Differenza tra analisi statica e dinamica?

L'analisi statica esamina un binario senza eseguirlo, osservando string, import, struttura e metadati. L'analisi dinamica esegue il malware in un ambiente controllato (sandbox, VM) e ne osserva comportamento, traffico di rete, cambi di file e chiamate API. Statica: rapida e sicura ma sconfitta da packing/offuscamento; dinamica: rivela il runtime ma può essere elusa. L'analisi reale combina entrambe.

Strumenti essenziali?

Disassembler/decompiler (IDA Pro, Ghidra, Binary Ninja, radare2), debugger (x64dbg, WinDbg), sandbox comportamentali (Cuckoo, Any.run, Hybrid Analysis), strumenti anti-packing (PEiD, Detect It Easy), analizzatori di traffico (Wireshark, FakeNet-NG) e distribuzioni come REMnux e FLARE-VM.

Dipende dal contesto. Gli incident responder estraggono IOC (hash, dominio C2, chiavi di registro). I team di threat intel attribuiscono campagne. I detection engineer scrivono regole YARA, Sigma, EDR. Tutti producono valore difensivo.

Come analizzare in sicurezza?

VM isolate con snapshot, scollegate dalle reti di produzione, idealmente con Internet simulata (INetSim, FakeNet-NG). Snapshot pre-esecuzione, trasferire campioni via canali controllati, mai su host con dati sensibili e ripristinare le VM dopo ogni sessione.

Tecniche di Analisi del Malware

Perché È Importante

Le minacce moderne distribuiscono malware custom o in rapida evoluzione più velocemente di quanto i vendor possano firmare. Quando un endpoint segnala un binario sospetto o la risposta agli incidenti trova un eseguibile sconosciuto, l'analisi del malware converte un singolo campione in IOC, pattern comportamentali e rilevamenti che proteggono il resto dell'ambiente.

L'analisi di NotPetya nel 2017 rivelò che era un wiper distruttivo, non ransomware, ridirezionando la risposta globale. Il reverse engineering di Stuxnet ha mostrato capacità statali. L'analisi di SUNBURST di SolarWinds ha prodotto rilevamenti usati in tutto il mondo.

Il Workflow

Fasi di Analisi

Triage

Analisi Statica

Analisi Dinamica

Analisi del Codice

Reporting

1. Triage

Lookup hash su VirusTotal, MalwareBazaar, Hybrid Analysis
Identificazione tipo file e architettura
String ed entropia per rilevare packing
Match firme AV/EDR

2. Analisi Statica

statica.sh

Bash

file sospetto.exe
strings -n 8 sospetto.exe
sha256sum sospetto.exe
exiftool sospetto.exe
yara regole.yar sospetto.exe
capa sospetto.exe

Cerca import sospetti (VirtualAllocEx, WriteProcessMemory, CreateRemoteThread), risorse embedded e indizi di packing.

3. Analisi Dinamica

Esegui il campione in ambiente isolato e osserva albero processi, scritture di file, modifiche al registro, comportamento di rete, mutex. Sandbox: Cuckoo, Any.run, Joe Sandbox, Hybrid Analysis.

4. Analisi del Codice

IDA Pro: standard del settore
Ghidra: alternativa NSA gratuita
Binary Ninja: UI moderna
x64dbg / WinDbg: debugging dinamico

L'analisi manuale recupera algoritmi, tecniche di evasione e impronte uniche.

Tecniche Anti-Analisi

Output

Output	Utente	Esempio
Hash	SOC, EDR	SHA256 del dropper
Regole YARA	Hunter	Pattern matching
Regole Sigma	SIEM	Regole comportamentali
IOC di rete	NDR, firewall	Dominio C2, IP
Mappatura ATT&CK	Threat intel	TTP
Attribuzione	Intel strategica	Collegamenti ad attore

Framework e Standard

MITRE ATT&CK, MAEC, STIX/TAXII
YARA: pattern matching
Capa: capacità

Migliori Pratiche

VM isolate con snapshot/revert.
Segmenti di rete dedicati con Internet simulata.
Hash e documentazione completi.
Limitare il tempo di analisi profonda.
Condividere i risultati (MISP, MalwareBazaar).
Mappare su ATT&CK.

Concetti Correlati

Nel Bootcamp

Come insegniamo Analisi del Malware

Nel nostro Cybersecurity Bootcamp, non imparerai solo la teoria su Analisi del Malware. Praticherai con strumenti reali in laboratori pratici, guidato da professionisti del settore che usano questi concetti quotidianamente.

Trattato in:

Modulo 8: Operazioni di Sicurezza Avanzate

Argomenti correlati che padroneggerai:Risposta agli IncidentiDFIRThreat HuntingVolatility

Scopri come lo insegniamo

360+ ore di formazione esperta • CompTIA Security+ incluso

Blog

Guide alla carriera

Glossario

Certificazioni

Confronti

Strumenti

Autori

Formazione aziendale

Assumi i nostri talenti

Analisi del Malware