Di seguito spiegheremo l’importanza di un antimalware specializzato e dedicato per la nostra azienda.
01
Perchè un antimalware
Perchè un antimalware? Si può certamente affermare che la minaccia dei malware è antica quasi quanto la storia dell’IT. Dal Creeper Worm degli anni 70, passando per i “boot sector virus” degli anni 80, si è arrivati ai nostri giorni con una crescita verticale (come numero e volume) ed orizzontale (tipologia e funzionalità) delle minacce. L’evoluzione di Internet, dei social networks, della telefonia mobile, hanno sicuramente contribuito al carattere esponenziale del fenomeno. Va di per sé che la lotta tra gli sviluppatori di malware e quelli di antimalware va di pari passo con la sempre maggiore complessità delle tecnologie e delle risorse messe in campo per contrastare gli attacchi informatici.
"CONTINUO AGGIORNAMENTO DEGLI ANTIMALWARE"
Questo ha portato a una crescita infinita del confronto tra minacce e contromisure, determinando una continua escalation e anche la nascita di business industriali. In tempi più recenti, ransomware e malware similari hanno proliferato costringendo ad un continuo aggiornamento degli antimalware di contrasto, soprattutto nel campo della protezione degli endpoint e dell’infrastruttura di rete. Il problema non può essere sottovalutato in quanto al numero già esorbitante di minacce censite (oltre 4.000.000 solo facendo riferimento al Kaspersky Lab) si aggiunge l’estrema facilità di creazione di nuovi virus resa possibile dalla disponibilità di appositi toolkit che consentono la creazione di sofisticati pattern di attacco anche da parte di sviluppatori non necessariamente “formati” sul tema.
Antimalware composto da un set di funzionalità verticali in grado di proteggere attivamente un’infrastruttura.
02
di quale tipologia di antimalware ho bisogno?
Per comprendere quale antimalware occorre utilizzare per difendersi occorre conoscere le tipologie di malware che potrebbero mettere in difficoltà la nostra attività. Nell’accezione qui adottata, un software malevolo, altrimenti detto malware, è qualsiasi tipo di software specificamente pensato per distruggere, danneggiare o semplicemente ottenere accesso non autorizzato a un sistema informatico e i suoi dati. A seconda dello scopo o del metodo di attacco, i malware possono essere suddivisi in varie categorie non necessariamente esclusive tra loro..
- Adware: malware progettati per generare automaticamente annunci pubblicitari, solitamente sull’interfaccia grafica dell’utente.
- Backdoor: software creato per scavalcare i meccanismi di sicurezza del sistema in modo da agevolare un attacco dall’esterno.
- Bot: software progettato per eseguire automaticamente operazioni come attacchi DDoS (Denial Of Service), o diffondere altri malware. I Bot sono parte di una BotNet, ovvero una rete di computer infettati da software dannoso in modo da poter essere controllati in remoto. I computer vengono forzati a inviare spam, diffondere virus o lanciare attacchi DDoS senza che i veri proprietari dei computer ne siano consapevoli.
- Downloader: un downloader è un programma con lo scopo di scaricare e installare altri malware.
- Launcher: software progettato per mandare in esecuzione in modo furtivo altri processi o malware.
- Ransomware: software malevolo che impedisce l’accesso a file e risorse di proprietà dell’utente crittografando i file o bloccando altre funzionalità del sistema. Il software consente lo sblocco delle risorse tramite il pagamento di un riscatto.
- RootKit: malware progettato per nascondere altri malware.
- Spyware: software pensato per spiare e raccogliere informazioni sensibili dal computer dell’utente.
- Trojan: software malevolo che si nasconde dentro un software “utile” e sfrutta l’installazione di quest’ultimo per infettare il sistema.
- Virus: malware in grado di diffondersi da un computer all’altro legandosi ai file eseguibili.
- Worm: il worm è una particolare categoria di malware in grado di auto replicarsi. È simile ad un virus ma, a differenza di questo, non necessita di legarsi ad altri programmi eseguibili per diffondersi, ma a tale scopo utilizza altri computer, ad esempio tramite e-mail e una rete di computer.
Modulo antimalware che consente di applicare un blocco sul Firewall perimetrale o BlackHole router sui Border router.
03
EVOLUZIONE DELLE MINACCE E NUOVI APPROCCI ANTIMALWARE
La diversità, la sempre maggiore complessità e il sempre maggior numero di minacce pone una sfida enorme alla ricerca della sicurezza dei sistemi informatici e alla creazione di antimalware aggiornati e specializzati. I malware si evolvono continuamente costringendo gli analisti e i ricercatori a mantenere il passo e implementare nuove tecniche difensive. La proliferazione dei malware si è accompagnata al diffondersi del polimorfismo del codice, in grado di evitare il rilevamento e nasconderne le vere finalità. Malware polimorfici usano dei motori di generazione del codice a loro volta polimorfici, e al tempo stesso riescono a mantenere inalterate le funzionalità malevole. I malware che ricorrono alla compressione e alla crittografia del codice, una volta residenti in memoria ripristinano il codice malevolo (magari nascosto sotto vari livelli di compressione-crittografia) e lo eseguono. La combinazione di queste ed altre tecniche, rende il processo di analisi e produzione di software antimalware sempre più dispendioso in termini di tempo e risorse.
"LE TECNICHE TRADIZIONALI DI ANALISI... PRESENTANO DEI PROBLEMI NON DEL TUTTO RISOLTI PER I PROGETTISTI DI ANTIMALWARE"
Le tecniche tradizionali di analisi, basate sia sull’esame statico che dinamico, presentano dei problemi non del tutto risolti per i progettisti di antimalware. Per esempio la tecnica comunemente usata di rilevare le “impronte virali” consiste nell’individuare un set distintivo di funzioni e caratteristiche (feature extraction) che identifica univocamente un processo malevolo. Tuttavia antimalware basati sull’individuazione delle impronte virali spesso non sono in grado di individuare le nuove varianti. Per evitare questo problema, l’unica strada è l’analisi dinamica o “comportamentale” del processo, per determinare se il processo stesso è un malware o meno. Purtroppo anche questo procedimento ha i suoi limiti, in quanto richiede i suoi tempi di esecuzione e non sempre si riesce a creare antimalware in grado di agire proattivamente senza creare falsi positivi o, peggio, falsi negativi. Per far fronte ai problemi sopra citati e soprattutto per affrontare il problema dei virus non precedentemente classificati (zero-day attack), sono stati proposti approcci innovativi, tra cui l’intelligenza artificiale ed il machine learning (ML) per integrare le soluzioni antimalware esistenti.
Il modulo antimalware Threat News raccoglie i dati a livello mondiale delle minacce attive, indicandone gli IOC (indicatori di compromissione, indirizzi IP, e segnature quale sha1-2), ed altri dati tra cui l’IP attaccante, tipologia di attacco e destinazione.
04
CHI SI OCCUPA DELLA CREAZIONE E DELLA MESSA IN CIRCOLO DI UN MALWARE?
Importante è anche comprendere chi sta dietro alla produzione di software malevoli. Comprendere il modo di ragionare e il perché di determinate attività permette di creare software antimalware ad hoc. Autori dei malware o di tentativi di attacco portati con altri mezzi, sono personaggi di vario tipo e natura che nell’immaginario collettivo vengono definiti hacker. Il termine hacker deriva dall’inglese “to hack” che significa, letteralmente, tagliare, fare a pezzi, intaccare. In particolare, riprendendo la definizione del vocabolario Treccani, un hacker è colui che “servendosi delle proprie conoscenze nella tecnica di programmazione degli elaboratori elettronici, è in grado di penetrare abusivamente in una rete di calcolatori per utilizzare dati e informazioni in essa contenuti, per lo più allo scopo di aumentare i gradi di libertà di un sistema chiuso e insegnare ad altri come mantenerlo libero ed efficiente”.
"INNUMEREVOLI RAGIONI PER CUI SI PUO' FARE RICORSO ALL'HACKING"
Nell’immaginario collettivo, gli “hacker” sono giovani menti geniali autodidatte o programmatori disonesti dotati delle competenze per manipolare un hardware o software informatico per usi non previsti dagli sviluppatori. Si tratta, però, di un’idea limitata, che non prende in considerazione le innumerevoli ragioni per cui si può fare ricorso all’hacking. La natura dell’hacking è tecnica (ad esempio, la creazione di malvertising che trasmette il malware in un attacco drive-by senza richiedere l’interazione dell’utente). Gli hacker, però, possono anche ricorrere alla psicologia per ingannare l’utente e convincerlo a fare clic su un allegato dannoso o a fornire dati personali (eludendo in questo modo l’antimalware). Queste strategie rientrano “nell’ingegneria sociale”. È più corretto considerare il termine “hacking” come iperonimo che comprende le attività che si celano dietro quasi tutti gli attacchi malware ai sistemi informatici pubblici, aziendali e statali. Se prima l’hacking era un dispetto compiuto da ragazzini, oggi è un’attività che rende miliardi di dollari, i cui partecipanti hanno stabilito un’infrastruttura criminale che sviluppa e vende strumenti per l’hacking pronti all’uso destinati ad aspiranti truffatori dotati di competenze tecniche meno sofisticate (i cosiddetti “script kiddie”). Si pensi, ad esempio, al ransomware-as-a-service. I motivi per cui gli hacker provano a fare irruzione nei computer e nelle reti bypassando o neutralizzando gli stessi antimalware possono essere genericamente raggruppati in quattro punti:
- Per ottenere illegalmente un guadagno finanziario, commettendo il furto di numeri di carte di credito o truffando i sistemi bancari.
- Il secondo motivo riguarda soggetti spronati dalla fama e dalla reputazione nella sottocultura degli hacker, che lasciano "firme" sui siti vandalizzati solo per dare prova di essere riusciti nell'impresa.
- C'è poi lo spionaggio aziendale, che riguarda il furto, operato dagli hacker di un'azienda, di informazioni relative a prodotti e servizi dei concorrenti per ottenere un vantaggio sul mercato.
- Infine, vi è l'hacking patrocinato dagli stati che consiste nel furto di business e/o dati di intelligence nazionale con l'obiettivo di destabilizzare l'infrastruttura degli avversari o per seminare discordia e confusione nel Paese colpito.
Esiste ancora un’altra categoria di criminali informatici: gli hacker spinti da una motivazione sociale o politica. Sono hacker attivisti o “hacktivist” in inglese, richiamano l’attenzione pubblica su un problema prendendo di mira l’obiettivo e rendendo in genere pubblici i suoi dati sensibili. Per sapere di più su importanti gruppi di “hacktivist” e sulle loro imprese più celebri, vedi Anonymous, WikiLeaks, e LulzSec.
E’ la componente antimalware della TssT che viene alimentata dai payload malevoli scovati dalla Threat News.
05
BREVE STORIA SUI MALWARE E HACKER FAMOSI
Persino le grandi potenze mondiali, dalla Cina agli Stati Uniti e dalla Russia all’Iran, investono ogni anno diversi miliardi nella protezione delle proprie informazioni strategiche attraverso il potenziamento delle difese informatiche che includono la progettazione e l’implementazione di antimalware sempre più aggiornati. Questo perché, negli anni, hanno pagato a caro prezzo l’essersi fatti trovare impreparati davanti a famosi attacchi informatici che hanno segnato il corso degli eventi.
Stuxnet
Dal 2006 al 2010, Israele e Stati Uniti lanciarono un worm conosciuto con il nome di Stuxnet, che durante questi anni colpì la centrale di Natanz, in Iran. Prima che venisse scoperto, la funzione principale del malware era quella di aumentare la velocità delle turbine dell’impianto, danneggiandole.
Uno dei primi attacchi memorabili risale al 2013 e prende il nome di Spamhaus. Nel mirino degli hacker, o per meglio definirli spammer, era l’organizzazione internazionale Spamhaus, leader per la fornitura di strumenti anti-spam, locata tra Londra e Ginevra. È definito uno dei più grandi DDoS della storia, secondo gli esperti in materia. L’attacco DDoS è, infatti, una delle principali minacce informatiche e sfide per i progettisti di antimalware, e consiste nel mettere fuori gioco un sito rendendolo praticamente irraggiungibile. L’acronimo indica non a caso il Distributed Denial of Service. A subire le maggiori ritorsioni sono stati tutti i server di Spamhaus. L’attacco informatico di questo tipo, infatti, mira direttamente ai server o ai data center, inondandoli di false richieste di accesso a velocità raddoppiata. In questo modo i server non riescono a tenere il passo e risultano irraggiungibili. Nel caso di Spamhaus si è stimata l’applicazione di 300 GB al secondo. Le congestioni del flusso dei dati sono state rilevate in poco tempo in diversi paesi, dal Lussemburgo alla Gran Bretagna.
SPAMHAUS
Il modulo antimalware consente di effettuare la Malware Analysis eseguendo processi sospetti rilevati dal motore di AI in un ambiente di test protetto (Sandbox).
MIRAI
Nel 2016 al centro dell’attenzione è finito Mirai, un malware che trasforma tutti gli oggetti connessi alla rete in una botnet. Ciò vuol dire che i dispositivi erano controllabili da remoto. Come nel primo caso elencato, anche in questo l’attacco era di tipo DDoS: i server nel mirino degli hacker sono stati sovraccaricati di richieste fino al punto in cui non è stato più possibile raggiungerli. I dispositivi che con maggiore facilità sono vulnerabili a questo virus sono le telecamere, i navigatori, oggetti di uso comune, la cui debolezza risiede nella password. Spesso, infatti, gli utenti non apportano modifiche alla chiave d’accesso rendendo facile a un esperto informatico entrare al suo interno, sfruttando il vocabolario delle password più comuni usate.
Uno dei più famosi attacchi hacker risale al 2017 e ha come protagonista un ransomware battezzato WannaCry. WannaCry ha reso famosi nel mondo i ransomware. Questo virus rende inaccessibili i dati contenuti nei computer in cui si è annidato. Successivamente richiede ai suoi proprietari il pagamento di elevate cifre per ottenere in cambio una password in grado di ripristinare tali dati. Il danno provocato a WannaCry è stato enorme: sono stati registrati circa 45mila attacchi in 74 Paesi. Sotto attacco anche i pc degli ospedali, come nel caso della Gran Bretagna, a dimostrazione della portata dell’attacco hacker.
WANNACRY
Il modulo antimalware Hack-Back è spendibile in ambienti Militari/Governativi di alto valore strategico, in quanto è in grado di difendere quelle infrastrutture che necessitano di una protezione informatica attiva.
NOTPETYA
NotPetya è considerato l’attacco hacker più costoso della storia poiché nel suo mirino sono state poste soprattutto le aziende. Punto di partenza per la diffusione del ransomware è stato il software MeDoc: i clienti, scambiato il virus per un aggiornamento, hanno facilitato, attraverso il download, la diffusione del virus su tutta la rete. È stato stimato un danno economico pari a 10 miliardi di dollari.
In tempi recentissimi ha destato scalpore l’attacco subito dal sito istituzionale della Regione Lazio partito da un computer di un dipendente in smart working (al momento non sono disponibili dettagli sulle cause principali). Una delle ipotesi investigative è che l’attacco sia arrivato tramite un fornitore di servizi di sicurezza alla Regione compromesso da un ransomware da mesi. Tramite questa compromissione sono state rubate varie password VPN dei clienti di questo fornitore. Al momento la versione ufficiale è che il dipendente sia stato contagiato da malware (forse per aver cliccato su un link in mail phishing) anche se la propagazione del malware potrebbe essere stata agevolata da un errore di progettazione della security. Le conseguenze dell’attacco sono state a carico dei dati sanitari di milioni di cittadini ed in particolare quelli relativi alla contemporanea campagna vaccinale per il COVID-19. Sono andati inoltre persi o compromessi migliaia di documenti regionali necessari per garantire l’operatività. Per non parlare del danno di immagine riportato dall’istituzione stessa.
ATTACCO INFORMATICO ALLA REGIONE LAZIO
Questo modulo antimalware vuole essere l’estensione di una protezione locale più approfondita verso target locali interni e verso attacchi degli insider.
TIPOLOGIE DI ANTIMALWARE
Fondamentalmete esistono tre tipologie di antimalware.
- Antimalware basato sulla rilevazione della firma. Sulla base di componenti software dannosi e le loro firme digitali vengono prodotte delle firme digitali per identificare software dello stesso tipo e contrassegnarlo come malware.
- Antimalware basato sul comportamento. In questo caso il malware viene identificato analizzando il suo comportamento al posto di come appare. A tal scopo vengono impiegati algoritmi di apprendimento automatico.
- Antimalware basato sulla sandbox. La sandbox è una funzionalità antimalware utilizzata per isolare i file potenzialmente dannosi dal resto del sistema.
L’intera suite antimalware dispone di un sistema di supporto di assistenza al cliente, tramite il quale è possibile ottenere qualunque forma di assistenza sull’utilizzo della suite stessa o per la soluzione di eventuali anomalie.
IL RUOLO DI TECNINF
Tecninf investe notevoli risorse in ricerca e sviluppo nel campo degli antimalware dedicati alla sicurezza proattiva (FUTURE-READY ATTACK PROTECTION).
Tra gli strumenti di punta sviluppati nei laboratori Tecninf, ci teniamo a menzionare la Tsst, Tecninf Security Smart Tool.
La Tecninf Security Smart Tool è una suite antimalware composta da vari moduli: tra i principali, il modulo dedicato all’analisi degli attacchi che contrattacca immediatamente l’invasore. Un altro modulo di questa suite denominata Dark Criminal Intelligence fa un’analisi nel deep web e nel dark web di tutte le potenzialità di attacco di un target e lo prepara alla difesa.
Questo modulo antimalware eroga funzionalità in grado di installare il security agent TssT da remoto in background, direttamente dalla repository degli agent dashboard, senza intervento manuale e senza far intervenire ulteriori risorse per l’ installazione software.