📋 Scheda Malware Standardizzata

Template standardizzato per la documentazione di malware nella piattaforma EVIL. Formato professionale con metadati completi, focus su rilevazione e mitigazione difensiva.

📌 Esempio di Implementazione

Emotet

Alias / Famiglia Heodo, JS/Emotet
Categoria Banking Trojan
Anno Scoperta 2014
Stato Storico
🖥️ Sistemi Colpiti
Windows XP, Vista, 7, 8, 10; Server 2003-2016
🎯 Vettore di Infezione
  • Email phishing con allegato .doc/.xls
  • Macro Office automatiche
  • Link dannosi in email
  • Lateral movement su rete infetta
⚙️ Comportamento Principale
Trojan bancario modulare che ruba credenziali online banking via keystroke logging e form injection. Evolve per diventare botnet distribuendo moduli aggiuntivi.
🔒 Meccanismi di Persistenza
  • Registry Run key modification
  • Windows Service installation
  • Scheduled task creation
  • System file replacement
🎯 Tecniche MITRE ATT&CK
  • Initial Access: Phishing (T1566)
  • Execution: Macro Office (T1204)
  • Persistence: Registry Run keys (T1547)
  • C2 Communication: Application Layer (T1071)
  • Exfiltration: Encrypted channel (T1041)
🔍 Indicatori di Compromissione
  • Modifiche registry in HKLM\Software (svchost varianti)
  • Processi figlio anomali da Office
  • Traffico HTTPS verso C2 sconosciuti
  • Account bancari con accessi insoliti
💥 Impatto sul Sistema
Furto di credenziali bancarie, fraud finanziario, accesso non autorizzato a sistemi aziendali, distribuzione di ulteriore malware, surriscaldamento CPU (mining).
⚠️ Livello di Pericolosità
CRITICO
🛡️ Contromisure Difensive
  • Disabilitare macro in Office per default
  • Email filtering + sandboxing
  • EDR software con keystroke detection
  • MFA su account bancari/email
  • Network monitoring per C2 traffic
📚 Note Educative
Emotet rappresenta l'evoluzione del malware bancario tradizionale verso botnet modulare. Il suo successo dimostra l'importanza della formazione sui macro Office e della sicurezza email.

📖 Documentazione Campi

1. Nome del Malware
String (Obbligatorio)
Nome comune/ufficiale del malware come identificato dai ricercatori di sicurezza e antivirus vendor.
Esempio:
Emotet, WannaCry, Mirai, Stuxnet
2. Alias / Famiglia
String (Opzionale)
Nomi alternativi o nome famiglia malware come documentato da diversi ricercatori.
Esempio:
Heodo, JS/Emotet, Trojan.Emotet
3. Categoria
Enum (Obbligatorio)
Classificazione del tipo malware secondo tassonomia standard EVIL: Virus, Worm, Trojan, Ransomware, Spyware, Adware, Rootkit, RAT, Botnet, Wiper, Cryptominer, Fileless.
Esempio:
Banking Trojan, IoT Botnet, Advanced Persistent Malware
4. Anno di Scoperta
Year (Obbligatorio)
Anno in cui il malware è stato scoperto e documentato pubblicamente per la prima volta.
Esempio:
2014, 2017, 2020
5. Stato
Enum (Obbligatorio)
Stato attuale del malware: Storico (non più osservato attivamente), Inattivo (campagne limitate), Ancora Osservato (ancora una minaccia).
Esempio:
Storico, Inattivo, Ancora Osservato
6. Sistemi Colpiti
String (Obbligatorio)
Piattaforme, sistemi operativi, e versioni specifiche colpite dal malware. Include: Windows, Linux, macOS, iOS, Android, IoT.
Esempio:
Windows XP-10, Server 2003-2016, Android 4.0+
7. Vettore di Infezione
List (Obbligatorio)
Metodi e canali primari di distribuzione del malware. Include: Email phishing, Drive-by download, Exploit, Rete, Media removibili, Social engineering, Supply chain.
Esempio:
• Email phishing con allegato
• Siti compromessi
• Vulnerabilità SMB (propagazione rete)
8. Comportamento Principale
Text (Obbligatorio)
Descrizione sintetica ma completa di cosa fa il malware una volta eseguito. Spiega chiaramente la "payload" primaria.
Esempio:
Trojan bancario che ruba credenziali via keystroke logging e form injection. Distribuisce moduli aggiuntivi.
9. Meccanismi di Persistenza
List (Obbligatorio)
Come il malware rimane nel sistema dopo riavvio. Include: registry modifications, startup folders, scheduled tasks, kernel drivers, rootkit, BIOS modifications.
Esempio:
• Registry Run key
• Windows Service installation
• Scheduled task
• DLL injection
10. Tecniche MITRE ATT&CK
List (Obbligatorio)
Mapping alle tattiche e tecniche MITRE ATT&CK Framework. Include solo le principali (5-8 tecniche max). Format: Tattica (TTxxxx).
Esempio:
• Initial Access: Phishing (T1566)
• Execution: Macro Office (T1204)
• Persistence: Registry Run (T1547)
• C2: Application Layer (T1071)
11. Indicatori di Compromissione
List (Obbligatorio)
Segni che un sistema è stato infettato. Descrittivi (NON tecnici/numerici). Include: comportamenti anomali, file/processi, accessi insoliti, traffico di rete.
Esempio:
• Processi figlio anomali da Office
• Traffico HTTPS verso server sconosciuti
• Modifiche registry in aree critiche
• Account bancari con accessi insoliti
12. Impatto sul Sistema
Text (Obbligatorio)
Effetti tangibili dell'infezione su utente, dati, e infrastruttura. Descrivere danno/perdita specifico.
Esempio:
Furto di credenziali bancarie, transazioni fraudolente, accesso non autorizzato a sistemi aziendali, distribuzione di ulteriore malware.
13. Livello di Pericolosità
Enum (Obbligatorio)
Valutazione del rischio complessivo: Basso (danno limitato), Medio (impatto moderato), Alto (danno significativo), Critico (minaccia massima).
Esempio:
CRITICO (furto dati massiccio)
14. Contromisure Difensive
List (Obbligatorio)
Azioni di difesa specifiche contro questo malware. Includere: patch, configurazioni, software, monitoraggio, policy. Basare su MITRE ATT&CK mitigations.
Esempio:
• Disabilitare macro Office
• Email filtering con sandboxing
• EDR software
• MFA su account critici
15. Note Educative
Text (Opzionale)
Insight educativo su questo malware. Cosa rappresenta nella storia della cybersecurity? Quali lezioni apprendiamo? Context storico.
Esempio:
Emotet rappresenta l'evoluzione dei trojan bancari verso botnet modulare. Dimostra l'importanza della formazione utente su macro Office e della difesa email multi-layer.

✅ Linee Guida di Utilizzo

  • Completezza: Compilare TUTTI i 15 campi obbligatori. I campi opzionali possono essere omessi se non applicabili.
  • Accuracy Tecnica: Verificare informazioni su fonti pubbliche (MITRE ATT&CK, vendor antivirus, ricerca peer-reviewed).
  • Linguaggio Semplice: Usare terminologia tecnica ma comprensibile. Evitare jargon non necessario.
  • Niente Codice: MAI inserire codice malware, payload, exploit code, o istruzioni operative.
  • Focus Difensivo: Enfatizzare rilevazione, mitigazione, e defense. Non abilità attacco.
  • Descrittivo vs Tecnico: Indicatori di compromissione devono essere descrittivi (es: "traffico anomalo") non IP/hash specifici.
  • Coerenza Formato: Mantenere lo stesso stile e struttura per tutte le schede nel database.
  • Update Regolari: Rivedere e aggiornare schede storiche con informazioni nuove scoperte.

⚠️ Best Practices & Avvertimenti

  • Responsabilità Educativa: Questo template è per scopi educativi/difensivi SOLO. Non usare per abilità offensive.
  • Non Condividere IoCs Sensibili: Se disponibili hash/IP specifici, escludere dal template pubblico.
  • Citare Fonti: Sempre basare informazioni su ricerca pubblica certificata, non speculazione.
  • Mantieni Neutralità: Documentare malware storicamente rilevante senza glorificazione.
  • Aggiorna Stato: Rivedere regolarmente se malware è ancora una minaccia attiva.
  • MITRE Accuracy: Verificare tecniche MITRE ATT&CK su sito ufficiale mitre.org.
  • Limitazione Scope: Una scheda = un malware. Non mescolare famiglie diverse nella stessa scheda.
  • Validazione Collaborativa: Far revisionare schede da esperti di cybersecurity prima di pubblicazione.

📋 Riepilogo Scheda Standardizzata

15 Campi Standardizzati per documentazione coerente e completa di malware.
5 Campi Opzionali per contesto aggiuntivo quando disponibile.
Layout Responsive per desktop, tablet, e mobile printing.