Εδώ είναι η μετάφραση ολόκληρου του αρχείου στα Ιταλικά, διατηρώντας τους αγγλικούς τεχνικούς όρους και τα ονόματα των εργαλείων όπως ζητήθηκε. 1 00:00:00,000 --> 00:00:10,320 La Malware analysis è un processo vitale nella cyber security che comporta la dissezione e la comprensione 2 00:00:10,320 --> 00:00:12,920 del software dannoso. 3 00:00:12,920 --> 00:00:18,960 L'obiettivo primario è determinare come opera il malware, a quale sistema mira e che 4 00:00:18,960 --> 00:00:21,480 tipo di danno può infliggere. 5 00:00:21,480 --> 00:00:26,960 Studiando da vicino i campioni di malware, gli esperti di cyber security ottengono preziose intuizioni sulla 6 00:00:26,960 --> 00:00:32,240 struttura, la funzionalità e la sua origine. 7 00:00:32,240 --> 00:00:37,800 Questa conoscenza permette loro di costruire meccanismi di difesa più forti, creare signatures di rilevamento 8 00:00:37,800 --> 00:00:41,840 e rispondere più efficacemente agli incidenti. 9 00:00:41,840 --> 00:00:46,720 Nell'odierno panorama delle minacce, dove i cyber attacks stanno diventando più sofisticati, la malware 10 00:00:46,720 --> 00:00:51,520 analysis è cruciale per rimanere un passo avanti agli attaccanti. 11 00:00:51,520 --> 00:00:56,240 Ci sono diversi tipi di malware analysis, ognuno offre una prospettiva unica su come 12 00:00:56,240 --> 00:00:58,800 funziona il malware. 13 00:00:58,800 --> 00:01:04,880 La Static analysis per esempio comporta l'ispezione del codice del malware senza eseguirlo. 14 00:01:04,880 --> 00:01:11,160 Questo approccio aiuta a identificare comandi nascosti, URL incorporati, routine di cifratura e funzioni 15 00:01:11,160 --> 00:01:17,400 sospette, tutto senza il rischio di eseguire codice potenzialmente dannoso. 16 00:01:17,400 --> 00:01:23,120 Quindi apriamo il malware senza eseguirlo, questa è la Static analysis. 17 00:01:23,120 --> 00:01:28,600 Gli esperti usano spesso strumenti come disassemblers e decompilers per fare reverse engineering dei 18 00:01:28,600 --> 00:01:34,840 binaries, rendendo facile scoprire come è programmato il malware. 19 00:01:34,840 --> 00:01:41,120 La Dynamic e la Behavioral analysis adottano un approccio più pratico. 20 00:01:41,120 --> 00:01:47,560 La Dynamic analysis comporta l'esecuzione del malware in un ambiente sicuro e isolato, solitamente 21 00:01:47,560 --> 00:01:52,880 una sandbox o virtual machine, per osservare il suo comportamento in tempo reale. 22 00:01:52,880 --> 00:02:00,160 Questo permette agli analisti di vedere come il malware interagisce con i file di sistema, le risorse di rete 23 00:02:00,160 --> 00:02:02,440 e altro software. 24 00:02:02,440 --> 00:02:10,360 La Behavioral analysis completa ciò concentrandosi sull'impatto che il malware ha durante l'esecuzione. 25 00:02:10,360 --> 00:02:12,160 Rallenta il sistema? 26 00:02:12,160 --> 00:02:14,480 Modifica o cancella file? 27 00:02:14,480 --> 00:02:16,720 Si connette a server sconosciuti? 28 00:02:16,720 --> 00:02:22,800 Esaminando tali azioni, gli analisti possono comprendere meglio la minaccia. 29 00:02:22,800 --> 00:02:29,720 Sviluppare strategie per rilevare e neutralizzare comportamenti simili in futuro. 30 00:02:29,720 --> 00:02:35,360 Il malware si presenta in molte forme, è creato con un obiettivo unico, che sia rubare 31 00:02:35,360 --> 00:02:41,720 dati, interrompere le normali operazioni, danneggiare i sistemi o ottenere accesso non autorizzato. 32 00:02:41,720 --> 00:02:47,440 Riconoscere questi diversi tipi di malware è essenziale per i professionisti della cybersecurity 33 00:02:47,440 --> 00:02:54,240 e gli utenti, poiché permette una identificazione più rapida e una risposta più efficace. 34 00:02:54,240 --> 00:02:59,640 Comprendendo come si comporta ogni categoria, le organizzazioni possono implementare misure di sicurezza 35 00:02:59,640 --> 00:03:02,760 mirate e proteggere meglio i loro asset digitali. 36 00:03:02,760 --> 00:03:04,920 Iniziamo con i virus. 37 00:03:04,920 --> 00:03:10,600 Questi sono tra le forme più antiche di malware e tipicamente si attaccano a programmi 38 00:03:10,600 --> 00:03:12,800 o file legittimi. 39 00:03:12,800 --> 00:03:18,880 Quando un utente esegue inconsapevolmente il file infetto, il virus diventa attivo, si replica e 40 00:03:18,880 --> 00:03:22,120 si diffonde ad altri file o sistemi. 41 00:03:22,120 --> 00:03:28,640 Il danno causato dai virus può variare da file corrotti o perdita di dati fino al completo 42 00:03:28,640 --> 00:03:30,200 fallimento del sistema. 43 00:03:30,200 --> 00:03:36,600 È importante notare che i virus spesso richiedono l'interazione dell'utente, come cliccare su un link dannoso o 44 00:03:36,600 --> 00:03:41,600 aprire un allegato email per iniziare il ciclo distruttivo. 45 00:03:41,600 --> 00:03:43,080 Poi abbiamo i worms. 46 00:03:43,080 --> 00:03:49,520 A differenza dei virus, i worms possono propagarsi da soli senza alcuna interazione dell'utente. 47 00:03:49,520 --> 00:03:55,720 Sfruttano vulnerabilità nei sistemi operativi o nel software per diffondersi attraverso le reti 48 00:03:55,720 --> 00:03:58,040 spesso ad alta velocità. 49 00:03:58,040 --> 00:04:03,560 Questo può portare a gravi conseguenze, come rallentamenti della rete, condizioni di denial of service 50 00:04:03,560 --> 00:04:09,600 e infezioni di massa, attraverso i dispositivi in breve tempo. 51 00:04:09,600 --> 00:04:15,400 I Trojan horses, d'altra parte, si mascherano da software o file legittimi 52 00:04:15,400 --> 00:04:18,120 per ingannare gli utenti e farsi installare. 53 00:04:18,120 --> 00:04:24,200 Una volta dentro il sistema, aprono la porta agli attaccanti per rubare informazioni sensibili, 54 00:04:24,200 --> 00:04:28,760 manipolare le impostazioni di sistema o persino prendere il pieno controllo remoto. 55 00:04:28,760 --> 00:04:35,760 Infine, il ransomware è uno dei tipi più dannosi finanziariamente e più diffusi 56 00:04:35,760 --> 00:04:40,120 negli ultimi anni. 57 00:04:40,120 --> 00:04:46,160 Cifra i file dell'utente o i file di sistema e blocca il loro sistema richiedendo un pagamento di riscatto, 58 00:04:46,160 --> 00:04:51,720 solitamente in Bitcoin, in cambio del ripristino dell'accesso. 59 00:04:51,720 --> 00:05:01,040 Questi attacchi possono paralizzare individui, aziende e persino infrastrutture critiche, cifrando 60 00:05:01,040 --> 00:05:06,520 i dati confidenziali, i dati importanti dei sistemi, rendendo il ransomware la minaccia più 61 00:05:06,520 --> 00:05:12,080 temuta nel panorama della cybersecurity oggi. 62 00:05:12,080 --> 00:05:18,520 Oltre ai tipi più comuni, ci sono diverse altre forme pericolose che operano 63 00:05:18,520 --> 00:05:23,360 più segretamente ma possono essere altrettanto dannose. 64 00:05:23,360 --> 00:05:29,880 Queste includono spyware, adware, rootkits, bots e key loggers, i quali pongono seri 65 00:05:29,880 --> 00:05:35,240 rischi agli utenti e alle organizzazioni rubando i dati, dirottando i sistemi o agendo come 66 00:05:35,240 --> 00:05:38,800 punti di ingresso per ulteriori compromissioni. 67 00:05:38,800 --> 00:05:45,000 Lo Spyware è una forma particolarmente invasiva di malware che monitora segretamente l'attività dell'utente 68 00:05:45,000 --> 00:05:47,120 senza che lui lo sappia. 69 00:05:47,120 --> 00:05:52,520 Una volta installato, può tracciare tutto, dalle battiture dei tasti alla cronologia di navigazione, catturando 70 00:05:52,520 --> 00:05:58,160 informazioni personali come password, dettagli bancari e credenziali di login. 71 00:05:58,160 --> 00:06:03,160 Questi dati vengono spesso trasmessi ai criminali informatici per lo sfruttamento o la vendita sul 72 00:06:03,160 --> 00:06:05,160 dark web. 73 00:06:05,160 --> 00:06:11,080 L'Adware, sebbene talvolta classificato come meno grave, può comunque rappresentare una minaccia significativa. 74 00:06:11,080 --> 00:06:17,480 La sua funzione principale è bombardare gli utenti con pubblicità indesiderate, pop-ups, banner 75 00:06:17,480 --> 00:06:19,040 e reindirizzamenti. 76 00:06:19,040 --> 00:06:26,040 Tuttavia, l'adware traccia frequentemente il comportamento dell'utente per servire annunci mirati e può aprire la porta 77 00:06:26,040 --> 00:06:30,160 a minacce più maligne per entrare nel sistema. 78 00:06:30,160 --> 00:06:32,840 Ancora più pericolosi sono i rootkits. 79 00:06:32,840 --> 00:06:38,680 Questi sono pezzi furtivi di malware progettati per ottenere e mantenere l'accesso privilegiato a 80 00:06:38,680 --> 00:06:41,720 un sistema mentre nascondono la loro presenza. 81 00:06:41,720 --> 00:06:48,020 I rootkits possono disabilitare gli strumenti di sicurezza e creare backdoors, rendendoli incredibilmente 82 00:06:48,020 --> 00:06:50,760 difficili da rilevare e rimuovere. 83 00:06:50,760 --> 00:06:54,120 Infine, abbiamo bots e key loggers. 84 00:06:54,120 --> 00:06:59,800 Un bot è un dispositivo infetto e controllato remotamente da un attaccante. 85 00:06:59,800 --> 00:07:04,800 Quando collegato con altri sistemi compromessi, diventa parte di una botnet, che può 86 00:07:04,800 --> 00:07:10,640 essere usata per operazioni su larga scala come campagne spam o attacchi distributed denial-of-service 87 00:07:10,640 --> 00:07:12,640 DDoS. 88 00:07:12,640 --> 00:07:19,160 Nel frattempo, i key loggers operano silenziosamente in background, registrando ogni battitura 89 00:07:19,160 --> 00:07:21,840 digitata su una macchina infetta. 90 00:07:21,840 --> 00:07:27,680 Questo permette agli attaccanti di raccogliere dati sensibili come password, numeri di carte di credito 91 00:07:27,680 --> 00:07:31,040 e comunicazioni confidenziali. 92 00:07:31,040 --> 00:07:35,560 Comprendere queste forme di malware è essenziale per costruire forti strategie difensive 93 00:07:35,560 --> 00:07:39,840 e mantenere l'integrità del sistema. 94 00:07:39,840 --> 00:07:44,960 La Malware analysis è un processo complesso e tecnico che richiede l'uso di strumenti 95 00:07:44,960 --> 00:07:45,960 specializzati. 96 00:07:45,960 --> 00:07:51,520 Questi strumenti giocano un ruolo critico nell'aiutare gli analisti a comprendere la struttura, il comportamento 97 00:07:51,600 --> 00:07:54,600 e l'impatto del software dannoso. 98 00:07:54,600 --> 00:08:00,760 Che l'obiettivo sia fare reverse engineering del codice o osservare come il malware si comporta in un 99 00:08:00,760 --> 00:08:05,280 ambiente controllato, avere gli strumenti giusti rende il processo più efficiente e 100 00:08:05,280 --> 00:08:06,280 accurato. 101 00:08:06,280 --> 00:08:11,520 Diamo un'occhiata ad alcuni degli strumenti più ampiamente usati ed efficaci nel campo. 102 00:08:11,520 --> 00:08:16,280 Uno degli strumenti leader nella malware analysis oggi è Ghidra. 103 00:08:16,280 --> 00:08:22,440 Sviluppato dalla National Security Agency, la NSA, Ghidra è un potente strumento open-source 104 00:08:22,440 --> 00:08:27,880 di reverse engineering progettato per analizzare codice compilato. 105 00:08:27,880 --> 00:08:35,040 Supporta una vasta gamma di architetture e formati eseguibili, rendendolo adatto 106 00:08:35,040 --> 00:08:37,840 per analizzare diversi tipi di malware. 107 00:08:37,840 --> 00:08:43,160 Con funzionalità come disassembly, decompilation e debugging integrato, 108 00:08:43,160 --> 00:08:50,880 Ghidra permette agli analisti di lavorare all'interno di un'interfaccia intuitiva mentre eseguono sia static 109 00:08:50,880 --> 00:08:54,160 che dynamic analysis. 110 00:08:54,160 --> 00:09:00,480 Le sue funzionalità collaborative e l'estendibilità lo rendono anche un favorito tra i ricercatori 111 00:09:00,480 --> 00:09:02,280 di sicurezza. 112 00:09:02,280 --> 00:09:09,600 Un altro strumento ampiamente rispettato si chiama IDA Pro, o IDA Free, è un 113 00:09:09,600 --> 00:09:16,200 disassembler e debugger commerciale spesso considerato il gold standard nel reverse engineering. 114 00:09:16,200 --> 00:09:23,120 IDA trasforma codice macchina complesso in assembly leggibile dall'uomo, dando agli analisti 115 00:09:23,120 --> 00:09:26,840 profonda visibilità su come funziona il malware. 116 00:09:26,840 --> 00:09:33,400 Include anche capacità di debugging che permettono ai ricercatori di interagire con e monitorare 117 00:09:33,400 --> 00:09:35,880 il malware in tempo reale. 118 00:09:35,880 --> 00:09:43,520 Per la Static analysis di malware Windows specificamente, PE Studio è una soluzione di riferimento. 119 00:09:43,520 --> 00:09:53,800 Questo strumento esamina i Portable Executables, ecco perché PE nel nome, senza eseguirli. 120 00:09:53,800 --> 00:09:54,800 Quindi è una Static analysis che offre intuizioni su elementi sospetti come nomi di 121 00:10:00,160 --> 00:10:06,000 sections, imported functions, dependencies e risorse incorporate. 122 00:10:06,000 --> 00:10:13,160 PE Studio è specialmente utile per segnalare rapidamente bandiere rosse e identificare 123 00:10:13,160 --> 00:10:18,600 comportamenti potenzialmente dannosi all'interno dei binaries Windows. 124 00:10:18,600 --> 00:10:20,840 Vediamo alcuni altri strumenti. 125 00:10:20,840 --> 00:10:27,480 Cuckoo Sandbox è un potente sistema automatizzato di malware analysis che permette ai ricercatori 126 00:10:27,480 --> 00:10:32,240 di eseguire file sospetti all'interno di un ambiente isolato sicuro. 127 00:10:32,240 --> 00:10:38,120 Questo strumento fornisce profonde intuizioni sul comportamento del software potenzialmente dannoso 128 00:10:38,120 --> 00:10:44,040 monitorando e riportando l'attività del file system, le comunicazioni di rete e le system 129 00:10:44,040 --> 00:10:45,040 calls. 130 00:10:45,040 --> 00:10:51,560 È specialmente efficace per la Dynamic analysis, permettendo agli analisti di capire come il malware 131 00:10:51,560 --> 00:10:55,720 appena scoperto o sconosciuto opera in tempo reale. 132 00:10:55,720 --> 00:11:02,440 Abbiamo visto Ghidra, usando Ghidra per decompilare il codice, scoprire una funzione nascosta che 133 00:11:02,440 --> 00:11:07,240 stabilisce una connessione a un server remoto e lancia una command line interface, per 134 00:11:07,240 --> 00:11:08,240 esempio. 135 00:11:08,240 --> 00:11:14,460 IDA, abbiamo visto che è anche per ispezionare attentamente il codice, l'analista 136 00:11:14,460 --> 00:11:19,400 identifica gli algoritmi che sono stati usati e le funzioni. 137 00:11:19,960 --> 00:11:27,280 PE Studio, rapidamente è molto buono per analizzare file eseguibili e tornando a 138 00:11:27,280 --> 00:11:32,200 Cuckoo Sandbox, considerate una situazione per esempio dove un analista di sicurezza riceve 139 00:11:32,200 --> 00:11:37,000 avvisi su allegati email dannosi, impiegano Cuckoo, diciamo Cuckoo 140 00:11:37,000 --> 00:11:39,000 Sandbox per eseguire in sicurezza. 141 00:11:39,000 --> 00:11:45,800 Quindi si tratta di esecuzione, esegue effettivamente il payload dannoso in un ambiente sicuro 142 00:11:45,800 --> 00:11:49,320 e monitora i file nell'ambiente virtuale. 143 00:11:49,320 --> 00:11:53,960 I risultati rivelano che gli allegati tentano di scaricare componenti dannosi 144 00:11:53,960 --> 00:11:58,360 multipli, incluso un key logger e uno strumento di accesso remoto. 145 00:11:58,360 --> 00:12:03,560 Armato di questa intelligence, il team mette rapidamente in quarantena le macchine 146 00:12:03,560 --> 00:12:07,800 colpite e implementa una patch mirata per salvaguardare la rete da 147 00:12:07,800 --> 00:12:10,800 minacce simili. 148 00:12:10,800 --> 00:12:15,640 Un altro strumento importante si chiama VirusTotal per la Static analysis, quindi di nuovo 149 00:12:15,640 --> 00:12:21,400 cercheremo di scoprire la maggior parte del comportamento, il comportamento dannoso che ha il file, 150 00:12:21,400 --> 00:12:24,280 insieme ad altre informazioni. 151 00:12:24,280 --> 00:12:29,960 È uno strumento, è uno strumento componente web, è facile caricare e fare upload dei 152 00:12:29,960 --> 00:12:34,600 binaries e vedere se è dannoso, quindi è un ottimo punto di partenza. 153 00:12:35,480 --> 00:12:39,800 Tuttavia, se vuoi fare più Static analysis, devi fare il 154 00:12:39,880 --> 00:12:46,840 decompile e andare con IDA o PE Studio per scoprire più informazioni. 155 00:12:46,840 --> 00:12:51,960 La Static analysis nel complesso è una tecnica fondamentale nella malware analysis che permette 156 00:12:51,960 --> 00:12:57,160 di esaminare la struttura interna e le caratteristiche di un file 157 00:12:57,160 --> 00:13:00,760 senza il rischio di eseguirlo, quindi questa è la differenza tra Static 158 00:13:00,760 --> 00:13:03,880 analysis e Dynamic analysis. 159 00:13:03,880 --> 00:13:08,600 Il codice del malware, i pattern comportamentali, l'impatto potenziale, tutti questi 160 00:13:08,600 --> 00:13:14,440 possono essere visti nella Static analysis, tuttavia nella Dynamic analysis 161 00:13:14,440 --> 00:13:20,760 l'esecuzione verrà fatta e possiamo identificare meglio e più sicuramente 162 00:13:20,760 --> 00:13:23,560 cosa sta succedendo in background. 163 00:13:23,560 --> 00:13:28,040 Una delle pratiche più comuni di Static analysis è verificare i valori 164 00:13:28,040 --> 00:13:36,280 hash del file come md5 o sha256, quindi VirusTotal o altri 165 00:13:36,280 --> 00:13:42,040 antivirus, prima vedono il valore hash del malware e se questo 166 00:13:42,040 --> 00:13:47,000 valore hash è simile a qualsiasi cosa nelle librerie o nel database sia stato in 167 00:13:47,000 --> 00:13:50,760 passato, allora classificano che questo è un virus. 168 00:13:50,760 --> 00:13:55,400 Queste impronte crittografiche servono come identificatori unici per i file e 169 00:13:55,400 --> 00:14:00,520 sono specialmente utili quando si controlla se un file è già stato catalogato 170 00:14:00,520 --> 00:14:04,600 su un database malware. Per esempio, usando un semplice comando 171 00:14:04,600 --> 00:14:12,840 come sha256sum e poi il file o md5sum e il file nel terminale Linux 172 00:14:12,840 --> 00:14:16,360 puoi generare un valore hash di questo file. 173 00:14:16,360 --> 00:14:20,440 Questo può essere poi incrociato con repository di malware normali per 174 00:14:20,440 --> 00:14:23,640 determinare se il file è stato riconosciuto 175 00:14:23,640 --> 00:14:28,920 signature dannosa. Questa tecnica di comparazione hash non solo velocizza 176 00:14:28,920 --> 00:14:33,240 il triage iniziale ma aiuta anche a garantire coerenza attraverso le 177 00:14:33,240 --> 00:14:39,000 investigazioni. Se viene trovata una corrispondenza l'analista può accedere rapidamente a 178 00:14:39,000 --> 00:14:44,360 report di analisi precedenti, guide di rimediazione o indicators of compromise, 179 00:14:44,360 --> 00:14:49,320 tutti insieme automaticamente perché è stato registrato in passato. 180 00:14:49,320 --> 00:14:56,280 Anche se non viene trovata corrispondenza il valore hash serve comunque come un affidabile 181 00:14:56,280 --> 00:15:02,040 punto di riferimento per il tracciamento futuro. Come primo passo nella Static analysis 182 00:15:02,040 --> 00:15:06,360 generare e controllare gli hash pone le basi per una investigazione 183 00:15:06,360 --> 00:15:10,520 più profonda a livello di codice usando strumenti come PE Studio, 184 00:15:10,520 --> 00:15:14,840 Ghidra o IDA. 185 00:15:15,000 --> 00:15:19,240 Un'altra tecnica essenziale di Static analysis comporta l'ispezione delle strings 186 00:15:19,240 --> 00:15:23,080 dentro il binario usando il comando strings. 187 00:15:23,080 --> 00:15:27,000 Questo strumento estrae tutto il testo ASCII 188 00:15:27,000 --> 00:15:31,400 e Unicode stampabile trovato all'interno di un campione malware 189 00:15:31,480 --> 00:15:36,440 offrendo un modo non intrusivo per raccogliere indizi sul suo funzionamento interno. 190 00:15:36,440 --> 00:15:42,360 L'output rivela spesso URL hard-coded, indirizzi IP, comandi 191 00:15:42,360 --> 00:15:46,920 sospetti, comandi di errore, messaggi di errore o persino 192 00:15:46,920 --> 00:15:51,000 credenziali incorporate, informazioni che possono suggerire 193 00:15:51,000 --> 00:15:55,800 lo scopo del malware o indicare la sua infrastruttura di command and control. 194 00:15:55,800 --> 00:16:01,000 Quindi più informazioni su come questo malware interagisce con altri 195 00:16:01,000 --> 00:16:06,840 sistemi o funzioni. Per esempio, eseguendo strings, il comando 196 00:16:06,840 --> 00:16:10,440 strings e poi il campione malware o un file binario, 197 00:16:10,440 --> 00:16:16,920 un analista potrebbe scoprire voci come www, maliciousdomain.com, 198 00:16:16,920 --> 00:16:20,680 bitcoinaddress.com o qualsiasi cosa, 199 00:16:20,760 --> 00:16:26,760 credenziali admin password, connettersi al server come una funzione 200 00:16:26,760 --> 00:16:33,400 che si connette a un server o infiltra o imposta una finestra aperta 201 00:16:33,400 --> 00:16:37,880 che suggerisce tentativi di accesso non autorizzato o comunicazione remota. 202 00:16:37,880 --> 00:16:44,840 Quindi strings leggibili, testo ASCII possono presentare molte informazioni 203 00:16:44,840 --> 00:16:49,080 sul binario. Ugualmente importante è l'analisi dei 204 00:16:49,080 --> 00:16:54,440 file headers che fornisce una visione più profonda nella struttura dell'eseguibile 205 00:16:54,440 --> 00:16:59,560 e comportamento per malware Windows. Strumenti come PE Studio 206 00:16:59,560 --> 00:17:05,240 offrono un'interfaccia intuitiva per esaminare il portable execution 207 00:17:05,240 --> 00:17:09,080 format, evidenziando anomalie in sections, imports, 208 00:17:09,080 --> 00:17:13,560 exports e altri attributi critici. C'è un altro strumento chiamato 209 00:17:13,560 --> 00:17:17,000 Dependency Walker con cui puoi recuperare effettivamente le 210 00:17:17,000 --> 00:17:20,920 dependencies del malware del binario 211 00:17:20,920 --> 00:17:26,440 con altre funzioni e così via. Su sistemi Unix o Linux, utility come 212 00:17:26,440 --> 00:17:32,200 objdump, object dump possono essere usate anche per estrarre e rivedere informazioni header 213 00:17:32,200 --> 00:17:35,480 come l'entry point del programma, 214 00:17:35,480 --> 00:17:41,320 layout delle sections e binaries linkati. Questi dettagli non solo aiutano a 215 00:17:41,320 --> 00:17:44,360 identificare la piattaforma target del malware e le 216 00:17:44,360 --> 00:17:47,960 capacità ma servono anche come indicatori di 217 00:17:47,960 --> 00:17:51,640 tecniche di obfuscation o patching usate per eludere 218 00:17:51,640 --> 00:17:58,360 per eludere il rilevamento. Per iniziare ad analizzare un eseguibile sospetto 219 00:17:58,360 --> 00:18:03,560 apriamo il file in PE Studio. Questo strumento fornisce una rapida panoramica della 220 00:18:03,560 --> 00:18:08,600 struttura del file includendo i suoi nomi delle sections, le imported libraries 221 00:18:08,600 --> 00:18:13,000 e altri metadati chiave. Per esempio, imports tipici 222 00:18:13,000 --> 00:18:20,680 potrebbero includere kernel32.dll o user32.dll e sections comuni come 223 00:18:20,680 --> 00:18:26,600 .text, .data e .rdata offrono intuizioni su dove codice e dati 224 00:18:26,600 --> 00:18:30,280 risiedono all'interno del binario. Per binaries Linux, simili 225 00:18:30,280 --> 00:18:34,600 informazioni possono essere recuperate usando il comando object dump, 226 00:18:34,600 --> 00:18:40,280 eseguendo objdump minus x e poi il file, 227 00:18:40,280 --> 00:18:43,720 rivela gli headers binari e le proprietà strutturali, 228 00:18:43,720 --> 00:18:49,560 offrendo una visione comparabile su come il file è costruito a un livello inferiore. 229 00:18:49,560 --> 00:18:55,720 Poi passiamo al disassembling del codice usando strumenti come Ghidra o IDA. 230 00:18:55,720 --> 00:18:59,960 Il Disassembly è un passo critico nel comprendere come il software del 231 00:18:59,960 --> 00:19:06,040 malware si comporta in quanto traduce il codice macchina grezzo in 232 00:19:06,040 --> 00:19:11,080 istruzioni assembly leggibili dall'uomo. Questo permette agli analisti di tracciare 233 00:19:11,080 --> 00:19:17,000 il flusso di esecuzione, esaminare la logica delle funzioni e rilevare comportamenti dannosi incorporati 234 00:19:17,000 --> 00:19:20,600 nel codice. Con Ghidra apriamo semplicemente il campione 235 00:19:20,600 --> 00:19:24,440 malware e lo strumento disassembla automaticamente il binario, 236 00:19:24,440 --> 00:19:27,400 presentando le istruzioni assembly accanto a 237 00:19:27,400 --> 00:19:31,000 un'interfaccia user-friendly per la navigazione e 238 00:19:31,080 --> 00:19:36,440 annotazione. Similarmente, in IDA, caricare l'eseguibile 239 00:19:36,440 --> 00:19:42,840 avvia un'analisi approfondita che produce un flusso di disassembly interattivo, 240 00:19:42,840 --> 00:19:46,680 evidenziando funzioni, strutture di controllo e riferimenti al codice 241 00:19:46,680 --> 00:19:50,600 del binario. Un tipico output disassemblato 242 00:19:50,600 --> 00:19:54,200 potrebbe includere istruzioni come 243 00:19:54,200 --> 00:20:00,920 MOV EAX, EBX, seguite da una CALL in un sistema esadecimale 244 00:20:00,920 --> 00:20:08,920 o decimale, mostrando come i dati vengono spostati e quali funzioni sono invocate. 245 00:20:08,920 --> 00:20:13,240 Indizi che possono aiutare i reverse engineers a comprendere 246 00:20:13,240 --> 00:20:17,080 l'intento e le capacità del malware. 247 00:20:17,080 --> 00:20:23,320 Per iniziare ad analizzare un campione malware lo apriamo in PE Studio come alternativa. 248 00:20:23,320 --> 00:20:26,440 Una volta caricato il file lo strumento presenta immediatamente 249 00:20:26,440 --> 00:20:29,880 una vista dettagliata dei metadati degli eseguibili. 250 00:20:29,880 --> 00:20:34,920 Questo include elementi strutturali come nomi delle sections, imported libraries 251 00:20:34,920 --> 00:20:39,160 e indicatori di potenziali comportamenti dannosi come se il file è 252 00:20:39,160 --> 00:20:43,800 packed o usa API functions sospette. 253 00:20:43,800 --> 00:20:50,120 Prestate particolare attenzione a imports insoliti, specialmente librerie 254 00:20:50,120 --> 00:20:54,760 di networking. Questo può suggerire che il malware è progettato per comunicare con 255 00:20:54,760 --> 00:21:00,200 un altro server remoto, un segno distintivo di un'attività di command and control. 256 00:21:00,200 --> 00:21:04,840 Oltre all'analisi strutturale possiamo estrarre contenuto leggibile dall'uomo 257 00:21:04,840 --> 00:21:08,760 dal malware usando l'utility strings come abbiamo spiegato. 258 00:21:08,760 --> 00:21:12,600 Questo strumento scansiona il binario per testo ASCII o Unicode 259 00:21:12,600 --> 00:21:17,880 che può includere hardcoded URLs, indirizzi IP, credenziali o messaggi 260 00:21:17,880 --> 00:21:21,800 di errore. Queste strings spesso forniscono indizi critici 261 00:21:21,800 --> 00:21:26,120 sul comportamento, l'infrastruttura o lo scopo del malware. 262 00:21:26,120 --> 00:21:29,640 Il comando è semplice, esegui strings e poi il binario 263 00:21:29,640 --> 00:21:33,320 e poi per esempio l'output potrebbe rivelare qualcosa come 264 00:21:33,320 --> 00:21:39,160 un URL o una password uguale a qualcosa, numeri di telefono, 265 00:21:39,160 --> 00:21:43,640 portafogli bitcoin o qualsiasi cosa. Tali scoperte possono 266 00:21:43,640 --> 00:21:46,760 portare a identificare un server di command and control o 267 00:21:46,760 --> 00:21:51,640 comprendere come il malware tenta di autenticarsi o propagarsi. 268 00:21:51,640 --> 00:21:55,880 Insieme tutti questi strumenti come PE Studio, strings 269 00:21:55,880 --> 00:21:59,320 e gli altri offrono un primo sguardo rapido ed efficace 270 00:21:59,320 --> 00:22:03,160 dentro un binario sconosciuto, ponendo le basi per 271 00:22:03,160 --> 00:22:10,360 una Static o Dynamic analysis più profonda. La Dynamic analysis è un passo essenziale 272 00:22:10,360 --> 00:22:15,080 nel processo di investigazione malware, fornendo intuizioni in tempo reale su come 273 00:22:15,160 --> 00:22:20,760 si comporta un file speciale quando eseguito. A differenza della Static analysis che 274 00:22:20,760 --> 00:22:26,360 ispeziona un file senza eseguirlo, la Dynamic analysis permette agli analisti di 275 00:22:26,360 --> 00:22:31,400 osservare il comportamento del malware mentre interagisce con il sistema operativo, 276 00:22:31,400 --> 00:22:35,720 il file system, la rete e altre risorse di sistema. 277 00:22:35,720 --> 00:22:39,560 Questo tipo di analisi può scoprire azioni nascoste 278 00:22:39,560 --> 00:22:43,000 come tentativi di alterare file di sistema, 279 00:22:43,000 --> 00:22:48,120 avviare comunicazioni di rete o persino stabilire fattori per il controllo remoto, 280 00:22:48,120 --> 00:22:53,320 aiutando gli investigatori a comprendere la piena portata della minaccia. 281 00:22:53,320 --> 00:22:58,520 Impostare un ambiente di controllo completo per la Dynamic analysis è cruciale per 282 00:22:58,520 --> 00:23:02,360 garantire che il malware non causi alcun danno al sistema primario 283 00:23:02,360 --> 00:23:07,160 o si diffonda agli altri dispositivi. Uno dei modi più efficaci per 284 00:23:07,160 --> 00:23:11,400 compiere questo è usare una virtual machine, una VM. 285 00:23:11,480 --> 00:23:16,600 Una VM fornisce un ambiente isolato in cui il malware può essere eseguito in sicurezza, 286 00:23:16,600 --> 00:23:19,960 permettendo agli analisti di osservare il suo comportamento 287 00:23:19,960 --> 00:23:23,320 senza rischiare l'integrità della macchina host. 288 00:23:23,320 --> 00:23:29,080 VirtualBox o VMware sono piattaforme comunemente usate per creare VM. 289 00:23:29,080 --> 00:23:35,560 In Linux c'è KVM e permettono ai ricercatori di creare un ambiente sandbox 290 00:23:35,560 --> 00:23:39,800 con un sistema operativo specificato che rispecchia da vicino 291 00:23:39,800 --> 00:23:45,960 la macchina target. Facendo così i ricercatori possono eseguire il malware 292 00:23:45,960 --> 00:23:50,120 in un setting controllato simulando l'ambiente dove è probabile che avvenga l'attacco, 293 00:23:50,120 --> 00:23:56,040 per esempio un sistema Windows 7, Windows 10 o Windows 11. 294 00:23:56,040 --> 00:23:59,800 Per garantire che il malware rimanga contenuto e che non si diffonda alle 295 00:23:59,800 --> 00:24:04,200 altre macchine o sistemi è importante configurare 296 00:24:04,200 --> 00:24:07,960 le impostazioni di rete della VM per l'isolamento, per non 297 00:24:07,960 --> 00:24:12,840 averla come bridge mode. Inoltre è meglio avere l'ultima versione 298 00:24:12,840 --> 00:24:15,960 di VirtualBox giusto in caso perché ci sono 299 00:24:15,960 --> 00:24:20,920 vulnerabilità nelle versioni più vecchie e l'isolamento potrebbe rompersi. 300 00:24:20,920 --> 00:24:26,280 Questo può essere ottenuto impostando la VM con l'adattatore host only 301 00:24:26,280 --> 00:24:30,440 o configurazione internal network sulle interfacce di rete 302 00:24:30,440 --> 00:24:34,680 che connette la VM dall'internet esterno pur permettendo 303 00:24:34,680 --> 00:24:37,960 interazione tra la virtual machine e l'host. 304 00:24:37,960 --> 00:24:42,360 Questo setup impedisce al malware di comunicare con server esterni 305 00:24:42,360 --> 00:24:47,160 o la macchina locale o esfiltrare dati sensibili pur permettendo 306 00:24:47,160 --> 00:24:51,320 al malware di eseguirsi e performare le sue azioni intese all'interno 307 00:24:51,320 --> 00:24:55,960 dell'ambiente isolato. Questo garantisce che gli analisti possano osservare 308 00:24:55,960 --> 00:25:00,600 la piena estensione del comportamento del malware incluse le richieste 309 00:25:00,600 --> 00:25:04,520 di rete. Potrebbero usare anche Wireshark per 310 00:25:04,520 --> 00:25:09,640 investigare le richieste di rete che il malware fa in altri sistemi. 311 00:25:09,640 --> 00:25:15,000 Modifiche ai file di sistema e altre potenziali azioni dannose 312 00:25:15,000 --> 00:25:19,800 tutto mantenendo il sistema reale sicuro da compromissione. 313 00:25:19,800 --> 00:25:23,800 Oltre a impostare l'ambiente VM isolato è cruciale 314 00:25:23,800 --> 00:25:27,160 impiegare strumenti di monitoraggio per tracciare l'attività del malware 315 00:25:27,160 --> 00:25:32,280 come abbiamo detto Wireshark. Strumenti come Wireshark possono essere usati per catturare il 316 00:25:32,280 --> 00:25:36,760 traffico di rete mentre Process Explorer o Procmon 317 00:25:36,760 --> 00:25:41,800 di Sysinternals possono fornire visibilità nei processi e nell'attività del file system 318 00:25:41,800 --> 00:25:46,280 iniziata dal malware. Questi strumenti permettono 319 00:25:46,280 --> 00:25:49,800 agli analisti di identificare Indicators of Compromise 320 00:25:49,800 --> 00:25:53,560 o come li chiamiamo IOCs che sono molto importanti 321 00:25:53,560 --> 00:25:58,280 per la threat intelligence come connessioni di rete inaspettate 322 00:25:58,280 --> 00:26:02,920 o modifiche ai file sospette dando loro una comprensione più profonda delle 323 00:26:02,920 --> 00:26:06,840 capacità e obiettivi del malware. Combinando 324 00:26:06,840 --> 00:26:11,400 la Dynamic analysis con un setup isolato sicuro 325 00:26:11,400 --> 00:26:15,000 i professionisti della cybersecurity possono identificare la gamma completa del 326 00:26:15,000 --> 00:26:19,160 comportamento del malware e sviluppare appropriate counter measures o 327 00:26:19,160 --> 00:26:25,880 analizzare o trovare qualsiasi kill chain del malware 328 00:26:25,880 --> 00:26:32,280 o kill switch per disabilitare il malware se è possibile. 329 00:26:32,280 --> 00:26:37,400 Quindi nella Dynamic analysis una volta che il campione malware è eseguito all'interno di una 330 00:26:37,400 --> 00:26:41,560 virtual machine è critico monitorare i cambiamenti di sistema per comprendere 331 00:26:41,560 --> 00:26:45,560 l'impatto del malware sull'ambiente. 332 00:26:45,560 --> 00:26:49,400 Questi cambiamenti possono includere modifiche al file system 333 00:26:49,400 --> 00:26:55,080 come la creazione o cancellazione di file, registry edits come aggiunta o 334 00:26:55,080 --> 00:27:00,920 alterazione di chiavi e valori e cambiamenti più ampi alla system configuration che 335 00:27:00,920 --> 00:27:04,920 potrebbero indicare persistence o privilege escalation. 336 00:27:04,920 --> 00:27:08,840 Per catturare questa attività in tempo reale possiamo usare Procmon 337 00:27:08,840 --> 00:27:13,000 abbreviazione per Process Monitor. Questo 338 00:27:13,000 --> 00:27:20,200 potente strumento di Sysinternals ci permette di tracciare system events di basso livello 339 00:27:20,200 --> 00:27:23,880 inclusi accesso ai file, registry modifications 340 00:27:23,880 --> 00:27:27,960 e le process operations tutti i quali sono essenziali per analizzare il 341 00:27:27,960 --> 00:27:31,560 comportamento del malware. Per eseguire Procmon e loggare questi eventi 342 00:27:31,560 --> 00:27:35,800 su un file possiamo usare il comando Procmon 343 00:27:35,800 --> 00:27:41,080 -BackingFile e poi il file di log. Mentre il malware gira Procmon cattura uno 344 00:27:41,080 --> 00:27:45,080 stream live delle attività di sistema per esempio sotto l'attività del file system 345 00:27:45,080 --> 00:27:50,520 potremmo vedere indicatori come CreateFile 346 00:27:50,520 --> 00:27:54,360 e un path name, WriteFile e un path name. 347 00:27:54,360 --> 00:28:01,400 Questo significa che questo binario crea un file o scrive un 348 00:28:01,400 --> 00:28:05,640 file e così via. Per i cambiamenti di registry potresti 349 00:28:05,640 --> 00:28:08,680 osservare un RegSetValue e poi il 350 00:28:08,680 --> 00:28:14,040 path name del valore di registry. Questi tipi di voci suggeriscono che il malware non sta 351 00:28:14,040 --> 00:28:17,800 solo scrivendo nuovi file ma anche tentando di stabilire 352 00:28:17,800 --> 00:28:22,440 persistence modificando le startup registry keys. 353 00:28:22,440 --> 00:28:28,120 Puoi vedere che sta cambiando il valore di registry su Microsoft Windows 354 00:28:28,120 --> 00:28:33,400 CurrentVersion slash Run dove quando metti slash Run è come 355 00:28:33,400 --> 00:28:37,160 eseguire automaticamente all'avvio quando windows parte. 356 00:28:37,240 --> 00:28:42,440 Identificare tale comportamento aiuta gli analisti a comprendere il ciclo di vita completo del 357 00:28:42,440 --> 00:28:48,280 malware incluso come si incorpora all'interno del sistema. 358 00:28:48,280 --> 00:28:52,680 Nella Dynamic analysis osservando il comportamento di rete del malware 359 00:28:52,680 --> 00:28:55,800 gli analisti possono rilevare comunicazioni dannose 360 00:28:55,800 --> 00:28:59,960 scoprire gli obiettivi del malware e raccogliere prove per aiutare a fermare 361 00:28:59,960 --> 00:29:04,040 ulteriori attacchi. Wireshark è uno degli strumenti più ampiamente usati 362 00:29:04,040 --> 00:29:08,680 per questo compito. Permette agli analisti di sicurezza di catturare e 363 00:29:08,680 --> 00:29:13,160 ispezionare il traffico di rete in tempo reale. Impostando Wireshark all'interno di una 364 00:29:13,160 --> 00:29:17,560 virtual machine che è isolata dall'host e dalle reti esterne 365 00:29:17,560 --> 00:29:22,200 gli analisti possono tracciare tutte le interazioni di rete iniziate dal malware 366 00:29:22,200 --> 00:29:25,240 senza il rischio di diffondersi in altri sistemi. 367 00:29:25,240 --> 00:29:30,600 Una volta che Wireshark è in esecuzione gli analisti iniziano a catturare la sessione sulla VM 368 00:29:30,600 --> 00:29:34,840 l'interfaccia di rete virtuale isolandola da internet. 369 00:29:34,840 --> 00:29:39,400 Lo strumento cattura tutti i pacchetti inviati e ricevuti dalla VM 370 00:29:39,400 --> 00:29:43,160 inclusa qualsiasi richiesta dannosa a server esterni. 371 00:29:43,160 --> 00:29:46,840 Per esempio se il malware prova a scaricare payloads addizionali 372 00:29:46,840 --> 00:29:52,120 o caricare dati rubati queste richieste HTTP o altri protocolli di rete 373 00:29:52,120 --> 00:29:57,240 appariranno nei log di cattura di Wireshark. I dati catturati potrebbero mostrare 374 00:29:57,240 --> 00:30:03,720 cose come GET malicious payload o metodi POST post upload data 375 00:30:03,720 --> 00:30:06,600 indicando che il malware sta recuperando codice addizionale 376 00:30:06,600 --> 00:30:12,120 o inviando informazioni rubate. Analizzando il traffico di rete catturato 377 00:30:12,120 --> 00:30:16,440 gli analisti possono identificare pattern che è molto importante inclusi i 378 00:30:16,440 --> 00:30:19,800 domini, gli indirizzi IP a cui il malware si sta 379 00:30:19,800 --> 00:30:24,600 connettendo e i protocolli di comunicazione che sono stati usati dal malware. 380 00:30:24,600 --> 00:30:28,520 Questi indicatori possono essere usati per bloccare future connessioni al command and 381 00:30:28,520 --> 00:30:31,800 control server usando un firewall per esempio 382 00:30:31,800 --> 00:30:36,440 prevenire ulteriore data exfiltration e assistere nell'identificazione 383 00:30:36,440 --> 00:30:41,160 di altri sistemi compromessi. Questo monitoraggio di rete è essenziale e molto 384 00:30:41,160 --> 00:30:44,840 importante per ottenere una comprensione completa 385 00:30:44,840 --> 00:30:49,160 del comportamento di rete del malware durante l'esecuzione 386 00:30:49,160 --> 00:30:52,920 e per aiutare a prevenire future infezioni. 387 00:30:52,920 --> 00:30:57,400 Quindi come possiamo vedere la Dynamic malware analysis è un processo 388 00:30:57,400 --> 00:31:01,800 cruciale che permette agli analisti di osservare il comportamento di un file sospetto in 389 00:31:01,800 --> 00:31:05,720 tempo reale. Cuckoo Sandbox fornisce un ambiente controllato e 390 00:31:05,720 --> 00:31:09,480 isolato come un modo automatizzato per fare la dynamic 391 00:31:09,480 --> 00:31:13,080 analysis per eseguire in sicurezza campioni di 392 00:31:13,080 --> 00:31:17,080 malware garantendo che possano essere studiati senza causare danno al 393 00:31:17,080 --> 00:31:19,640 sistema. Per iniziare devi prima 394 00:31:19,640 --> 00:31:24,840 impostare un Cuckoo Sandbox questo comporta installare Cuckoo sulla tua 395 00:31:24,840 --> 00:31:30,280 macchina o un'altra macchina o una VM e configurarlo all'interno di un 396 00:31:30,280 --> 00:31:33,720 ambiente virtuale come VirtualBox o VMware. 397 00:31:33,720 --> 00:31:37,960 Il malware verrebbe eseguito dentro la VM che è un sistema isolato che 398 00:31:37,960 --> 00:31:44,120 imita il sistema operativo target. Questa VM è connessa a Cuckoo permettendo 399 00:31:44,120 --> 00:31:48,680 allo strumento di monitorare il comportamento e le azioni del malware durante l'esecuzione. 400 00:31:48,680 --> 00:31:53,080 Successivamente il campione malware viene caricato nell'interfaccia di Cuckoo. 401 00:31:53,080 --> 00:31:56,600 Cuckoo poi prende uno snapshot dell'ambiente della VM 402 00:31:56,600 --> 00:32:01,080 fornendo un punto di partenza pulito per l'analisi. 403 00:32:01,080 --> 00:32:05,480 Una volta che il malware inizia l'esecuzione Cuckoo Sandbox monitora continuamente una 404 00:32:05,480 --> 00:32:08,840 varietà di azioni chiave per tracciare il comportamento del malware 405 00:32:08,840 --> 00:32:13,800 proprio come fai manualmente usando Wireshark. La prima area di monitoraggio 406 00:32:13,800 --> 00:32:19,160 sono i cambiamenti al file system. Cuckoo traccia qualsiasi nuovo file, modifiche o 407 00:32:19,160 --> 00:32:23,800 cancellazioni che il malware tenta. Questo può indicare se il malware sta provando 408 00:32:23,800 --> 00:32:28,520 a installare componenti addizionali o cancellare file di sistema importanti. 409 00:32:28,520 --> 00:32:33,160 Per malware basato su Windows Cuckoo traccia anche i cambiamenti di registry. 410 00:32:33,160 --> 00:32:39,000 Cerca qualsiasi nuova voce di registry o modifiche fatte dal malware. 411 00:32:39,000 --> 00:32:42,360 Questi cambiamenti sono spesso fatti per garantire che il malware 412 00:32:42,360 --> 00:32:46,920 persista e venga caricato attraverso i riavvii o sia in grado per esempio di lanciarsi 413 00:32:46,920 --> 00:32:51,240 automaticamente quando il sistema parte. Può essere anche per 414 00:32:51,240 --> 00:32:55,400 disabilitare il firewall o disabilitare il defender cambiando il valore di registry 415 00:32:55,400 --> 00:32:59,080 per esempio. Un altro aspetto chiave del monitoraggio è 416 00:32:59,080 --> 00:33:03,320 l'attività dei processi. Cuckoo Sandbox tiene d'occhio i 417 00:33:03,320 --> 00:33:08,920 processi in esecuzione come Procmon nella VM controllando per qualsiasi nuovo processo 418 00:33:09,000 --> 00:33:13,160 iniziato dal malware. Questa potrebbe essere un'indicazione che il malware 419 00:33:13,160 --> 00:33:19,560 sta tentando di eseguire codice dannoso addizionale o compiere azioni nocive. 420 00:33:19,560 --> 00:33:23,000 Forse l'aspetto più critico della Dynamic analysis 421 00:33:23,000 --> 00:33:27,240 è l'attività di rete che abbiamo menzionato prima. Cuckoo monitora qualsiasi 422 00:33:27,240 --> 00:33:30,600 connessione in uscita che il malware tenta di 423 00:33:30,600 --> 00:33:34,200 stabilire, specialmente server di command and control. 424 00:33:34,200 --> 00:33:37,640 Questo può rivelare se il malware sta provando a comunicare 425 00:33:37,640 --> 00:33:41,800 con server remoti, esfiltrare dati o scaricare 426 00:33:41,800 --> 00:33:46,680 payloads dannosi addizionali. Una volta che il malware ha finito di eseguirsi 427 00:33:46,680 --> 00:33:51,480 Cuckoo genera un report dettagliato. Questo report include tutte le attività 428 00:33:51,480 --> 00:33:55,640 tracciate fornendo agli analisti preziose intuizioni sul comportamento del 429 00:33:55,640 --> 00:33:59,400 malware e aiutandoli a sviluppare difese o 430 00:33:59,400 --> 00:34:05,080 comprendere meglio il malware per prevenire futuri attacchi. 431 00:34:05,080 --> 00:34:08,600 Quando si esegue un campionamento malware in Cuckoo Sandbox uno degli aspetti più 432 00:34:08,600 --> 00:34:12,520 intuitivi dell'analisi è l'abilità di osservare 433 00:34:12,520 --> 00:34:16,680 cambiamenti al file system e attività di rete in un ambiente isolato 434 00:34:16,680 --> 00:34:20,360 controllato. Cuckoo agisce come una sandbox 435 00:34:20,360 --> 00:34:24,040 automatizzata che monitora il comportamento del malware in 436 00:34:24,040 --> 00:34:27,800 tempo reale permettendo agli analisti di comprendere la sua piena portata senza 437 00:34:27,800 --> 00:34:31,960 compromettere il sistema. Il componente chiave di questa 438 00:34:31,960 --> 00:34:37,080 behavioral analysis è identificare come il malware interagisce con il 439 00:34:37,080 --> 00:34:41,160 file system. Cuckoo fornisce log dettagliati su file appena 440 00:34:41,160 --> 00:34:46,680 creati, modificati o cancellati. Per esempio, quando il malware viene eseguito 441 00:34:46,680 --> 00:34:49,640 potrebbe creare nuovi file come configuration files, 442 00:34:49,640 --> 00:34:53,880 dropped payloads o file di log temporanei. 443 00:34:53,880 --> 00:34:58,120 Questi nuovi file possono servire scopi diversi alcuni forse necessari per 444 00:34:58,120 --> 00:35:01,160 mantenere persistence mentre altri potrebbero contenere dati 445 00:35:01,160 --> 00:35:05,800 rubati o istruzioni di comando. Oltre alla creazione di file, il malware 446 00:35:05,800 --> 00:35:11,160 spesso modifica file di sistema esistenti. Questo può includere rimpiazzare o alterare 447 00:35:11,160 --> 00:35:15,720 eseguibili legittimi con versioni dannose, una tattica comune 448 00:35:15,720 --> 00:35:20,600 usata per dirottare funzionalità di sistema. Per esempio, Cuckoo potrebbe riportare che l'eseguibile 449 00:35:20,600 --> 00:35:25,800 principale di sistema come cmd.exe 450 00:35:25,800 --> 00:35:29,960 è stato alterato un'indicazione che il malware sta tentando di sovvertire 451 00:35:29,960 --> 00:35:34,760 o ottenere controllo di utility integrate di Windows come la command line. 452 00:35:34,760 --> 00:35:38,520 Modifiche come queste sono forti indicators of compromise 453 00:35:38,520 --> 00:35:41,800 e possono suggerire un tentativo di scalare privilegi o eludere 454 00:35:41,800 --> 00:35:46,200 il rilevamento. Il terzo comportamento comune è la cancellazione di file. 455 00:35:46,200 --> 00:35:51,320 Il malware può cancellare specifici file di sistema o di log per nascondere questa attività, 456 00:35:51,320 --> 00:35:54,680 rimuovere prove o disabilitare software di sicurezza. 457 00:35:54,680 --> 00:35:58,520 Questa tattica aiuta a garantire la sua attività, 458 00:35:58,600 --> 00:36:03,000 rimuovere prove o disabilitare il software. 459 00:36:03,000 --> 00:36:07,640 Queste azioni dannose rimangono non rilevate per quanto possibile. 460 00:36:07,640 --> 00:36:12,840 Tracciare tali cancellazioni attraverso il sistema di reporting della sandbox 461 00:36:12,840 --> 00:36:17,160 può essere vitale per la ricostruzione forense e se questi 462 00:36:17,160 --> 00:36:22,680 log e file sono cancellati la timeline dell'infezione potrebbe essere persa. 463 00:36:22,680 --> 00:36:26,520 Ecco un esempio semplificato da un report Cuckoo. 464 00:36:26,520 --> 00:36:31,880 Sta creando file quindi il malware sta creando un file.exe dannoso 465 00:36:31,880 --> 00:36:35,320 e quando malicious payload.dll, naturalmente questi 466 00:36:35,320 --> 00:36:39,560 sono solo esempi. I file normali avranno un nome generico come 467 00:36:39,560 --> 00:36:45,480 chrome.exe o firefox.exe o qualsiasi cosa ma è normale. 468 00:36:45,480 --> 00:36:49,320 Ha modificato il file cmd sospettato di essere stato 469 00:36:49,320 --> 00:36:54,040 dirottato. Analizzando i cambiamenti gli analisti di sicurezza possono mappare il 470 00:36:54,040 --> 00:36:57,800 comportamento del malware. Gli indicators of compromise 471 00:36:57,800 --> 00:37:02,360 in questo caso sono il comportamento che abbiamo visto prima. 472 00:37:02,360 --> 00:37:07,320 In combinazione con l'analisi del file system la sandbox traccia le comunicazioni 473 00:37:07,320 --> 00:37:10,600 di rete e fornisce tutti i dettagli agli 474 00:37:10,600 --> 00:37:15,240 analisti. Monitorare le network requests fornisce ulteriore prova delle 475 00:37:15,240 --> 00:37:18,440 capacità intese del malware ed è importante 476 00:37:18,440 --> 00:37:23,960 combinare ogni dato insieme ed estrarre gli indicators of compromise. 477 00:37:24,920 --> 00:37:30,200 Quindi YARA è un potente strumento usato per identificare e rilevare malware 478 00:37:30,200 --> 00:37:34,120 creando regole personalizzate che si concentrano su pattern specifici. 479 00:37:34,120 --> 00:37:37,960 Questi pattern possono includere file signatures, byte sequences o 480 00:37:37,960 --> 00:37:40,680 regular expressions che rendono YARA uno 481 00:37:40,680 --> 00:37:43,960 strumento indispensabile nell'analizzare file sospetti 482 00:37:43,960 --> 00:37:48,360 e condurre un approfondito threat hunting. È particolarmente prezioso per 483 00:37:48,360 --> 00:37:51,800 ricercatori e responders impegnati in investigazioni malware in tempo 484 00:37:51,800 --> 00:37:55,960 reale poiché permette identificazioni precise ed efficaci 485 00:37:55,960 --> 00:38:01,880 di file dannosi. Una delle strategie chiave di YARA risiede nella 486 00:38:01,880 --> 00:38:06,200 signature-based detection dove le regole sono create basandosi su 487 00:38:06,200 --> 00:38:10,600 firme malware ben note intendendo byte sequences 488 00:38:10,600 --> 00:38:14,840 o strings che puntano alla presenza di contenuto dannoso. 489 00:38:14,840 --> 00:38:19,000 Questi pattern possono essere simbolizzati come una particolare sequenza di bytes 490 00:38:19,000 --> 00:38:24,440 trovata in un pezzo di malware o una combinazione più complessa di pattern. 491 00:38:24,440 --> 00:38:29,960 Usando queste regole gli analisti possono identificare rapidamente malware che corrisponde 492 00:38:29,960 --> 00:38:35,000 a specifiche firme note, aiutando nel rilevamento rapido. 493 00:38:35,000 --> 00:38:38,680 Oltre alle sue capacità di signature-based detection YARA offre 494 00:38:38,680 --> 00:38:43,960 notevole flessibilità. Gli utenti possono personalizzare le loro regole 495 00:38:43,960 --> 00:38:49,160 sfruttando logical operators, regular expressions e specifiche 496 00:38:49,160 --> 00:38:53,080 condizioni. Questo permette agli analisti di creare regole 497 00:38:53,080 --> 00:38:56,920 che possono rilevare anche le minacce più complesse e in evoluzione 498 00:38:56,920 --> 00:39:02,520 come malware polimorfico che altera il suo codice per evitare il rilevamento. 499 00:39:02,520 --> 00:39:05,800 La flessibilità di YARA garantisce che possa adattarsi 500 00:39:05,800 --> 00:39:12,280 a minacce nuove ed emergenti rendendolo uno strumento di riferimento per i professionisti della sicurezza. 501 00:39:12,280 --> 00:39:18,040 Un altro vantaggio significativo di YARA è il suo supporto cross-platform. 502 00:39:18,040 --> 00:39:22,520 Lo strumento può essere usato su Linux, Windows o Mac OS 503 00:39:22,520 --> 00:39:27,480 rendendolo versatile per team di sicurezza che lavorano attraverso diversi sistemi 504 00:39:27,480 --> 00:39:31,880 operativi. Che tu stia analizzando eseguibili basati su Windows, 505 00:39:31,880 --> 00:39:36,760 file PDF, documenti, campioni malware Linux o 506 00:39:36,760 --> 00:39:40,280 investigando traffico di rete su un sistema Mac OS 507 00:39:40,280 --> 00:39:44,520 YARA fornisce una soluzione consistente ed efficiente per rilevare minacce 508 00:39:44,520 --> 00:39:50,120 indipendentemente dall'ambiente e dal tipo di file. YARA è anche altamente efficiente in 509 00:39:50,120 --> 00:39:54,440 termini di identificazione malware. Può scansionare una varietà di fonti dati 510 00:39:54,440 --> 00:39:59,000 incluso qualsiasi file, memory dumps, network traffic 511 00:39:59,000 --> 00:40:03,320 per identificare pattern dannosi. Questa versatilità garantisce che possa essere 512 00:40:03,320 --> 00:40:07,000 usato in vari stadi di un attacco per rilevare malware 513 00:40:07,000 --> 00:40:12,760 prima, durante o dopo l'esecuzione, fornendo uno strumento essenziale per monitorare 514 00:40:12,760 --> 00:40:16,840 e mitigare minacce attraverso una vasta gamma di vettori d'attacco. 515 00:40:16,840 --> 00:40:20,360 Una tipica regola YARA consiste di diversi componenti. 516 00:40:20,360 --> 00:40:24,440 Il rule name serve come un identificatore unico per ogni regola 517 00:40:24,440 --> 00:40:29,960 rendendolo facile da referenziare e applicare. Le meta informazioni forniscono 518 00:40:29,960 --> 00:40:33,720 contesto addizionale come una descrizione, autore 519 00:40:33,720 --> 00:40:38,280 e la data di creazione che aiuta con la gestione delle regole. 520 00:40:38,280 --> 00:40:43,240 La sezione string è dove gli analisti definiscono i pattern specifici che 521 00:40:43,240 --> 00:40:48,040 la regola cercherà in un file secondo la stringa. 522 00:40:48,040 --> 00:40:51,960 Questi pattern potrebbero essere byte sequences anche 523 00:40:51,960 --> 00:40:56,840 insieme a stringhe di testo o regular expressions che possono indicare 524 00:40:56,840 --> 00:41:01,320 attività dannosa. Infine la sezione condition 525 00:41:01,320 --> 00:41:06,600 definisce la logica che determina quando la regola deve essere attivata. 526 00:41:06,600 --> 00:41:11,480 Può specificare che certi pattern devono apparire insieme 527 00:41:11,480 --> 00:41:15,960 o che stringhe specifiche devono essere trovate in un file 528 00:41:15,960 --> 00:41:21,400 affinché la regola corrisponda, quindi avendo multipli logical controls 529 00:41:21,400 --> 00:41:25,400 e configurazioni per identificare 530 00:41:25,480 --> 00:41:28,200 il malware. 531 00:41:28,440 --> 00:41:32,840 YARA è uno strumento altamente efficace per il rilevamento malware automatizzato specialmente 532 00:41:32,840 --> 00:41:38,440 quando si tratta di un grande volume di file. Questo è cruciale durante l'incident 533 00:41:38,440 --> 00:41:41,480 response dove il tempo è essenziale e l'ispezione 534 00:41:41,480 --> 00:41:47,160 manuale sarebbe impraticabile. Creando regole personalizzate su misura per 535 00:41:47,160 --> 00:41:52,200 minacce specifiche, le regole YARA permettono ai team di sicurezza 536 00:41:52,280 --> 00:41:55,880 di automatizzare la scansione di directory di set di file, snellendo l' 537 00:41:55,880 --> 00:42:01,560 identificazione di file dannosi. Questa capacità aiuta a localizzare rapidamente 538 00:42:01,560 --> 00:42:05,240 file sospetti o artefatti che potrebbero indicare un'infezione 539 00:42:05,240 --> 00:42:09,000 malware, rendendo le regole YARA uno strumento inestimabile 540 00:42:09,000 --> 00:42:13,640 nei sistemi di rilevamento minacce in tempo reale. Oltre alla scansione basata su 541 00:42:13,640 --> 00:42:18,600 file, YARA è anche uno strumento chiave nella memory forensics. 542 00:42:18,600 --> 00:42:22,760 Il malware spesso risiede nella memoria piuttosto che nel file system 543 00:42:22,760 --> 00:42:27,000 rendendolo più difficile da rilevare usando metodi tradizionali. 544 00:42:27,000 --> 00:42:31,320 YARA può scansionare memory dumps per identificare codice dannoso, 545 00:42:31,320 --> 00:42:36,920 che gira in memoria volatile, permettendo agli analisti di rilevare minacce che potrebbero 546 00:42:36,920 --> 00:42:41,720 non apparire sul disco rigido. La memory forensics è particolarmente 547 00:42:41,720 --> 00:42:46,360 importante in casi di malware avanzato che impiega tecniche come 548 00:42:46,360 --> 00:42:50,680 attacchi file-less dove nessun file viene rilasciato sul disco. 549 00:42:50,680 --> 00:42:55,720 Sfruttando le regole YARA, gli analisti possono scoprire minacce nascoste nella memoria del sistema 550 00:42:55,720 --> 00:43:00,760 fornendo un livello addizionale di rilevamento e mitigazione. 551 00:43:00,760 --> 00:43:05,640 Un altro potente uso di YARA è nell'eseguire controlli di integrità dei file. 552 00:43:05,640 --> 00:43:09,080 Questo è specialmente utile in ambienti dove i file possono essere 553 00:43:09,080 --> 00:43:13,400 alterati o rimpiazzati da malware per nascondere la sua presenza o mantenere 554 00:43:13,400 --> 00:43:19,160 persistence sul sistema. YARA può essere usato per comparare file contro 555 00:43:19,160 --> 00:43:24,040 pattern dannosi noti garantendo che i file non siano stati modificati 556 00:43:24,040 --> 00:43:31,720 in modi contro l'infezione. Questo fornirebbe 557 00:43:31,720 --> 00:43:37,480 i valori di infezione. Questo può aiutare a rilevare cambiamenti non autorizzati a 558 00:43:37,480 --> 00:43:41,080 file di sistema, file di configurazione o eseguibili 559 00:43:41,080 --> 00:43:45,160 per identificare sistemi compromessi. Eseguendo continuamente 560 00:43:45,160 --> 00:43:49,800 regole YARA in background, i team di sicurezza possono mantenere una difesa proattiva 561 00:43:49,800 --> 00:43:54,200 contro malware che prova furtivamente 562 00:43:54,200 --> 00:44:01,240 ad alterare o rimpiazzare file legittimi. In questa regola YARA, la sezione meta fornisce 563 00:44:01,240 --> 00:44:06,120 metadati essenziali sulla regola. Questo include una descrizione che spiega 564 00:44:06,120 --> 00:44:09,800 lo scopo della regola, per esempio rileva malware 565 00:44:09,880 --> 00:44:15,080 basato su pattern noto, aiutando chiunque revisioni la regola a capire rapidamente 566 00:44:15,080 --> 00:44:19,640 la sua funzione. Il campo autore ci dice chi ha creato 567 00:44:19,640 --> 00:44:24,600 la regola. In questo caso, analista di sicurezza è un nome 568 00:44:24,600 --> 00:44:29,160 specifico, per esempio, e la data indica dove la regola è stata creata, 569 00:44:29,160 --> 00:44:33,880 la data di creazione della regola. Queste meta informazioni sono vitali 570 00:44:33,880 --> 00:44:38,120 per mantenere regole organizzate e ben documentate in qualsiasi sistema di rilevamento 571 00:44:38,120 --> 00:44:42,760 malware. Passando alla sezione string, questa è dove i pattern effettivi 572 00:44:42,760 --> 00:44:46,280 che saranno cercati nei file sono 573 00:44:46,280 --> 00:44:49,560 definiti. Ci sono due pattern in questa regola, 574 00:44:49,560 --> 00:44:56,120 malicious string, una variabile che ha come valore la stringa di testo malware. 575 00:44:56,120 --> 00:44:59,320 In nocase, questo pattern cerca la stringa malware 576 00:44:59,320 --> 00:45:04,040 in qualsiasi caso, che sia maiuscolo o minuscolo dovuto al modificatore 577 00:45:04,040 --> 00:45:09,800 nocase. Quindi nocase fornisce questa modifica. Questo garantisce che anche se 578 00:45:09,800 --> 00:45:13,800 l'autore del malware cambia il caso della parola malware, 579 00:45:13,800 --> 00:45:18,840 la regola lo rileverà comunque perché è maiuscolo o minuscolo. 580 00:45:18,840 --> 00:45:26,440 Suspicious bytes, questo include una linea stringa di bytes. 581 00:45:26,440 --> 00:45:31,160 Qui definiamo una sequenza di byte che rappresenta una firma nota 582 00:45:31,160 --> 00:45:35,960 o parte caratteristica del codice del malware. La sequenza 583 00:45:35,960 --> 00:45:43,240 E8000000 potrebbe rappresentare un'istruzione di parte del codice del malware. 584 00:45:43,240 --> 00:45:50,600 La sequenza E800 potrebbe rappresentare un'istruzione del malware, 585 00:45:50,600 --> 00:45:55,240 che è qualcosa che può essere identificato come tipico di questo 586 00:45:55,240 --> 00:46:00,920 tipo di malware. Naturalmente, questo può anche identificare altro software che si relaziona 587 00:46:00,920 --> 00:46:06,600 e ha il codice specifico pure. Infine, nella sezione condition, 588 00:46:06,600 --> 00:46:11,160 la regola specifica la logica per quando il pattern dovrebbe attivare una corrispondenza. 589 00:46:11,160 --> 00:46:14,360 In questo caso, la regola si attiverà se uno qualsiasi 590 00:46:14,360 --> 00:46:19,720 dei pattern definiti viene trovato. Cercherà la malicious string 591 00:46:19,720 --> 00:46:23,480 OR con la condizione OR il suspicious byte 592 00:46:23,480 --> 00:46:27,480 nel file scansionato. Naturalmente, questa logica potrebbe essere 593 00:46:27,480 --> 00:46:32,200 il controllo logico AND o una combinazione di essi. 594 00:46:32,200 --> 00:46:39,240 Se un pattern viene rilevato, è un segnale che il file potrebbe essere dannoso 595 00:46:39,240 --> 00:46:44,280 e giustifica ulteriori indagini. 596 00:46:44,280 --> 00:46:48,760 Nello step due, scansionare file con YARA ci permette di cercare attivamente 597 00:46:48,760 --> 00:46:52,360 pattern specifici definiti nelle nostre regole YARA personalizzate. 598 00:46:52,360 --> 00:46:57,240 Questo step è essenziale per automatizzare il processo di rilevamento malware. 599 00:46:57,240 --> 00:47:02,280 Una volta che hai scritto una regola YARA, puoi usarla per scansionare file per qualsiasi corrispondenza. 600 00:47:02,280 --> 00:47:07,480 Il primo metodo comporta la scansione di un singolo file. Per fare questo, useresti un 601 00:47:07,480 --> 00:47:11,400 comando YARA, che è il comando dello strumento, 602 00:47:11,400 --> 00:47:14,920 suspicious_malware, che è il file che vogliamo scansionare, 603 00:47:14,920 --> 00:47:21,560 rule.yar, suspicious_file.exe. In questo comando, 604 00:47:21,560 --> 00:47:25,880 suspicious_malware rappresenta il nome della regola che abbiamo creato 605 00:47:25,880 --> 00:47:30,440 e rule.yar è il file della regola che contiene i pattern che stiamo cercando, 606 00:47:30,440 --> 00:47:36,520 come stringhe specifiche o sequenze di byte. Il suspicious_file.exe è il file che 607 00:47:36,520 --> 00:47:41,080 stiamo controllando per quei pattern. Quando esegui questo comando, YARA analizzerà 608 00:47:41,080 --> 00:47:47,320 il file e restituirà un output se uno dei pattern nella regola viene trovato. 609 00:47:47,320 --> 00:47:50,600 Per esempio, se il file corrisponde a uno dei 610 00:47:50,600 --> 00:47:54,280 pattern definiti, l'output potrebbe apparire così. 611 00:47:54,280 --> 00:48:03,960 Questo significa che il file contiene un pattern come la parola 612 00:48:03,960 --> 00:48:08,920 malware o la sequenza di suspicious byte attivando la regola YARA. 613 00:48:08,920 --> 00:48:12,840 Per scansioni di casi più grandi, dove abbiamo bisogno di controllare file multipli, 614 00:48:12,840 --> 00:48:17,080 puoi usare l'opzione -r per scansionare un'intera 615 00:48:17,080 --> 00:48:22,600 directory ricorsivamente. Quindi -r significa ricorsivamente. 616 00:48:22,600 --> 00:48:25,800 Questo sarebbe fatto con il comando YARA -r, 617 00:48:25,800 --> 00:48:31,640 suspicious_malware, rule.yar e poi il percorso della directory che vogliamo scansionare. 618 00:48:31,640 --> 00:48:35,720 Il -r istruisce YARA a cercare non solo per una specifica 619 00:48:35,720 --> 00:48:40,440 directory ma anche qualsiasi tipo di directory all'interno della directory. 620 00:48:40,440 --> 00:48:44,840 Se YARA trova una corrispondenza per uno qualsiasi dei file all'interno della directory, 621 00:48:44,840 --> 00:48:50,280 mostrerà di nuovo il nome della regola e il percorso del file corrispondente. 622 00:48:50,280 --> 00:48:56,280 Naturalmente, possiamo caricare regole YARA multiple insieme in file multipli 623 00:48:56,280 --> 00:49:01,640 e ogni combinazione sarà fornita separatamente. 624 00:49:01,640 --> 00:49:06,040 YARA offre funzionalità avanzate che migliorano significativamente le sue capacità di rilevamento 625 00:49:06,040 --> 00:49:10,440 malware, rendendolo un potente strumento per analisi più 626 00:49:10,440 --> 00:49:14,040 raffinate. Una delle funzionalità è l'abilità 627 00:49:14,040 --> 00:49:19,160 di usare regular expressions, regex, che fornisce un pattern matching flessibile e potente. 628 00:49:19,240 --> 00:49:23,240 Usando regular expressions, 629 00:49:23,240 --> 00:49:29,160 gli analisti possono definire pattern complessi che vanno oltre le semplici corrispondenze di stringhe. 630 00:49:29,160 --> 00:49:33,480 Per esempio, puoi creare una regola che corrisponde a qualsiasi stringa che inizia con 631 00:49:33,480 --> 00:49:41,720 malware, la parola malware, seguita da una o più cifre, indipendentemente dal caso. 632 00:49:41,720 --> 00:49:45,880 Questa abilità di usare regex permette una ricerca più dinamica 633 00:49:45,880 --> 00:49:51,000 e ampia, che è specialmente utile quando i campioni malware possono variare in 634 00:49:51,000 --> 00:49:54,680 convenzioni di denominazione o altre caratteristiche ma seguono comunque 635 00:49:54,680 --> 00:49:59,480 un pattern riconoscibile. Un'altra funzionalità avanzata in YARA 636 00:49:59,480 --> 00:50:04,440 è l'uso di operatori logici per combinare condizioni multiple in una singola 637 00:50:04,440 --> 00:50:08,440 regola. Questo dà agli analisti la flessibilità di creare 638 00:50:08,440 --> 00:50:13,480 regole altamente specifiche. Per esempio, puoi creare una regola 639 00:50:13,480 --> 00:50:17,800 che si attiva solo se sia la stringa suspicious che la stringa 640 00:50:17,800 --> 00:50:23,080 malware vengono trovate nello stesso file. Combinando condizioni con operatori 641 00:50:23,080 --> 00:50:28,040 logici come condizioni logiche AND o OR o NOT, 642 00:50:28,040 --> 00:50:33,400 puoi affinare le tue ricerche per minimizzare i falsi positivi e aumentare 643 00:50:33,400 --> 00:50:37,560 la precisione di rilevamento. Questo rende YARA più versatile e 644 00:50:37,560 --> 00:50:41,640 permette agli analisti di raffinare le loro strategie di rilevamento malware. 645 00:50:41,640 --> 00:50:45,480 Infine, YARA ti permette di definire le regole basate 646 00:50:45,480 --> 00:50:50,200 su proprietà del file come la dimensione o i metadati. 647 00:50:50,200 --> 00:50:54,120 Per esempio, puoi creare una regola che controlla se la dimensione del file 648 00:50:54,120 --> 00:50:59,080 è maggiore di un megabyte, che potrebbe essere utile per rilevare malware 649 00:50:59,080 --> 00:51:03,560 che è packed con grandi file o è tipicamente più grande dei normali 650 00:51:03,560 --> 00:51:06,840 file applicazione. Inoltre, puoi creare 651 00:51:06,840 --> 00:51:11,160 regole basate su altre proprietà come la data di creazione o 652 00:51:11,160 --> 00:51:16,120 data di modifica. Queste regole basate su proprietà del tipo di file migliorano 653 00:51:16,120 --> 00:51:21,240 l'utilità di YARA permettendo agli analisti di mirare certi tipi di 654 00:51:21,240 --> 00:51:25,480 file o caratteristiche che sono comunemente viste con specifici 655 00:51:25,480 --> 00:51:30,920 tipi di malware e lasciare stare gli altri file.