{"id":30515,"date":"2026-03-11T13:20:17","date_gmt":"2026-03-11T11:20:17","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=30515"},"modified":"2026-03-11T13:20:17","modified_gmt":"2026-03-11T11:20:17","slug":"ktae-onprem-ida-pro-plugin","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/ktae-onprem-ida-pro-plugin\/30515\/","title":{"rendered":"Attribuzione del malware cloudless"},"content":{"rendered":"

In un post precedente<\/a> \u00e8 stato illustrato un esempio pratico di come l\u2019attribuzione delle minacce aiuta nelle indagini sugli incidenti. \u00c8 stato inoltre presentato Kaspersky Threat Attribution Engine (KTAE), il nostro strumento per formulare un\u2019ipotesi plausibile in merito a quale gruppo APT specifico appartiene un campione di malware. Per dimostrarlo, abbiamo utilizzato il Kaspersky Threat Intelligence Portal<\/a>, uno strumento basato sul cloud che fornisce l\u2019accesso a KTAE come parte del nostro servizio completo di analisi delle minacce, insieme a una sandbox e a uno strumento di ricerca per similarit\u00e0 senza attribuzioni. I vantaggi di un servizio cloud sono ovvi: i clienti non devono investire in hardware, installare o gestire software. Tuttavia, come mostra l\u2019esperienza nel mondo reale, la versione cloud di uno strumento di attribuzione non \u00e8 per tutti\u2026<\/p>\n

In primo luogo, alcune organizzazioni sono vincolate da restrizioni normative che vietano rigorosamente ai dati di lasciare il proprio perimetro interno. Per gli analisti della sicurezza di queste aziende, il caricamento dei file in un servizio di terze parti \u00e8 fuori discussione. In secondo luogo, alcune aziende impiegano ricercatori delle minacce accaniti che necessitano di un toolkit pi\u00f9 flessibile, che consenta loro di lavorare con la propria ricerca proprietaria insieme a Kaspersky Threat Intelligence. Ecco perch\u00e9 KTAE \u00e8 disponibile in due versioni: una versione basata sul cloud e una distribuzione in locale.<\/p>\n

Quali sono i vantaggi di KTAE in locale rispetto alla versione cloud?<\/h2>\n

Prima di tutto, la versione locale di KTAE assicura che un\u2019indagine rimanga completamente riservata. Tutta l\u2019analisi ha luogo direttamente nella rete interna dell\u2019organizzazione. La sorgente delle informazioni sulle minacce \u00e8 un database distribuito all\u2019interno del perimetro aziendale; \u00e8 ricco di indicatori univoci e dati di attribuzione di ogni campione dannoso noto ai nostri esperti; e contiene inoltre le caratteristiche relative ai file legittimi per escludere i rilevamenti di falsi positivi. Il database riceve aggiornamenti regolari, ma funziona in modo unidirezionale: nessuna informazione lascia mai la rete del client.<\/p>\n

\"KTAE<\/p>\n

Inoltre, la versione locale di KTAE offre agli esperti la possibilit\u00e0 di aggiungere nuovi gruppi di minacce al database per collegarli a campioni di malware scoperti autonomamente. Ci\u00f2 significa che la successiva attribuzione di nuovi file terr\u00e0 conto dei dati aggiunti dai ricercatori interni. Questo consente agli esperti di catalogare i propri cluster di malware univoci, utilizzarli e identificare le somiglianze.<\/p>\n

Ecco un altro utile strumento per esperti: il nostro team ha sviluppato un plug-in gratuito per IDA Pro, un famoso disassembler<\/a>, da utilizzare con la versione locale di KTAE.<\/p>\n

<\/a>Qual \u00e8 lo scopo di un plug-in di attribuzione per un disassembler ?<\/h2>\n

Per un analista SOC in stato di allerta, attribuire un file dannoso trovato nell\u2019infrastruttura \u00e8 semplice: \u00e8 sufficiente caricarlo in KTAE (cloud o locale) e ottenere un verdetto, come Manuscrypt (83%)<\/em>. \u00c8 sufficiente per adottare le contromisure adeguate rispetto al kit di strumenti noto di quel gruppo e valutare la situazione generale. Un ricercatore delle minacce, tuttavia, potrebbe non voler prendere per buono quel verdetto. In alternativa, potrebbero chiedere \u201cQuali frammenti di codice sono univoci in tutti gli esempi di malware utilizzati da questo gruppo?\u201d In questo caso \u00e8 utile un plug-in di attribuzione per un disassembler<\/p>\n

\"KTAE<\/p>\n

All\u2019interno dell\u2019interfaccia di IDA Pro, il plug-in evidenzia i frammenti di codice disassemblati specifici che hanno attivato l\u2019algoritmo di attribuzione. Questo non solo consente un approfondimento a livello di esperti nei nuovi campioni di malware; consente inoltre ai ricercatori di perfezionare al volo le regole di attribuzione. Di conseguenza, l\u2019algoritmo, e lo stesso KTAE, continua a evolversi, rendendo l\u2019attribuzione pi\u00f9 accurata a ogni esecuzione.<\/p>\n

<\/a>Come impostare il plug-in<\/h2>\n

Il plug-in \u00e8 uno script scritto in Python. Per renderlo operativo \u00e8 necessario IDA Pro. Purtroppo non pu\u00f2 funzionare in IDA Free, poich\u00e9 non dispone del supporto per i plug-in Python. Se Python non \u00e8 ancora installato, \u00e8 necessario acquisirlo, impostare le dipendenze (controllare il file dei requisiti nel nostro archivio GitHub<\/a>) e assicurarsi che le variabili di ambiente IDA Pro puntino alle librerie Python.<\/p>\n

Successivamente, bisognerebbe inserire l\u2019URL dell\u2019istanza KTAE locale nel corpo dello script e fornire il token API (disponibile su base commerciale), proprio come avviene nello script di esempio descritto nella documentazione di KTAE<\/a>.<\/p>\n

Quindi \u00e8 possibile semplicemente trascinare lo script nella cartella dei plug-in IDA Pro e avviare il disassembler. Se l\u2019operazione \u00e8 stata eseguita correttamente, dopo il caricamento e il disassembling di un campione verr\u00e0 visualizzata l\u2019opzione per avviare il plug-in Kaspersky Threat Attribution Engine (KTAE)<\/em> in Modifica<\/em> \u2192 Plugin<\/em>:<\/p>\n

\"\"<\/p>\n

<\/a>Come utilizzare il plug-in<\/h2>\n

Quando il plug-in viene installato, ecco cosa succede dietro le quinte: il file attualmente caricato in IDA Pro viene inviato tramite API al servizio KTAE installato in locale, all\u2019URL configurato nello script. Il servizio analizza il file e i risultati dell\u2019analisi vengono reindirizzati a IDA Pro.<\/p>\n

In una rete locale, lo script in genere termina il lavoro nel giro di pochi secondi (la durata dipende dalla connessione al server KTAE e dalle dimensioni del file analizzato). Una volta terminato il plug-in, un ricercatore pu\u00f2 iniziare a scavare nei frammenti di codice evidenziati. Un doppio clic porta direttamente alla sezione pertinente nel codice binario o assembly (vista esadecimale) per l\u2019analisi. Questi punti dati aggiuntivi consentono di individuare facilmente i blocchi di codice condivisi e di tenere traccia delle modifiche in un kit di strumenti malware.<\/p>\n

A proposito, questo non \u00e8 l\u2019unico plug-in IDA Pro che il team di GReAT ha creato per semplificare la vita ai ricercatori delle minacce. Offriamo inoltre un altro plug-in IDA che velocizza e snellisce notevolmente il processo di reverse engineering e che, per inciso, ha vinto l\u2019IDA Plugin Contest 2024.<\/div>\n

Per ulteriori informazioni su Kaspersky Threat Attribution Engine e su come distribuirlo, consultate la documentazione ufficiale del prodotto<\/a>. E per organizzare una dimostrazione o un progetto pilota, compilate il modulo nel sito Web di Kaspersky<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Qual \u00e8 lo scopo di una versione locale di Kaspersky Threat Attribution Engine e come collegarla a IDA Pro?<\/p>\n","protected":false},"author":2792,"featured_media":30519,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2955],"tags":[3925,2274],"class_list":{"0":"post-30515","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-servizi-di-threat-intelligence","10":"tag-threat-intelligence"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/ktae-onprem-ida-pro-plugin\/30515\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/ktae-onprem-ida-pro-plugin\/30234\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/ktae-onprem-ida-pro-plugin\/25311\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/ktae-onprem-ida-pro-plugin\/13251\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/ktae-onprem-ida-pro-plugin\/30107\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/ktae-onprem-ida-pro-plugin\/31905\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/ktae-onprem-ida-pro-plugin\/41387\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/ktae-onprem-ida-pro-plugin\/14350\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/ktae-onprem-ida-pro-plugin\/55350\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/ktae-onprem-ida-pro-plugin\/23694\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/ktae-onprem-ida-pro-plugin\/33302\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/ktae-onprem-ida-pro-plugin\/30346\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/ktae-onprem-ida-pro-plugin\/35991\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/ktae-onprem-ida-pro-plugin\/35648\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/threat-intelligence\/","name":"threat intelligence"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/30515","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2792"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=30515"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/30515\/revisions"}],"predecessor-version":[{"id":30520,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/30515\/revisions\/30520"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/30519"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=30515"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=30515"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=30515"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}