Perché la tua Soluzione di Sicurezza non è in Grado di Raccogliere i Malware Evasivi?

Siete già ben consapevoli della pericolosità di una minaccia malware per la vostra organizzazione. Questo spiacevole mezzo tramite il quale subentrano ransomware, attacchi esterni e violazioni dei dati è diventato così dilagante che disponete di livelli di sicurezza proprio per proteggere la vostra organizzazione da questo mezzo di attacco.  Quindi, è probabile che abbiate già installato Antivirus piuttosto attuali, di “nuova generazione”, servizi di scansione e-mail e altre soluzioni, eppure i malware continuano a trovare una strada per i vostri endpoint, abbiamo indovinato?

Ma, anche con soluzioni multiple che lavorano tutti insieme per rilevare ed eliminare la minaccia del malware, la domanda da porsi è: “perché i malware continuano ad entrare?” È forse il produttore della soluzione che avete scelto? I metodi di rilevamento? Le definizioni antivirus? Oppure è qualcosa che non riguarda nessun aspetto della protezione in sé, ma che riguarda invece il malware stesso?

I malware venivano usati per vanificare i diritti dell’autore, oggi invece, essi sono un prodotto software creato da aziende della criminalità organizzata, le quali cercano di trarre profitto sia generando gli attacchi stessi o vendendo malware (o delle loro componenti) come servizio online sul deep web. Così, proprio come qualsiasi azienda di software, anche i produttori di malware hanno bisogno di realizzare un prodotto che funzioni nel tempo, cioè deve avere successo nella sua capacità di agire, come promesso, in uno scenario di attacco.

Per questo motivo, negli ultimi anni gli sviluppatori di malware si sono dedicati alla creazione di malware evasivi, vale a dire di malware che, come parte del proprio codice, funzionano in modo da evitare il loro rilevamento da parte delle soluzioni utilizzate nell’ ambito della strategia di difesa presente dalla parte che viene attaccata.

Il malware evasivo utilizza quindi una serie di tecniche per evitare di essere rilevato:

  • Elude le Sandboxes – molte soluzioni Antivirus e di Email Gateway si avvalgono di un ambiente virtuale isolato in cui estrarre gli allegati per monitorarne il comportamento. Il malware evasivo controlla l’ambiente e, se ritiene che esista all’ interno di esso una sandbox (una scansione dell’ambiente per file, chiavi di registro e processi dannosi), allora rimane dormiente.
  • Elude le Soluzioni Antivirus e di Sicurezza Genrale – Le differenze tra Antivirus, Antivirus di “nuova generazione”, soluzione di sicurezza degli endpoint, gateway di messaggistica e rilevamento e risposta (EDR) degli endpoint si confondono un po’ quando si raffrontano i fornitori di sicurezza che li producono. In generale, tutti impiegano uno o più metodi (firma, euristica, machine learning, IA, comportamento, ecc.) per identificare i malware. Un malware evasivo è in grado di evitare questi tipi di soluzioni di sicurezza utilizzando le stesse tecniche di scansione delle sandbox (e rimanendo quindi dormiente), nonché utilizzando l’iniezione di memoria, ovvero offuscare così la presenza di malware all’ interno di un processo “normale”, evitando totalmente il suo rilevamento.
  • Elude gli Strumenti di Analisi – Strumenti come Wireshark o Process Explorer vengono adoperati anche per individuare ed esaminare i malware, consentendo ad un analista di identificare una firma, un modello o un comportamento che può essere utilizzato per prevenire ulteriori attacchi. Analizzando l’ambiente per rilevare la presenza di questi strumenti nella memoria, il malware evasivo può rimanere inattivo ed evitare il proprio rilevamento.

C’è un altro pezzo del puzzle che aiuta i malware ad eludere gli antivirus da non trascurare: gli sviluppatori di malware sono a conoscenza degli strumenti utilizzati per rilevarli, analizzarli e neutralizzarli. Quindi, durante lo sviluppo, il malware può essere testato su un’istanza isolata di una qualsiasi delle soluzioni disponibili. Anche se nessuno sviluppatore di malware ha il tempo di testare il proprio codice contro ogni singolo prodotto di sicurezza sul mercato, i soldi provenienti da un riscatto ottenuto o da una violazione dei dati riuscita possono giustificare la fase di testing contro le principali minacce al fine di migliorare il software.

Non puoi prendere ciò che non puoi vedere

In breve, il malware elusivo è paranoico: non vuole essere visto, trovato, notato o documentato. Quindi, usando tecniche come il controllo dell’ambiente, evitando l’esecuzione quando ci si trova in un ambiente ostile e iniettando il codice direttamente nella memoria, questo tipo di malware riesce a non essere rilevato. Questo lo rende uno degli strumenti offensivi più pericolosi al giorno d’oggi.

Anche con un approccio a più livelli che utilizzi alcune delle soluzioni menzionate in questo blog,   progettate per rilevare malware che si concentrano sull’infezione, il malware elusivo riesce a farla franca. Ciò di cui c’è bisogno è un ulteriore livello di protezione progettato specificamente per affrontare il malware evasivo. Quindi, piuttosto che prendere questa forma di malware “invisibile”, queste soluzioni mirano semplicemente a neutralizzare la capacità di funzionare del programma.

Scopri di più sul perché devi aggiornare la tua strategia Anti-Malware leggendo Evasive Malware: How and Why your Anti-Malware Strategy Needs to Evolve Beyond AV.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *