?? Scheda Malware Standardizzata

Template standardizzato per la documentazione di malware nella piattaforma EVIL. Formato professionale con metadati completi, focus su rilevazione e mitigazione difensiva.

?? Esempio di Implementazione

Emotet

Alias / Famiglia Heodo, JS/Emotet
Categoria Banking Trojan
Anno Scoperta 2014
Stato Storico
??? Sistemi Colpiti
Windows XP, Vista, 7, 8, 10; Server 2003-2016
?? Vettore di Infezione
  • Email phishing con allegato .doc/.xls
  • Macro Office automatiche
  • Link dannosi in email
  • Lateral movement su rete infetta
?? Comportamento Principale
Trojan bancario modulare che ruba credenziali online banking via keystroke logging e form injection. Evolve per diventare botnet distribuendo moduli aggiuntivi.
?? Meccanismi di Persistenza
  • Registry Run key modification
  • Windows Service installation
  • Scheduled task creation
  • System file replacement
?? Tecniche MITRE ATT&CK
  • Initial Access: Phishing (T1566)
  • Execution: Macro Office (T1204)
  • Persistence: Registry Run keys (T1547)
  • C2 Communication: Application Layer (T1071)
  • Exfiltration: Encrypted channel (T1041)
?? Indicatori di Compromissione
  • Modifiche registry in HKLM\Software (svchost varianti)
  • Processi figlio anomali da Office
  • Traffico HTTPS verso C2 sconosciuti
  • Account bancari con accessi insoliti
?? Impatto sul Sistema
Furto di credenziali bancarie, fraud finanziario, accesso non autorizzato a sistemi aziendali, distribuzione di ulteriore malware, surriscaldamento CPU (mining).
?? Livello di Pericolosit�
CRITICO
??? Contromisure Difensive
  • Disabilitare macro in Office per default
  • Email filtering + sandboxing
  • EDR software con keystroke detection
  • MFA su account bancari/email
  • Network monitoring per C2 traffic
?? Note Educative
Emotet rappresenta l'evoluzione del malware bancario tradizionale verso botnet modulare. Il suo successo dimostra l'importanza della formazione sui macro Office e della sicurezza email.

?? Documentazione Campi

1. Nome del Malware
String (Obbligatorio)
Nome comune/ufficiale del malware come identificato dai ricercatori di sicurezza e antivirus vendor.
Esempio:
Emotet, WannaCry, Mirai, Stuxnet
2. Alias / Famiglia
String (Opzionale)
Nomi alternativi o nome famiglia malware come documentato da diversi ricercatori.
Esempio:
Heodo, JS/Emotet, Trojan.Emotet
3. Categoria
Enum (Obbligatorio)
Classificazione del tipo malware secondo tassonomia standard EVIL: Virus, Worm, Trojan, Ransomware, Spyware, Adware, Rootkit, RAT, Botnet, Wiper, Cryptominer, Fileless.
Esempio:
Banking Trojan, IoT Botnet, Advanced Persistent Malware
4. Anno di Scoperta
Year (Obbligatorio)
Anno in cui il malware � stato scoperto e documentato pubblicamente per la prima volta.
Esempio:
2014, 2017, 2020
5. Stato
Enum (Obbligatorio)
Stato attuale del malware: Storico (non pi� osservato attivamente), Inattivo (campagne limitate), Ancora Osservato (ancora una minaccia).
Esempio:
Storico, Inattivo, Ancora Osservato
6. Sistemi Colpiti
String (Obbligatorio)
Piattaforme, sistemi operativi, e versioni specifiche colpite dal malware. Include: Windows, Linux, macOS, iOS, Android, IoT.
Esempio:
Windows XP-10, Server 2003-2016, Android 4.0+
7. Vettore di Infezione
List (Obbligatorio)
Metodi e canali primari di distribuzione del malware. Include: Email phishing, Drive-by download, Exploit, Rete, Media removibili, Social engineering, Supply chain.
Esempio:
� Email phishing con allegato
� Siti compromessi
� Vulnerabilit� SMB (propagazione rete)
8. Comportamento Principale
Text (Obbligatorio)
Descrizione sintetica ma completa di cosa fa il malware una volta eseguito. Spiega chiaramente la "payload" primaria.
Esempio:
Trojan bancario che ruba credenziali via keystroke logging e form injection. Distribuisce moduli aggiuntivi.
9. Meccanismi di Persistenza
List (Obbligatorio)
Come il malware rimane nel sistema dopo riavvio. Include: registry modifications, startup folders, scheduled tasks, kernel drivers, rootkit, BIOS modifications.
Esempio:
� Registry Run key
� Windows Service installation
� Scheduled task
� DLL injection
10. Tecniche MITRE ATT&CK
List (Obbligatorio)
Mapping alle tattiche e tecniche MITRE ATT&CK Framework. Include solo le principali (5-8 tecniche max). Format: Tattica (TTxxxx).
Esempio:
� Initial Access: Phishing (T1566)
� Execution: Macro Office (T1204)
� Persistence: Registry Run (T1547)
� C2: Application Layer (T1071)
11. Indicatori di Compromissione
List (Obbligatorio)
Segni che un sistema � stato infettato. Descrittivi (NON tecnici/numerici). Include: comportamenti anomali, file/processi, accessi insoliti, traffico di rete.
Esempio:
� Processi figlio anomali da Office
� Traffico HTTPS verso server sconosciuti
� Modifiche registry in aree critiche
� Account bancari con accessi insoliti
12. Impatto sul Sistema
Text (Obbligatorio)
Effetti tangibili dell'infezione su utente, dati, e infrastruttura. Descrivere danno/perdita specifico.
Esempio:
Furto di credenziali bancarie, transazioni fraudolente, accesso non autorizzato a sistemi aziendali, distribuzione di ulteriore malware.
13. Livello di Pericolosit�
Enum (Obbligatorio)
Valutazione del rischio complessivo: Basso (danno limitato), Medio (impatto moderato), Alto (danno significativo), Critico (minaccia massima).
Esempio:
CRITICO (furto dati massiccio)
14. Contromisure Difensive
List (Obbligatorio)
Azioni di difesa specifiche contro questo malware. Includere: patch, configurazioni, software, monitoraggio, policy. Basare su MITRE ATT&CK mitigations.
Esempio:
� Disabilitare macro Office
� Email filtering con sandboxing
� EDR software
� MFA su account critici
15. Note Educative
Text (Opzionale)
Insight educativo su questo malware. Cosa rappresenta nella storia della cybersecurity? Quali lezioni apprendiamo? Context storico.
Esempio:
Emotet rappresenta l'evoluzione dei trojan bancari verso botnet modulare. Dimostra l'importanza della formazione utente su macro Office e della difesa email multi-layer.

? Linee Guida di Utilizzo

  • Completezza: Compilare TUTTI i 15 campi obbligatori. I campi opzionali possono essere omessi se non applicabili.
  • Accuracy Tecnica: Verificare informazioni su fonti pubbliche (MITRE ATT&CK, vendor antivirus, ricerca peer-reviewed).
  • Linguaggio Semplice: Usare terminologia tecnica ma comprensibile. Evitare jargon non necessario.
  • Niente Codice: MAI inserire codice malware, payload, exploit code, o istruzioni operative.
  • Focus Difensivo: Enfatizzare rilevazione, mitigazione, e defense. Non abilit� attacco.
  • Descrittivo vs Tecnico: Indicatori di compromissione devono essere descrittivi (es: "traffico anomalo") non IP/hash specifici.
  • Coerenza Formato: Mantenere lo stesso stile e struttura per tutte le schede nel database.
  • Update Regolari: Rivedere e aggiornare schede storiche con informazioni nuove scoperte.

?? Best Practices & Avvertimenti

  • Responsabilit� Educativa: Questo template � per scopi educativi/difensivi SOLO. Non usare per abilit� offensive.
  • Non Condividere IoCs Sensibili: Se disponibili hash/IP specifici, escludere dal template pubblico.
  • Citare Fonti: Sempre basare informazioni su ricerca pubblica certificata, non speculazione.
  • Mantieni Neutralit�: Documentare malware storicamente rilevante senza glorificazione.
  • Aggiorna Stato: Rivedere regolarmente se malware � ancora una minaccia attiva.
  • MITRE Accuracy: Verificare tecniche MITRE ATT&CK su sito ufficiale mitre.org.
  • Limitazione Scope: Una scheda = un malware. Non mescolare famiglie diverse nella stessa scheda.
  • Validazione Collaborativa: Far revisionare schede da esperti di cybersecurity prima di pubblicazione.

?? Riepilogo Scheda Standardizzata

15 Campi Standardizzati per documentazione coerente e completa di malware.
5 Campi Opzionali per contesto aggiuntivo quando disponibile.
Layout Responsive per desktop, tablet, e mobile printing.