tags: analisi_malware analisi_malware_dinamica analisi
L’analisi dinamica del malware, nota anche come analisi comportamentale, comporta l’esecuzione del codice malware per apprendere come interagisce con il sistema host e il suo impatto dopo aver infettato il sistema. L’analisi dinamica comporta l’esecuzione del malware per esaminarne la condotta e le operazioni e identificare le firme tecniche che confermano l’intento malevolo. Rivela informazioni quali nomi di dominio, posizioni del percorso dei file, chiavi di registro create, indirizzi IP, file aggiuntivi, file di installazione e file DLL e collegati situati sul sistema o sulla rete. Questo tipo di analisi richiede un ambiente sicuro come macchine e sandbox per impedire la diffusione del malware. La progettazione dell’ambiente dovrebbe includere strumenti in grado di catturare ogni movimento del malware in dettaglio e fornire feedback. In genere, i sistemi fungono da base per condurre tali esperimenti. Un hacker etico e un pen tester devono eseguire un’analisi dinamica del malware per scoprire le applicazioni e i processi in esecuzione su un computer e rimuovere programmi indesiderati o dannosi che possono violare la privacy o influire sulla salute del sistema.
L’analisi dinamica viene eseguita per raccogliere informazioni preziose sull’attività del malware, inclusi i file e le cartelle creati, le porte e gli URL a cui si accede, le funzioni e le librerie chiamate, le applicazioni e gli strumenti a cui si accede, le informazioni trasferite, i processi modificati delle impostazioni e i servizi avviati dal malware e altri elementi. Dovresti progettare e configurare l’ambiente per eseguire l’analisi dinamica in modo tale che il malware non possa propagarsi alla rete di produzione e assicurarti che il sistema di test possa ripristinare un intervallo di tempo impostato in precedenza (prima dell’avvio del malware) nel caso in cui qualcosa vada storto durante il test.
Per ottenere ciò, devi eseguire quanto segue:
-
Baselining del sistema: Baselining si riferisce al processo di acquisizione dello stato di un sistema (acquisizione di snapshot del sistema) al momento dell’inizio dell’analisi del malware. Questo può essere utilizzato per confrontare lo stato del sistema dopo l’esecuzione del file malware, il che aiuterà a comprendere le modifiche apportate dal malware nel sistema. Una baseline del sistema comporta la registrazione dei dettagli del file system, del registro, delle porte aperte, dell’attività di rete e di altri elementi.
-
Monitoraggio dell’integrità dell’host: Il monitoraggio dell’integrità dell’host è il processo di studio delle modifiche che hanno avuto luogo in un sistema o in una macchina dopo una serie di azioni o incidenti. Comporta l’utilizzo degli stessi strumenti per acquisire un’istantanea del sistema prima e dopo l’incidente o le azioni e analizzare le modifiche per valutare l’impatto del malware sul sistema e sulle sue proprietà. Nell’analisi del malware, il monitoraggio dell’integrità dell’host aiuta a comprendere il comportamento di runtime di un file malware, nonché le sue attività, le tecniche di propagazione, gli URL a cui si accede, i download avviati e altre caratteristiche.
Il monitoraggio dell’integrità dell’host include:
- Monitoraggio delle porte
- Monitoraggio dei processi
- Monitoraggio del registro
- Monitoraggio dei servizi Windows
- Monitoraggio dei programmi di avvio
- Monitoraggio e analisi dei registri degli eventi
- Monitoraggio dell’installazione
- Monitoraggio di file e cartelle
- Monitoraggio dei driver dei dispositivi
- Monitoraggio e analisi del traffico di rete
- Monitoraggio e risoluzione DNS
- Monitoraggio delle chiamate API