Ho visto molti articoli sulla "ricerca malware", quali informazioni stanno cercando di raccogliere?
Sono le origini del malware? O i suoi modelli di comportamento? O qualcos'altro?
Whodunit, che cosa fa, che vulnerabilità sfrutta, con cosa sta comunicando (semmai), come si diffonde, se contiene indicatori forensi utili ecc. ecc.
Come guardare un virus biologico mutante e capire come agisce e come sviluppare un vaccino, lo scopo del malware di reverse engineering è capire cosa sta facendo e perché.
C'è molto che puoi dire da questa analisi. Ad esempio, con quali server sta parlando? Questo limiterà un server compromesso al minimo e probabilmente un server di controllo per una botnet al meglio. Sapere dove si trova il server di controllo potrebbe portarti al responsabile del singolo o del gruppo, o almeno darti un'idea.
Allo stesso modo, l'analisi del binario del malware può rivelare exploit precedentemente sconosciuti. Ti mostrerà anche come gli autori di malware stanno tentando di eludere il rilevamento e quali sono i loro obiettivi - ad esempio, se il malware copia tutti i documenti word su un server remoto, beh, ora sai che stanno cercando documenti di qualche tipo.
L'origine può essere data via. È almeno ragionevolmente noto che i compilatori Microsoft incorporano i percorsi del database di debug del programma nell'output dell'eseguibile se non gli si dice di non farlo; dalla lingua utilizzata in tale percorso potresti essere in grado di raccogliere da dove proviene il malware o persino l'intento. Se l'utente che lo ha scritto è successo a svilupparlo in c:\users\name\... bene, allora sai anche chi sono!
In breve, analizzare il malware significa scoprire che cosa si può fare sull'infezione - qualsiasi cosa possa aiutare a identificare il colpevole, o ulteriore individuazione / prevenzione delle infezioni future.
Risposta breve: trova ciò che fa (interazioni con il sistema infetto: creazione di file, keylogging, rubare password ecc.).
Può essere utilizzato per ottenere un modello utilizzato successivamente da un prodotto AV (firma del malware). Può essere usato anche per rintracciare l'autore.
Leggi altre domande sui tag malware