Analisi di Malware: Le Tecniche di Analisi Statica e Dinamica

Quando un ricercatore di sicurezza si trova di fronte a un file sospetto, il suo obiettivo è capirne il comportamento senza infettare il proprio sistema. Per farlo, si usano due principali tecniche di analisi.

Analisi Statica

L'analisi statica consiste nell'esaminare il file malevolo senza eseguirlo. È il primo passo, più sicuro, per farsi un'idea generale del malware.

• Analisi delle Stringhe: Si estraggono le stringhe di testo leggibili dall'eseguibile. Queste possono rivelare URL a cui il malware si connette, nomi di file che crea, o messaggi di errore.
• Analisi degli Header: Si esaminano gli header del file (es. PE header per i file di Windows) per trovare informazioni come la data di compilazione o le librerie che importa.
• Disassemblaggio: Usando un disassemblatore (come IDA Pro o Ghidra), si converte il codice macchina in linguaggio Assembly, permettendo a un analista esperto di capire la logica del programma passo dopo passo.

Analisi Dinamica

L'analisi dinamica consiste nell'eseguire il malware in un ambiente controllato e isolato, una sandbox, per osservarne il comportamento in tempo reale. La sandbox è una macchina virtuale progettata per contenere l'infezione.

• Monitoraggio dei Processi: Si osserva quali nuovi processi vengono creati dal malware.
• Monitoraggio del File System: Si controlla quali file vengono creati, modificati o cancellati.
• Monitoraggio del Registro (Windows): Si osserva quali chiavi di registro vengono create per garantire la persistenza del malware al riavvio.
• Monitoraggio della Rete: Si analizza il traffico di rete per vedere a quali indirizzi IP o domini il malware cerca di connettersi (spesso per scaricare altro codice o per comunicare con un server di Comando e Controllo).

La combinazione di queste due tecniche permette di creare una "firma" del malware, utile per sviluppare regole di rilevamento per gli antivirus e per capire come rimuoverlo dai sistemi infetti.