Sicurezza

Attenzione: gli attacchi malware fileless sono in aumento

Sono nuovi virus e sono in grado di infettare i sistemi senza lasciare traccia con alcun file. Ecco come agiscono i malware fileless e qual è il modo migliore per fermarli

Pubblicato il 07 Mar 2016

security-265130-640-160303192414

Gli attacchi fileless prevedono la totale eliminazione dal sistema dei file utilizzati per effettuare l’azione malevola. Gli esperti hanno evidenziato alcuni suggerimenti da prendere in considerazione per conoscere meglio il comportamento dei malware fileless e tenere alta la guardia per garantire la sicurezza del sistema informatico aziendale.

Gli hacker, infatti, vogliono agire il più furtivamente possibile per ridurre la possibilità che i propri attacchi siano prontamente rilevati. Ciò significa applicare il minor numero di modifiche al sistema che si sta hackerando, lasciando quindi su di esso la minor quantità di prove dell’avventuo attacco. Il perché è di semplice intuizione: più a lungo un attacco rimanere inosservato, maggiore è la probabilità che possa raggiungere l’obiettivo.

Quali sono i malware fileless più comuni

Recentemente gli autori di attacchi malware hanno messo appunto strategie altamente sofisticate che permettono loro di utilizzare funzionalità come Windows Management Instrumentation e Windows PowerShell per eseguire un attacco senza salvare alcun file sul disco. Secondo gli esperti, i malware fileless più comuni si possono suddividere in tre tipologie:

  • Memory resident: in questo tipo di fileless il malware utilizza lo spazio di memoria di un file legittimo di Windows. Il virus carica il proprio codice nella memoria e lì rimane finché non si accede al file o quest’ultimo viene riattivato. Anche se l’esecuzione avviene all’interno dello spazio di memoria del file legittimo, vi è un file fisico dormiente che avvia o riavvia l’esecuzione. Di conseguenza, questo tipo di malware non è da considerarsi completamente fileless.
  • Rootkit: alcuni malware fileless celano la propria presenza dietro l’interfaccia di programmazione di un’applicazione, a livello utente o a livello di kernel. In questo caso un file è effettivamente presente sul disco, ma in modalità stealth. Anche questo questo tipo di malware non è quindi completamente fileless.
  • Windows registry: alcuni nuovi tipi di malware fileless risiedono nel registro del sistema operativo Windows. Gli autori del malware sfruttano caratteristiche come la cache delle thumbnail Windows che in Windows Explorer è utilizzata per la memorizzazione delle immagini. Questa cache agisce come un meccanismo di persistenza per il malware.

Come agiscono i malware fileless

Intel Security ha presentato una panoramica dettagliata sui malware fileless nel McAfee Labs Threats Report pubblicato a fine 2015. Il rapporto descrive il modo in cui i virus fileless sono in grado di eliminare tutti i file salvati sul disco del sistema infetto, salvare i dati crittografati nel registro di sistema, iniettare il codice nei processi in esecuzione e utilizzare PowerShell, Windows Management Instrumentation e altri strumenti per rendere estremamente difficoltosa la rilevazione della minaccia. I dati salvati nel registro di sistema sono salvati anche in modo da permettere l’esecuzione del virus all’avvio, non consentendo però a un normale utente di visualizzare o accedere a tali specifici dati di sistema. Occorre notare che esistono tuttavia anche motivi legittimi per memorizzare i dati criptati nel registro di sistema o per utilizzare alcune delle altre tecniche sfruttate dagli hacker per nascondere i loro malware: alcune applicazioni, per esempio, potrebbero memorizzare una password crittografata nel registro di sistema per motivi di protezione. Per eseguire le istruzioni su un computer Windows, il sistema operativo ha bisogno di sapere prima che istruzioni eseguire; ciò può avvenire per esempio per l’apertura di un allegato, cliccando su un link presente in una e-mail, all’apertura di un file sul computer o nel caso si utilizzi una condivisione di file remota.

Inserire un codice in un processo in esecuzione richiede che prima venga svolta una di queste azioni. Una volta che il codice è in memoria, può eseguire qualsiasi azione consentita all’utente stesso. Se l’utente ha un accesso da amministratore del sistema, quest’ultimo può essere completamente compromesso, ma se l’account ha un accesso limitato, saranno necessari ulteriori passaggi per attaccare completamente il sistema. I ricercatori hanno descritto come il malware Kovter utilizza tecniche più avanzate per infettare il sistema in modalità fileless: Kovter è distribuito via e-mail o attraverso siti web maligni e, una volta che il malware viene eseguito sul computer locale, scrive in JavaScript sul registro di sistema che a sua volta richiama uno script PowerShell crittografato, anch’esso memorizzato nel sistema. Dal momento che non viene salvato alcun file e si utilizza PowerShell per nascondere il processo, il malware risulta così più difficile da identificare. Tipi di malware più datati, invece, dopo la distribuzione iniziale non presentano questi passaggi avanzati.

Proteggere il sistema aziendale dai malware fileless

Il primo passo nella difesa contro un attacco di malware fileless è quello di garantire che gli endpoint siano sicuri con patch aggiornate. Occorre inoltre assicurarsi che gli utenti abbiano esclusivamente account con accessi standard, oltre a utilizzare strumenti anti-malware a livello di endpoint per proteggere i dispositivi. Tali operazioni devono essere attuate secondo un profondo approccio difensivo, scansionando con attenzione le connessioni di rete e il sistema di posta elettronica. Questi passi essenziali diminuiranno le possibilità che un virus possa inserirsi nel sistema. Gli strumenti di sicurezza degli endpoint che controllano il comportamento di un file eseguibile e le operating sistem call potrebbero inoltre rilevare collegamenti esterni non autorizzati o accessi non previsti al registro di sistema. Inoltre, per impedire l’esecuzione di PowerShell dannosi, l’impostazione più importante da verificare è che possano essere eseguiti solo gli script con firma digitale.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati