Malware fileless, ennesimo malicious code progettato per risiedere in tutte le aree di sistema volatili come, ad esempio, il registro di sistema, i processi in memoria e le aree di servizio.
Gli esperti di Security fanno quadrato per offrire una via d’uscita.
Malware fileless: che cosa sono
Nello specifico, i malware fileless sono un tipo di attacchi capaci di eludere tutti i sistemi di controllo andando a intaccare prima di tutto le componenti legittime di un sistema. La tecnica, nota come Living Off the Land o Bring Your Own Land, consiste nell’utilizzare quegli strumenti di gestione del sistema incorporati nel sistema operativo o nei sistemi di gestione del sistema che sono di terze parti e che consentono di accedere ad applicazioni, dati e servizi. Live off the land, infatti, significa letteralmente ciò che è dato in natura, che per gli hacker vuol dire usa quel che hai già a disposizione.
Come funzionano gli in-memory malware
Il malware fileless è un ceppo evolutivo di software dannoso che fa riferimenti a un modello costante di auto-miglioramento/potenziamento dell’attacco. Il virus, infatti, in ogni punto della catena infettiva rimane invisibile in quanto riesce a lavorare sull’esecuzione di file che risultano tutti strumenti legittimi. Il programma virale, una volta lanciato, va a intaccare la memoria (ad esempio la RAM) in attesa di un’interruzione del sistema prima di ottenere l’accesso al flusso di controllo e scatenare l’attacco. Ecco perché si chiamano anche in-memory malware.
Esempi di fileless malware: Astaroth
Tra gli esempi di malware fileless residenti nella memoria temporanea gli esperti citano un recente picco di attacchi riconosciuti con vari nomi: Anthrax, Monxla, CodeRed, Slammer, Stuxnet, Duqu, Poweliks, Phasebo e, ultimo in ordine di apparizione, Astaroth.
Astaroth sfrutta applicazioni di sistema o tool nativi di Windows per rubare le credenziali di accesso delle sue vittime e carpire informazioni sensibili. Si tratta di un nuovo ceppo di trojan che nella sua tecnica Live off the land va ad utilizzare anche BITSAdmin, una utility ufficiale di Microsoft Windows progettata per facilitare le operazioni di download o upload. Astaroth usa BITSAdmin per scaricare codice maligno e distribuire l’infezione attraverso campagne e-mail di spam. Il file dannoso si attiva quando l’utente apre un archivio in formato .7zip allegato alla e-mail o inserito in un link sotto forma di immagine Gif o Jpg. Successivamente, il malware si connette a un server e sottrae le informazioni al computer che ha compromesso. Il problema è che il malware fileless è immune alle tradizionali scansioni antivirus.
Come difendersi dai virus fileless
Gli esperti suggeriscono alle aziende di monitorare la memoria di processo per combattere queste minacce. A partire dall’utilizzo di un monitor di sicurezza che risulta un fondamentale per la sicurezza di qualsiasi endpoint. Per inciso, il security monitor è anche inserito tra gli standard del TCSEC (Trusted Computer System Evaluation Criteria) del Dipartimento della Difesa degli Stati Uniti.
Poter contare su un componente di sistema che applica criteri di accesso autorizzati e mappa tutti gli accadimenti di un dispositivo è il migliore sistema di presidio della sicurezza.
Il monitor di sicurezza dell’endpoint, infatti, è indipendente dal sistema operativo e tiene traccia di eventuali configurazioni non sicure o attività dannose che potrebbero influire su un endpoint. In particolare, il monitoraggio della memoria di un qualsiasi endpoint, sebbene possa produrre una quantità enorme di dati, è uno strumento di sicurezza che le aziende dovrebbero prendere in considerazione nella valutazione degli attacchi di malware fileless. Tenendo sotto controllo la memoria, un monitor di sicurezza può determinare quali comandi sono stati eseguiti su un sistema, incluso il rilevamento di attacchi malware fileless che utilizzano PowerShell (in questo caso specifico si parla di Registry-resident, metodo comunemente sfruttato negli attacchi fileless).
L’importanza di monitorare la memoria
Il monitoraggio della memoria per una determinata azione eseguita su un sistema, indipendentemente dal programma che ha avviato l’esecuzione del codice dannoso, potrebbe essere utilizzato per identificare azioni potenzialmente dannose. È il caso di una configurazione di un programma o di uno script da eseguire all’accesso o di una modifica relativa ad altri aspetti legati alla persistenza di un endpoint. In questo caso il monitoraggio della memoria potrebbe rilevare attività correlate a una macro di Microsoft Word che sta eseguendo un download di PowerShell complesso, rivelando così una delle fasi di un attacco.
Se è vero che il monitoraggio della memoria di sistema può generare un’enorme quantità di dati è anche vero che le aziende in questo modo possono usare tattiche evolute di contrasto. Ad esempio, utilizzare regole comportamentali o firme per contrassegnare sequenze di azioni o tentativi di accesso alla memoria che potrebbero essere dannosi. A quel punto, il sistema può generare un avviso che sarà un’utile fonte di indagine per un’analista della sicurezza.
In ogni caso, tenetevi pronti all’evoluzione
Pragmatismo e razionalità impongono ai responsabili della sicurezza di rimanere sempre all’erta. Anche con i malware fileless il cybercrime troverà comunque il modo di superare la vostra linea di difesa. Gli esperti già indicano la direzione: gli sviluppatori cercheranno di evitare il rilevamento, andando ad alterare le API utilizzate per accedere alla memoria nello stesso modo in cui hanno provato a manipolare le API di accesso al disco. I fornitori di sicurezza degli endpoint di conseguenza dovranno migliorare le proprie protezioni anti-manomissione per impedire a questi attacchi di disabilitare o bypassare gli strumenti antivirus.
L’ultimo consiglio alle organizzazioni è di verificare che lo strumento di sicurezza dell’endpoint sia in grado di combattere i malware fileless, determinando quando il fornitore prevede di aggiungere tali funzionalità se non presenti. Altrimenti è molto meglio passare a un nuovo prodotto.
