Il primo virus informatico documentato è stato Creeper, sviluppato nel 1971. Creato in un ambiente accademico, il virus fu progettato per dimostrare la capacità di un file di trasferirsi in una rete. Sono stati necessari ben sei mesi prima che i programmatori riuscissero a creare un programma antivirus efficace, denominato Reaper. Questo è stato il primo episodio di scarto temporale documentato tra minaccia e risposta difensiva.
Da allora i professionisti della sicurezza e i programmatori di computer hanno cercato di stare al passo. Nel settore si rilevano minacce, si aggiornano i meccanismi di difesa e si ricomincia da capo se necessario.
Molti programmi antivirus tradizionali si basano su firme: nel momento in cui si rileva un software dannoso, viene generata una firma che descrive il file, la quale viene aggiunta a un database che viene poi distribuito alla base clienti. Se l’antivirus rileva sulla macchina dell’utente un file che corrisponde a una firma, il file viene messo in quarantena e/o rimosso. A dicembre 2018, venivano rilevate 350.000 nuove minacce malware al giorno. Con un numero del genere in continuo aumento, le soluzioni antivirus basate su firma fanno fatica a stare al passo con queste cifre, pertanto i dispositivi restano spesso vulnerabili.
Nel tempo, abbiamo assistito alla diffusione di nuovi meccanismi di difesa che però comportano un conseguente adeguamento delle tattiche dei criminali informatici, i quali creano malware progettati non solo per sfruttare eventuali vulnerabilità, ma anche per superare in astuzia i meccanismi di difesa dell’antivirus. Data la nuova realtà lavorativa successiva alla pandemia di COVID-19 che prevede lo smart working, è ora fondamentale proteggere i dispositivi che non si trovano più all’interno dei confini delle reti aziendali.
cco cinque tipologie di attacco che sfuggono agli antivirus tradizionali.
1. Malware polimorfo
Come indicato nell’introduzione, molti programmi antivirus tradizionali si affidano al rilevamento basato su firme, un meccanismo che prevede il confronto di un file rispetto a una voce nota, ovvero una firma, di un database di minacce conosciute.
Questa tipologia di protezione ha alcuni difetti: prima di tutto, l’utente di questo tipo di antivirus deve disporre dell’elenco più recente di firme; pertanto, è necessario effettuare aggiornamenti frequenti del software. Se le definizioni dei virus non vengono aggiornate, infatti, l’utente risulta privo di difese rispetto ai nuovi file. Inoltre, questo metodo di protezione è puramente reattivo: l’azienda produttrice dell’antivirus deve essere a conoscenza della firma prima di poterla segnalare alla propria base utenti e i malware spesso impiegano alcune tecniche di evasione per evitare il rilevamento da parte dei produttori di software antivirus.
Il difetto principale di questo metodo è rappresentato dal mancato allineamento delle conoscenze o delle tempistiche di copertura. Il malware polimorfo è stato creato per sfruttare questa lacuna. Se, ad esempio il malware viene rilevato da un programma antivirus, esso si rigenera utilizzando nuove caratteristiche che non corrispondono alle firme note. Per questo motivo, è molto difficile che un antivirus basato su firme blocchi l’infezione. Inoltre, ogni giorno vengono create circa 350.000 nuove varianti di malware. Di conseguenza, chi utilizza gli antivirus basati su firme dovrà quasi sempre tentare di stare al passo.
2. Documenti utilizzati per sferrare un attacco
Per compromettere i sistemi, i criminali informatici spesso sfruttano le falle presenti in diversi formati di documenti, che generalmente impiegano script incorporati. I criminali solitamente offuscano il codice o lo script all’interno di tali documenti utilizzati per sferrare un attacco.
Anche all’occhio esperto, questi documenti sembrano innocui e sfuggono ai controlli dell’antivirus, poiché quest’ultimo scansiona solo il documento iniziale e non il codice o lo script dopo l’esecuzione. L’attacco, una volta sferrato, viene eseguito in background senza che l’utente se ne accorga.
I criminali informatici possono utilizzare file PDF di Adobe® con codice JavaScript® incorporato per eseguire comandi di sistema o scaricare file eseguibili per compromettere i dispositivi e le reti a cui accedono. Gli hacker generalmente utilizzano script incorporati per eseguire comandi PowerShell® e, poiché PowerShell è integrato nel sistema operativo Windows®, tali attacchi danneggiano gli endpoint e anche intere reti. Ma i PDF non sono i soli tipi di file vulnerabili: anche i documenti basati su XML, HTML e Office® spesso contengono tali script dannosi nascosti. Una soluzione antivirus basata sul confronto delle firme eseguibili non rileverà i documenti utilizzati per sferrare un attacco, poiché analizzerà solo il documento iniziale, non il codice dannoso avviato dal documento stesso.
3. Download drive-by tramite browser
I download drive-by sono file scaricati sull’endpoint che sfruttano le vulnerabilità o un componente aggiuntivo del browser. Il file viene scaricato senza che l’utente o il programma antivirus se ne accorga. Il download può provenire da un sito web legittimo con uno script compromesso, da un servizio pubblicitario o da un sito web dannoso specificamente configurato per avviare il download. Tali attacchi iniziano con phishing tramite e-mail o social media, allegati e-mail e collegamenti pop-up opportunamente celati per convincere gli utenti a visitare un sito web. I criminali informatici sfruttano quindi gli exploit in browser o plug-in per scaricare malware e sferrare l’attacco. Completati questi passaggi, il criminale inizia a danneggiare i sistemi, ad esempio installando cryptominer, un trojan con accesso remoto o un ransomware.
4. Attacchi senza file
La maggior parte dei programmi antivirus si affida all’analisi di un file non appena questo viene scritto sul dispositivo, tuttavia, se non c’è alcun file da cui iniziare, il programma antivirus di solito non è in grado di rilevare il comportamento dannoso.
Gli attacchi senza file si verificano senza l’installazione di un payload reale sul sistema, il che rende molto difficile il rilevamento da parte di un antivirus. Questi attacchi vengono generalmente eseguiti nella memoria dell’endpoint e impiegano PowerShell, rundll32.exe o altre risorse integrate nel sistema per infettare le macchine.
Gli attacchi senza file generalmente iniziano con documenti o script dannosi su un sito web, sebbene questi non siano gli unici metodi utilizzati per compromettere le macchine. Ad esempio, quando un endpoint abilita un protocollo RDP (Remote Desktop Protocol), lascia aperta una porta di ascolto sulla macchina che permette a chiunque di connettersi a essa e di iniziare a eseguire processi dannosi, per esempio il download di malware basato su file reali, la modifica del registro o la sottrazione di dati.
Nella prima metà del 2018 è stato registrato un aumento del 91% di attacchi malware senza file. Poiché la diffusione di tali attacchi è in crescita, le imprese devono superare l’obsoleto sistema di rilevamento basato su file per proteggere al meglio risorse e dati.
5. Malware offuscato
In precedenza, abbiamo illustrato come i professionisti e i ricercatori nel campo della sicurezza cerchino costantemente di stare al passo con i criminali informatici. Le aziende produttrici di antivirus impiegano vari metodi per rilevare la presenza di malware. Una delle procedure più comuni per l’individuazione comporta l’esecuzione di file in ambienti sandbox e l’osservazione di comportamenti sospetti. Un altro diffuso metodo di individuazione consiste nella scansione del codice per cercare segnali che comunemente indicano un intento criminoso.
I criminali informatici hanno scoperto stratagemmi per evitare tutto questo. Nello stesso modo in cui i professionisti nell’ambito della sicurezza implementano misure di difesa per proteggere dati e risorse, gli hacker proteggono i payload dannosi all’interno dei malware.
I malware più recenti rilevano la presenza di un ambiente sandbox, dove non risultano dannosi, per poi sferrare l’attacco nell’ambiente live, il che rende impossibile per l’antivirus rilevarli tramite i metodi comportamentali mentre si trovano nel sandbox.
Un’ulteriore modalità per aggirare i controlli dell’antivirus prevede l’uso dei cosiddetti “packer”, che impiegano la crittografia o la compressione per impedire agli utenti di notarli.
Inoltre, i criminali informatici che creano malware potrebbero integrare il codice dannoso con quello innocuo all’interno di un file, allo scopo di celarlo.
Tutte queste tecniche creano difficoltà ai ricercatori del settore sicurezza, i quali non riescono a rilevare (e comprendere) tali file dannosi. Inoltre, se si impiega un programma antivirus che utilizza le scansioni euristiche all’interno di un ambiente sandbox, tali tecniche aiutano il malware a sfuggire all’individuazione prima che acceda all’ambiente live della macchina.
I vantaggi di almacomp.it
Per proteggere gli utenti dalle minacce moderne, almacomp.it adotta un approccio alla sicurezza su più livelli. Impiegando diversi controlli di sicurezza, è infatti possibile mitigare i rischi di un eventuale attacco. Supponiamo che una soluzione antivirus non sia in grado di rilevare una minaccia. In questo caso, è possibile impiegare la protezione web per bloccare eventuali link dannosi, la protezione e-mail per tenere alla larga spam e tentativi di phishing e la gestione delle patch per eliminare le vulnerabilità del sistema operativo e dei software di terze parti. E, qualora un attacco andasse a buon fine, è possibile utilizzare le funzionalità di backup e ripristino per ripristinare file o sistemi.
