Ogni software che causa danni al computer o alla rete è considerato software maligno, detto anche Malware (LINK), inclusi i virus, i trojan horse, worms, rootkits, scareware e spyware. L’analisi di un malware consiste nel disassemblare lo stesso per capire come funziona, come identificarlo e come eliminarlo. Alcuni articoli di questa categoria richiederanno una conoscenza base di programmazione.
Ci sono due tipi diversi di approcci all’analisi di un Malware:
Ci sono due tipi diversi di approcci all’analisi di un Malware:
- Analisi statica: esaminarli senza che essi siano in funzione. Si divide a sua volta in:
- analisi statica di base: viene esaminato l’esecutivo senza vederne le istruzioni. Questa tecnica può confermare che il file è nocivo e rilevare informazioni in merito alle sue funzionalità. Può essere veloce e semplice, ma è largamente inefficace;
- analisi statica avanzata: consiste nell’effettuare del reverse engignering (LINK) del malware caricando l’esecutivo in un disassembler (LINK) e studiarne le istruzioni per capirne esattamente come si comporta all’interno del computer infetto.
- Analisi dinamica, eseguire il malware e analizzarlo passo passo. Si divide in:
- analisi dinamica di base: consiste nell’eseguirlo e osservare il suo comportamento sul sistema. Prima di avviarlo bisogna avviare un sistema ad-hoc per evitare il rischio di danneggiare il proprio sistema o la propria rete.
- analisi dinamica statica: viene utilizzato un debugger per esaminare lo stato interno del malware mentre è avviato.
TIPI DI MALWARE
Esistono diverse tipologie di malware. Le più importanti macro categorie sono:
- Backdoor: codice che si autoinstalla in un computer per permettere l’accesso ad un altra persona;
- Botnet: simile alla backdoor, permette all’attaccante di accedere al sistema, solitamente tutti i computer infettati con la stessa botnet ricevono la stessa istruzione contemporaneamente;
- Rootkit: sono solitamente in coppia con altri malware, come una backdoor, in modo da rendere il codice difficile da decifrare;
- Worm o virus: parti di codice che si diffondono copiandosi in altri programmi, in modo da essere eseguiti ogni volta che il file infetto viene aperto. Si trasmettono in altri computer tramite lo spostamento dei file infetti da parte dell’utente;
- Spyware: software che vengono usati per raccogliere informazioni dal sistema su cui sono installati, come la digitazione sulla tastiera o del mouse;
- Ransomware: virus che cripta tutti i dati (la maggior parte, a seconda delle estensioni specificate dal programmatore) di un dispositivo. Per riottenerli bisogna pagare una cifra prestabilita per poter decrittografare i file;
- ..e molti altri ancora.
Prima di avviare qualsiasi sofware doloso, dovete essere certi di poter lavorare in un ambiente protetto, che può essere una virtual machine apposita o una macchina fisica. Non connettete la macchina a internet prima di aver analizzato le funzioni che svolge quando è in rete, poiché potreste infettare anche altri dispositivi connessi, o iniziare a far parte di un Denial-of-service già in atto su altre macchine. Prima di avviarlo, salvate lo stato della macchina, in modo che dopo averla infettata non dovete necessariamente installarla da zero, ma basterà tornare allo stato salvato precedentemente.
Nessun commento:
Posta un commento