Studio e presentazione di un framework di Memory Forensics a supporto del rilevamento e l'analisi comportamentale di Stealthy Malware = Survey and presentation of a Memory Forensics framework to support the detection and behavioral analysis of Stealthy Malware

La rivoluzione digitale, avviata negli Stati Uniti durante gli anni Sessanta, è sicuramente il punto di origine più rappresentativo nella storia per focalizzare il periodo di nascita e sviluppo della “cultura hacker”, che ha distinto una selettiva classe di individui appassionati da sfide intellettuali e dal desiderio di superare i limiti imposti dai sistemi software e, proseguendo, dalla società. Questa comunità è composta da individui, la cui identità è spesso celata dietro a soprannomi, o “nickname”, i cui principi si basano su un forte senso etico, semplicemente riassumibile nei valori di “condivisione” e “libertà”, senza vincoli di età, razza o situazione. Nel corso della propria evoluzione, il tempo ha forse giocato a sfavore della comunità “hacker”, legandone sempre più il termine ad ideali negativi. In questo scenario si sviluppa la necessità di esperti di Digital Forensics, analisti in grado di investigare sistemi attaccati digitalmente, al fine di arrivare al diretto colpevole e passare il testimone alle autorità giudiziarie. Questo percorso di tesi, reso possibile da Intellera Consulting, si focalizza sullo studio delle tecniche in ambito Digital Forensics e, nel particolare, nella branca della Memory Forensics. L’obiettivo finale che il percorso di tesi si pone è la realizzazione di un framework per la rilevazione e l’analisi comportamentale di malware di tipo “stealth”, o file-less, mediante l’esamina della memoria volatile di un sistema informatico. Il progetto di delinea mostrando i risultati di una fase di “Information Gathering”, nella quale si riconosce lo stato dell’arte degli ambiti propedeutici allo studio, selezionati in: Digital Forensics, Memory Forensics, Stealthy Malware e Framework esistenti di rilevazione di Stealthy Malware. Successivamente viene descritto il flusso del framework di rilevazione e analisi di malware di tipo stealth in presentazione. La rilevazione e l’esamina del malware avviene principalmente mediante strumenti open-source di Memory Forensics, affiancati nell’analisi comportamentale da soluzioni pubblicamente accessibili di Static Analysis, Dynamic Analysis, Network Analysis, OSINT. La fase di testing del framework si focalizza sul tentativo di rilevamento e analisi di tre malware con caratteristiche di tipo stealth: Cell_jr, Emotet e Stuxnet. Tra questi si riconosce la caratteristica di cell_jr, a differenza degli altri due vettori citati, di essere un file-based malware, con proprietà stealth. Il motivo di inclusione di quest’ultimo risiede nella volontà di confermare quanto il framework presentato possa essere utilizzato in equal modo per il rilevamento e l’analisi di malware completamente stealth e non. La fase di testing del framework viene svolta nelle norme del processo di Digital Forensics definito dal NIST nella SP 800-86.