martedì 8 maggio 2018

Come i malware provano a ingannare gli antivirus: le tecniche di evasione


Malware in crescita...
Il rapporto Clusit 2018 (relativo al 2017 ovviamente) segnala che i malware in diffusione sono cresciuti del 95% rispetto al 2016, anno nel quale la crescita rispetto al 2015 arrivò al +116%. Sono aumentate anche del 7% circa le tecniche APT (Advanced Persistent Threat) e Multiple Tecnhiques, ritenute le forme di minaccia più sofisticate.

In questo contesto spicca il fatto che è ormai prassi abbastanza consolidata tra gli sviluppatori di malware quella di introdurre modifiche e aggiustamenti al codice del malware stesso affinchè possa passare inosservato agli strumenti di rilevazione previsti dagli antivirus. Vediamo le tecniche base di elusione. E'interessante conoscere le tecniche di attacco e anche vedere un pò come si sono evolute: sarà utile a farci capire quanto sia importante una solida soluzione antivirus che offra protezione multi-livello, ma servirà anche a ribadire quanto sia sempre l'utente il fulcro della difesa, l'anello debole. 

Distribuzione delle tecniche di attacco
Una immagine tratta dal rapporto Clusit, utile a dimostrate che i Malware sono sicuramente la minaccia più diffusa, ma non la sola minaccia.


Tecniche di evasione degli antivirus
Ne elencheremo alcune, utilizzate nel corso degli ultimi anni, sopratutto usate per evadere la protezione antimalware.

1. Splitters e Binders
Gli Splitters sono programmi che consentono di "spezzettare" un file dannoso in più parti, così da renderne assai più complicata l'individuazione. Ha un contro: l'attaccante deve "trascinare" sulla macchina bersaglio lo stesso programma col quale ha spezzettato il file dannoso, perchè possa ricomporlo e infettare davvero la vittima. 

I Binders uniscono due eseguibili in un solo file: eseguire il primo avvierà in background il secondo. Di solito viene generato un nuovo file: questo conterrà alla fine il codice malevolo, le cui dimensioni in termini di byte saranno pari alla somma di entrambi i file. L'antivirus quindi penserà di trovarsi di fronte ad un file innocuo, dato che la firma che legge non è affatto quella del file dannoso: in sunto l'antivirus non si attiverà. Simili ai Binders sono i Packers: consentono di unire un file malevolo ad uno innocuo, come i binders, rendendo difficile l'individuazione tramite firma come spiegato poco sopra. 

2. Offuscamento del codice
Sono le tecniche di evasione più recenti e sono di vario tipo. I principali sono due:
  • Polimorfismo: è un virus che si crittografa da solo cambiando la propria firma, quindi è difficilissimo da individuare.
  • Metaformismo del codice: in questo caso il codice viene criptato e nel file finale viene incorporato anche la funzione per la decriptazione del codice, necessaria per poterlo eseguire. Il codice viene manipolato anche per impedirne il debugging e il disassemblaggio: aumentano così le possibilità di non essere individuato, ma questa tecnica rende anche difficile agli esperti di sicurezza il poter procedere ad analisi.

3. Malware file-less
Sono malware che non necessitano di trasferire nella memoria locale i file di cui abbisognano per funzionare. Il codice dannoso viene infatti inserito direttamente nella RAM o nel Registro di sistema, ma anche a livello di terminale Windows come PowerShell: in sunto sono malware capaci di sfruttare le vulnerabilità di un sistema senza scrivere alcun file sul disco rigido locale. Questo rende assai difficile l'individuazione per gli antivirus, a meno che non siano dotati di un modulo di individuazione comportamentale. Per un ulteriore approfondimento, vedi qui

4. Malware con firma digitale rubata
La tecnica base di individuazione di un antivirus si basa sulla lettura della firma digitale di un file. I certificati digitali sono rilasciati da autorità di certificazione riconosciute: quando un software antivirus analizza programmi con tali firme, li considera immediatamente attendibili, quindi non mette in campo alcuna contromisura. Da qualche anno questo meccanismo è alla base di un fiorente mercato, nel dark web, di certificati digitali legittimi rubati, acquistati da cyber attaccanti che apponendo tali certificati ai proprio malware sono sicuri di bypassare la quasi totalità degli antivirus. Meno efficace, ma talvolta forirero di successo, è invece l'uso di certificati comrpomessi, meno costosi e più facilmente rintracciabili di quelli legittimi. Per un ulteriore approfondimento, vedi qui.

Nessun commento:

Posta un commento