza, in modo che gli esperti di sicurezza informatica possano identificare le vulnerabilità o i sistemi bersaglio che potrebbero essere utilizzati dai cyber criminali

L’analisi inizia con la classificazione del malware: virus, worm, trojan, spyware, ransomware e così via, in base al loro comportamento e alle loro proprietà.

Questa categorizzazione aiuta i professionisti della sicurezza informatica a determinare il tipo di malware con cui hanno a che fare prima di iniziare un’indagine più approfondita. Il passo successivo consiste nell’analizzare il codice alla ricerca di indizi sullo scopo, la funzionalità e i possibili punti di ingresso nel sistema. Ciò richiede l’esame di una serie di dati, come le voci del registro di sistema, i registri del traffico di rete e i file di sistema.

Una volta fatto questo, gli analisti di malware possono utilizzare metodi di analisi statica come gli strumenti di debug per ottenere ulteriori informazioni sulle operazioni del programma dannoso. In questo modo possono identificare eventuali punti deboli che possono essere sfruttati dagli aggressori o essere corretti con patch contro attacchi futuri.

In alcuni casi possono essere utilizzati anche metodi di analisi dinamica, in cui il programma dannoso viene osservato in esecuzione in un ambiente isolato per vedere quali azioni compie su un computer o una rete.

L’analisi del malware porta a soluzioni di rilevamento più efficaci, poiché fornisce una comprensione del funzionamento di queste minacce, consentendo alle organizzazioni di creare rilevamenti mirati invece di affidarsi a firme generiche che potrebbero non catturare tutte le varianti o le minacce di nuova creazione.

Inoltre, gli analisti di malware cercano gli indicatori di compromissione (IOC), che forniscono un avviso tempestivo quando nuove varianti appaiono in natura, in modo che le organizzazioni possano prendere misure preventive prima che il danno sia fatto. Infine, l’analisi del malware può aiutare i ricercatori di sicurezza a individuare gli exploit zero-day prima che si diffondano e rappresentino una minaccia per i sistemi e le reti globali.

Gli incidenti che mettono a repentaglio la sicurezza informatica, anche quelli più complessi, comprendono nella maggior parte dei casi l’utilizzo di malware. Conoscere come effettuare l’analisi del software malevolo rilevato nel corso del processo di risposta agli attacchi informatici è un aspetto critico del processo stesso, al fine di riprendere il controllo delle macchine e procedere con attività efficaci di ripristino dei dati persi.

Presentiamo una panoramica delle principali tecniche e tool utilizzati per l’analisi del malware, una volta che è stato individuato. Si parlerà esclusivamente di malware per Windows, che rappresenta la stragrande maggioranza del malware prodotto, in formato eseguibile. Si tratta certamente di una limitazione, ma le tipologie di tecniche utilizzate, anche se non sempre i tool, possono essere estese anche agli altri casi.

Come fare l’analisi del malware

Per poter studiare il malware è importantissimo disporre di campioni di malware reale. Chi di professione fa il ricercatore ha certamente a disposizione proprie librerie di malware provenienti da sistemi di sicurezza gestiti da honeypot.

Sono anche disponibili online librerie di malware a cui è possibile accedere, in alcuni casi dopo registrazione, in altri anche in modalità anonima.

Per alcuni esempi di questo articolo è stato utilizzato un campione di malware proveniente dal progetto TheZoo, libreria che mette a disposizione campioni di malware in formato binario e altri di cui sono resi disponibili i sorgenti. I campioni binari sono forniti come zip protetti da password.

Molti dei tool presentati nell’articolo sono disponibili all’interno di REMnux, un toolkit per il reverse engineering del malware fornito anche come distribuzione Linux (derivata da Ubuntu), o come container, su cui sono stati inclusi tutti i principali tool free per l’analisi del malware.

Analisi del malware: statica, dinamica, automatizzata o della RAM

  • Per analisi statica del malware si intendono quell’insieme di tecniche che permettono l’analisi di un file sospetto senza metterlo in esecuzione.
  • Per analisi dinamica si intendono quell’insieme di tecniche che prevedono la messa in esecuzione in un ambiente controllato del sospetto malware al fine di analizzarne i comportamenti.
  • Con analisi automatizzata si intendono quelle tecniche che prevedono la sottomissione del file sospetto ad un’applicazione, la quale, attraverso analisi statica e/o dinamica automatizzate, restituisce un responso, dal quale è possibile capire con differenti gradi di certezza se si tratti o meno di un malware ed eventualmente anche il tipo di comportamento tenuto dal file sospetto. Visto che si tratta della metodologia di analisi più semplice e che richiede meno competenze, inizieremo la nostra descrizione proprio da questa.
  • Infine, dall’analisi della RAM è possibile rilevare malware in esecuzione in un sistema anche quando non si dispone di un file da analizzare oppure non si è certi che sul sistema sia presente un malware.

Analisi automatizzata dei malware con Virus Total

Una prima forma di analisi automatizzata utilizza siti specializzati ai quali è possibile sottoporre tramite upload file sospetti dei quali viene effettuata l’analisi. Al termine dell’analisi viene generato un report.

Probabilmente il sito di questo tipo più famoso è VirusTotal, un servizio Web di scansione antimalware. Il file sottoposto a VirusTotal viene scansionato con diversi tool antivirus e, al termine della scansione i risultati vengono mostrati sulla pagina web.

Oltre a ciò VirusTotal è anche un servizio di repository di dati sul malware che permette di eseguire ricerche sul database utilizzando hash, URL, nome di dominio o indirizzo IP.

Infine, un’ulteriore funzionalità offerta (solo per gli utenti registrati) è il VirusTotal Graph, che permette di visualizzare la rappresentazione grafica della relazione tra il file sottomesso e gli indicatori di compromissione (IoC) associati, come domini, indirizzi IP ed URL; questa funzionalità è estremamente utile se si desidera determinare rapidamente gli indicatori associati a un file binario malevolo.

Come esempio, sottoponiamo a VirusTotal un malware che fa parte della libreria theZoo, nello specifico il malware denominato Trojan.Bladabindi. Scompattando lo zip che contiene i binari si ottiene il file un file exe che, sottomesso a VirusTotal, viene scansionato con 70 motori antivirus, di cui 58 lo rilevano come malevolo.

Lo screenshot seguente mostra il risultato VirusTotal Graph per lo stesso file binario.

Dal grafico si vede come tra i comportamenti del file in questione ci sia una comunicazione con il dominio soa7.zapto.com.

Tornando sulla home page di VirusTotal e cercando soa7.zapto.com vediamo che, tra le altre informazioni, è presente una lista di malware che comunicano con tale dominio; tra di questi c’è effettivamente max.exe, che come vedremo è il nome originale del malware che abbiamo sottomesso.

Analizzare i malware in sandbox con Hybrid Analysis

Altra tipologia di strumenti di analisi automatizzata disponibile online sono strumenti basati su sandbox, ovvero sistemi controllati ed isolati dove il sospetto malware può essere eseguito (fatto detonare), oppure il documento che si sospetta malevolo aperto, registrando tutte le conseguenze sul sistema: si tratta quindi di un’analisi dinamica.

Molti di questi strumenti sono disponibili gratuitamente. Come esempio vediamo Hybrid Analysis di Payload Security.

Prendendo lo stesso eseguibile utilizzato precedentemente su VirusTotal e sottomettendolo su Hybrid Analysis otteniamo, fra le altre cose, un report dettagliato del comportamento del malware.

Il seguente screenshot ne mostra una piccola parte, da cui è possibile vedere domini e server con cui avviene la comunicazione, ma anche altre informazioni, come la creazione di mutant durante l’esecuzione. Un mutant o mutex, è un oggetto utilizzato per controllare o limitare l’accesso ad una risorsa, per esempio facendo in modo che solo un processo alla volta possa accedervi; spesso è utilizzato dai malware per “marcare” come infetto un sistema, evitando di infettarlo nuovamente.

Infine, per completare il quadro sull’analisi automatica segnaliamo Cuckoo Sandbox, uno strumento di analisi dinamico basato su sandbox eseguite generalmente all’interno di un ambiente di virtualizzazione (di default VirtualBox). Cuckoo prevede la presenza di un host di gestione, dove girano anche l’ambiente di virtualizzazione e il software di gestione, ovvero il software che permette l’invio dei campioni, il controllo dell’esecuzione, la produzione dei risultati e la presenza di una o più macchine guest (normalmente virtuali, ma possono essere anche fisiche), dove il potenziale malware viene messo in esecuzione. Sulle macchine guest deve essere installato un agente per la comunicazione con l’host.

Cuckoo è in grado di analizzare diverse tipologie di file malevoli, come eseguibili, documenti office, pdf, email, ma anche siti web. Le analisi effettuate riguardano il tracciamento delle API e il comportamento generale del malware, il traffico di rete (anche cifrato), l’analisi avanzata della memoria. A proposito del traffico di rete, Cuckoo permette di bloccare il traffico oppure di ridirigerlo attraverso InetSIM, (Internet Services Simulation Suite). Quest’ultima opzione evita al malware di compiere attività malevoli verso l’esterno della sandbox e nello stesso tempo dare la possibilità di monitorarne il comportamento anche a livello di rete.

Rispetto agli strumenti web di analisi dinamica automatizzata visti precedentemente, Cuckoo permette un maggior controllo sulle sandbox su cui far detonare il malware, permettendo di configurare ambienti di diverse tipologie con installate le stesse versioni di sistemi operativi e di software dei PC e dei server utilizzati in azienda. Naturalmente la contropartita è una maggior difficoltà di configurazione e di gestione.

Analisi statica dei file malevoli

La prima tipologia di analisi statica che mostreremo è l’estrazione delle stringhe presenti all’interno del file binario. Un eseguibile può contenere stringhe nel caso preveda di stampare messaggi, indirizzi IP, nomi di dominio o URL a cui connettersi, nomi di file da salvare, chiavi di registro da modificare e così via. Si tratta di un’analisi che può fornire informazioni utili sul funzionamento del malware.

Una prima possibilità per estrarre le stringhe è quello di usare il comando Linux standard strings, che permette di estrarre sia stringhe in formato ASCII (default) che in formato Unicode (con l’opzione -el). Altri tool più specifici che si trovano all’interno della REMUX sono i comandi pestr, progettato per l’estrazione di stringhe da eseguibili Windows, e il comando floss, ovvero FireEye Labs Obfuscated String Solver, progettato per estrarre anche eventuali stringhe che eventualmente gli autori del malware avessero offuscato.

Di seguito, l’output ottenuto dal comando floss utilizzato con il malware già usato negli esempi precedenti:

remnux@remnux:~/$ floss hostr.exe
FLOSS static ASCII strings
!This program cannot be run in DOS mode.
.text
`.sdata
.rsrc
@.reloc
BSJB
v2.0.50727
#Strings
#GUID
#Blob
Boolean
System
mscorlib
RuntimeCompatibilityAttribute
System.Runtime.CompilerServices
.ctor
Void
CompilationRelaxationsAttribute
Int32
max.exe

[RIMOSSO]

LOSS static Unicode strings
[)![69[)Q
YA[)Y
[)$[)$
1[)4
SIMON
VS_VERSION_INFO
VarFileInfo
Translation
StringFileInfo
000004b0
FileDescription
FileVersion
0.0.0.0
InternalName
max.exe
LegalCopyright
OriginalFilename
max.exe
ProductVersion
0.0.0.0
Assembly Version
0.0.0.0

FLOSS decoded 0 strings

FLOSS extracted 0 stackstrings

Alcune informazioni che è possibile derivare da tale analisi mostrano che il malware è di tipo .NET (probabilmente Visual Basic), che il nome dell’eseguibile originale è max.exe (lo avevamo già visto dalle analisi precedenti), che non ci sono stringhe offuscate.

Un’opzione che è possibile utilizzare in Windows è il software PeStudio, sistema free per sistemi Windows. Si tratta di un tool utile per visualizzare molte informazioni presenti in un eseguibile che, tra le altre cose, permette anche l’estrazione di stringhe.

Spesso gli autori di malware, per non rivelarne il funzionamento implementano meccanismi di offuscamento del binario, attraverso l’utilizzo di cosiddetti packer o cryptor:

  • Un packer è un programma che, a partire da un file binario, utilizza meccanismi di compressione per offuscarne il contenuto, ottenendo un nuovo eseguibile con contenuto offuscato. All’esecuzione del nuovo eseguibile viene eseguita la decompressione, in modo che il binario originale venga caricato in memoria ed eseguito.
  • Un cryptor ha un funzionamento simile, tranne che per offuscare il binario utilizza meccanismi di cifratura invece che di compressione.

Non ci sono meccanismi certi per determinare se un binario è stato offuscato, ma un metodo molto valido è quello di valutarne l’entropia.

I file compressi o cifrati, diversamente da quelli normali, hanno un elevato grado di casualità. Gli eseguibili legittimi in Windows difficilmente sono compressi o cifrati e quindi raramente esibiscono quella casualità di caratteri che portano ad un’entropia elevata.

Un tool utilizzabile per misurare l’entropia di un binario è binwalk. Tale tool utilizzato per il nostro malware di riferimento mostrerà il seguente risultato.

remnux@remnux:~/$ binwalk hostr.exe

DECIMAL HEXADECIMAL DESCRIPTION

——————————————————————————–

0 0x0 Microsoft executable, portable (PE)

89268 0x15CB4 gzip compressed data, fastest compression, from FAT filesystem (MS-DOS, OS/2, NT), last modified: 1970-01-01 00:00:00 (null date)

Il risultato ottenuto mostra come solo una parte ben precisa del file, ovvero a partire dalla posizione 89268, è compressa utilizzando il tool gzip.

Una volta stabilito che l’eseguibile è offuscato attraverso un packer o un cryptor, il modo più semplice, quando applicabile, per analizzare la versione è quello di decomprimere o decifrare l’eseguibile utilizzando lo stesso tool utilizzato per offuscare il file.

Un esempio, è il popolare UPX (riconoscibile per il fatto che il file offuscato contiene stringhe del tipo UPX0 e UPX1): in tal caso è possibile utilizzare il tool stesso per tornare alla versione originale.

Tornando al nostro esempio, possiamo quindi provare ad estrarre la sezione cifrata del file, utilizzando l’editor esadecimale wxHexEditor fornito con REMnux, e salvandola come nuovo file hostr_unpacked.

Ora possiamo cercare le stringhe (unicode) presenti all’interno della sezione decompressa del file.

emnux@remnux:~/$ zcat hostr_unpacked | strings -el

gzip: hostr_unpacked: decompression OK, trailing garbage ignored

xnbk

proc

windir

system32

.exe

Deleted

Started

cmd.exe

prof

getvalue

http

Execute ERROR

Download ERROR

temp

Executed As

False

start

True

Update ERROR

Updating To

Data

SEE_MASK_NOZONECHECKS

netsh firewall add allowedprogram “

” ENABLE

” ..

SystemDrive

length

netsh firewall delete allowedprogram “

Software

cmd.exe /c ping 127.0.0.1 & del “

abcdefghijklmnopqrstuvwxyz

yyyy-MM-dd

unknown

Microsoft

Windows

Win

x64

x86

Software

2YXYttmA2YDZgNmA2YDZgNmA2YDZgNmA2YDZgNmA2YDZgNmA2YDZgNmA2YDZgNmA2LE=

0.6.4

hostr.exe

TEMP

ec83b2d446200dcd0392570446c898a3

soa7.zapto.org

1177

|’|’|

[endof]

SoftwareMicrosoftWindowsCurrentVersionRun

yy/MM/dd

??/??/??

[ENTER]

[TAP]

.tmp

A questo punto le cose sembrano decisamente più interessanti: è possibile individuare il dominio soa7.zapto.org, che avevamo già visto in precedenza, riferimenti a chiavi di registro (Software/Microsoft/Windows/CurrentVersionRun) con il probabile obiettivo di mantenere la persistenza del malware, comandi di modifica delle impostazioni del firewall di sistema (netsh firewall add allowedprogram e netsh firewall delete allowedprogram).

Spesso la situazione è più complicata, per cui può essere necessario individuare l’algoritmo utilizzato e scrivere manualmente l’unpacker, oppure, quando anche questo non è possibile, mettere in esecuzione (in maniera controllata) il malware, lasciare che sia il malware stesso a farne l’unpacking, e poi fare il dump del malware dalla memoria (si veda più avanti).

Analisi statica del malware con Portable Executable

Il passo successivo nell’analisi statica è l’analisi del file PE. Il formato PE (Portable Executable), utilizzato dagli eseguibili Windows (.exe, .dll, .ocx, .sys, .drv, ecc.), è una struttura dati che permette al sistema operativo Windows di eseguire correttamente il contenuto eseguibile.

I file di tipo PE iniziano con un header che contiene informazioni rispetto al codice da eseguire e all’indirizzo in cui è contenuta la porzione eseguibile, al tipo di applicazione, alle librerie di funzioni da caricare, e così via. Le informazioni presenti nell’header di un file PE sono molto importanti dal punti di vista dell’analisi del malware.

Il file PE è suddiviso in sezioni, la cui struttura è descritta nella Section Header, che si trova subito prima delle sezioni stesse. Le sezioni più comuni in un file PE sono le seguenti:

  • .text: contiene il codice eseguibile (si tratta in genere dell’unica sezione che contiene codice);
  • .rdata: contiene informazioni sull’import e l’export e può contenere anche altri dati read only;
  • .data: contiene dati globali accessibili da ogni punto del programma;
  • .rsrc: contiene le risorse usate dall’eseguibile che non sono parte dell’eseguibile, come immagini, menù o stringhe.

Questo elenco è solo indicativo, in quanto i nomi delle sezioni possono cambiare in base al compilatore utilizzato e possono essere presenti più sezioni rispetto a quelle elencate.

Per ognuna delle sezioni presenti sono disponibili le seguenti informazioni:

  • Names: il nome della sezione;
  • Virtual-Size: le dimensioni della sezione una volta caricata in memoria;
  • Virtual-Address: indirizzo relativo (rispetto all’indirizzo base dell’eseguibile) dove la sezione può essere trovata in memoria;
  • Raw-size: le dimensioni della sezione sul disco;
  • Raw-data: l’offset dove la sezione può essere trovata all’interno del file;
  • Entry-point: l’indirizzo virtuale relativo in cui il codice inizia l’esecuzione; di solito coincide con l’inizio della sezione .text.

Analizzando ancora il nostro campione di malware hostr.exe con PeStudio vediamo che è formato dalle seguenti sezioni: .text, .sdata, .rsrc, .reloc. La sezione .rsrc ha un’elevata entropia elevata: è infatti la sezione che contiene l’ulteriore file eseguibile compresso che avevamo già individuato.

Tra le altre cose, PeStudio mostra anche il contenuto della tabella di import del campione di malware nell’area denominata “imports“. Windows utilizza queste informazioni per determinare quali DLL (“libraries”) e le funzioni implementate al loro interno (“symbols” o “API”) sono necessarie per l’esecuzione del programma. L’analisi degli import può aiutarci a determinare il tipo di funzionalità implementata all’interno del campione di malware.

Infine, l’analisi statica più avanzata, a cui per forza di cose accenneremo soltanto, è quella che si ottiene aprendo il file PE con un disassemblatore, che permette, a partire dall’eseguibile, di ottenere il codice assembler, analizzando il quale è possibile dedurre i comportamenti del malware.

Il disassemblatore più famoso e più utilizzato dagli analisti di malware è IDA Pro, con versioni per Windows, Linux e MacOS, che ha anche funzioni di debugger, disponibile in due versioni, una versione free con funzionalità molto limitate e una versione Pro a pagamento. È possibile scaricare quest’ultima versione in modalità demo, con alcune limitazioni, tra cui l’impossibilità di salvare il lavoro svolto.

Un’altra possibilità è quella di utilizzare Ghidra con funzionalità di debugging e di decompilatore, realizzato dalla NSA con licenza open source. Ghidra è disponibile su REMnux.

Di seguito uno screenshot di Ghidra col quale è stato aperto l’eseguibile hostr.exe utilizzato sopra per altre tipologie di analisi.

Analisi dinamica dei malware complementare all’analisti statica

L’analisi dinamica viene tipicamente effettuata dopo l’analisi statica, ed è complementare a questa.

Sebbene l’analisi dinamica sia molto potente e permetta di osservare le reali funzionalità del malware, alcune delle quali altrimenti difficili da individuare, effettuata senza analisi statica potrebbe portare a non considerare ed esplorare tutti i possibili path di esecuzione. D’altra parte tutti i risultati derivanti dall’analisi statica dovrebbero essere sempre verificati dall’analisi dinamica.

Per effettuare l’analisi dinamica di potenziale malware occorre innanzitutto predisporre un ambiente controllato dove eseguire in sicurezza il potenziale malware.

Il modo più semplice è quello di predisporre un ambiente di laboratorio formato da macchine virtuali. Nella versione più semplice il lab può essere da una macchina Windows posizionata su una rete isolata, su cui viene eseguito il potenziale malware, e da una macchina Linux (per esempio una REMnux), posizionata sulla stessa rete isolata e configurata come default gateway per la macchina Windows.

Sulla macchina Windows dove viene eseguito il malware devono essere installati i tool di analisi, mentre sulla macchina Linux sarà installato un tool per lo sniffing della rete. Sulla macchina Linux sarà anche installato un tool per emulare i vari servizi di rete invocati eventualmente dal malware e rispondere al posto di qualsiasi host che il malware cercasse di contattare.

L’utilizzo di macchine virtuali permette di catturare degli snapshot prima dell’analisi, in modo da tornare ad una situazione pulita una volta terminata l’analisi.

Naturalmente il lab può essere complicato a piacere, per esempio creando più macchine Windows con architetture a 32 e 64 bit e con diverse versioni di sistema operativo.

L’analisi dinamica è basata sul monitoraggio delle interazioni del malware con il sistema, in particolare vengono di solito monitorati:

  • i processi messi in esecuzione dal malware, le loro proprietà ed eventuali anomalie;
  • le interazioni del malware con il filesystem;
  • l’accesso e la modifica di chiavi e di dati sul registry;
  • il traffico di rete generato.

Tool utilizzati per monitoraggio dei malware

Process Hacker è uno strumento open source che permette monitorare le risorse di sistema. È un ottimo strumento per esaminare i processi in esecuzione sul sistema e per ispezionare gli attributi del processo, che può essere utilizzato, una volta eseguito il campione di malware, per identificare il processo malware appena creato, eventuali sottoprocessi e tutti i loro attribuiti.

Process Monitor è uno strumento di monitoraggio avanzato che mostra l’interazione in tempo reale dei processi con il filesystem, il registry e alcune attività di rete. Poiché il tool genera molti eventi, la cattura degli eventi deve essere attivata appena prima dell’esecuzione del campione di malware.

Per filtrare ulteriormente il rumore è possibile utilizzare Noriben, uno script Python che a partire dagli eventi generati da Process Monitor può generare report sugli indicatori di compromissione del malware.

È possibile utilizzare Regshot per creare una baseline del sistema prima dell’esecuzione del campione di malware e confrontarla con lo stato del sistema dopo l’esecuzione. L’utilizzo di Regshot con strumenti come Process Monitor ci consente di essere relativamente certi di poter osservare l’effetto del campione sul sistema infetto.

Se il lab utilizzato per l’analisi dinamica ha una configurazione simile a quella descritta sopra, i tool per l’analisi del traffico di rete saranno eseguiti sulla macchina Linux. In primo luogo, visto che la maggior parte dei malware comunica con host su Internet (es. command & control server) è bene che durante l’analisi questo non avvenga, ma, per far sì che il malware continui nel suo funzionamento, è necessario fornire tutti i servizi richiesti.

Questo è possibile utilizzando InetSim, tool open source per la simulazione di servizi Internet standard (come DNS, HTTP / HTTPS e così via), presente su REMnux. Attraverso questo tool è possibile rispondere alle richieste fatte via rete dal malware.

Come mostrato nell’output seguente, INetSim si mette in ascolto su diverse porte tcp e udp simulando servizi standard. È inoltre in grado di eseguire un servizio “dummy” per gestire le connessioni dirette a porte non standard.

remnux@remnux:~/Downloads$ sudo inetsim

INetSim 1.3.2 (2020-05-19) by Matthias Eckert & Thomas Hungenberg

Using log directory: /var/log/inetsim/

Using data directory: /var/lib/inetsim/

Using report directory: /var/log/inetsim/report/

Using configuration file: /etc/inetsim/inetsim.conf

Parsing configuration file.

Configuration file parsed successfully.

=== INetSim main process started (PID 2357) ===

Session ID: 2357

Listening on: 192.168.0.1

Real Date/Time: 2021-05-28 11:37:03

Fake Date/Time: 2021-05-28 11:37:03 (Delta: 0 seconds)

Forking services…

* dummy_1_udp – started (PID 2371)

* dns_53_tcp_udp – started (PID 2361)

* dummy_1_tcp – started (PID 2370)

* smtps_465_tcp – started (PID 2365)

* smtp_25_tcp – started (PID 2364)

* ftps_990_tcp – started (PID 2369)

* pop3_110_tcp – started (PID 2366)

* ftp_21_tcp – started (PID 2368)

* pop3s_995_tcp – started (PID 2367)

* http_80_tcp – started (PID 2362)

* https_443_tcp – started (PID 2363)

done.

Simulation running.

Per il monitoraggio del traffico di rete generato come risultato dell’esecuzione del malware è possibile utilizzare Wireshark, uno sniffer di pacchetti che consente di catturare il traffico di rete. L’analisi del traffico di rete catturato è utile per capire il canale di comunicazione utilizzato dal malware e determinare gli indicatori di compromissione basati sulla rete.

Infine, una forma più avanzata di analisi dinamica che richiede adeguate competenze, è quella di aprire l’eseguibile con un debugger ed eseguirlo in maniera controllata. Con un debugger è infatti possibile inserire breackpoint e breackpoint condizionali, avanzare passo passo nell’esecuzione, gestire manualmente le eccezioni, andando molto a fondo nella comprensione del funzionamento del malware.

Oltre ai già citati IDA Pro e Ghidra, un altro debugger per Windows molto utilizzato è OllyDbg.

Analisi della RAM per la ricerca di malware

L’analisi della RAM è uno strumento molto potente nella ricerca di malware, considerato che ogni malware, per quanto adotti stratagemmi per rimanere nascosto, per essere messo in esecuzione deve risiedere nella memoria del sistema dove viene eseguito.

Il punto di vista dell’analisi della memoria per rilevare il malware è tuttavia molto diverso da quello visto finora. Nelle tipologie di analisi viste finora avevamo infatti un eseguibile di cui volevamo studiare il comportamento, mentre l’analisi della RAM viene normalmente avviata in quei casi in cui si sospetti la presenza di un malware in un sistema, ma non sia stato individuato l’eseguibile sospetto.

Alcune tecniche di analisi della memoria sono descritte nell’ articolo nel quale viene presentato quello che è probabilmente il principale tool per l’analisi della memoria, Volatility.

All’interno di Volatility sono presenti diversi plugin utili nella rilevazione di malware.

Alcuni plugin, come pslist, psscan, pstree, malprocfind e processbl, permettono di esaminare i processi in esecuzione sul sistema e rilevarne le anomalie. Un’altra famiglia di plugin, come connscan, sockscan e netscan, permette di esaminare le comunicazioni di rete del processo. Altre categorie di plugin come ldrmodules, malfind, ssdt e apihooks permettono di individuare la presenza di meccanismi di code injection e di rootkit.

Infine, una volta individuato uno o più processi che mostra comportamenti malevoli, è possibile estrarlo dalla memoria, ottenendo un file eseguibile che può essere analizzato con le tecniche discusse sopra. Il plugin di Volatility che permette il dump di un processo dalla memoria è procdump, ma è possibile anche utilizzare dlldump per il dump delle DLL utilizzate da un processo o moddump per il dump di driver del kernel.

Analisi del malware: perché è importante per le aziende

L’analisi del malware è certamente un tema affascinante e complesso che in un articolo può essere solo sfiorato.

Qui sono state presentate alcune tecniche e tool utilizzabili anche con competenze non troppo specifiche, come quelle per l’analisi automatizzata e alcune di quelle base per l’analisi statica e dinamica.

Nonostante tali tecniche non siano sufficienti a comprendere il funzionamento di malware zero-day o malware scritto con l’intento di confondere i meccanismi di analisi, in molti casi permettono di ottenere buoni risultati.

Si tratta certamente di un tema che le aziende dovrebbero affrontare, come parte del processo di gestione degli incidenti di sicurezza, prima di trovarsi in una situazione di emergenza, sviluppando le opportune conoscenze, coinvolgendo esperti esterni e predisponendo processi e strumenti appropriati.

Articolo originariamente pubblicato il 04 Nov 2022

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Who's Who

Argomenti

Canali

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati

  • LA GUIDA PRATICA

    Antivirus e antimalware: i 5 migliori del momento da installare subito in azienda

    09 Gen 2024

    di Giorgio Sbaraglia

    Condividi

Prossimo

Antivirus e antimalware: i 5 migliori del momento da installare subito in azienda

Articolo 1 di 2