DoDo
Il Malware moderno è un business. Sono ormai passati i tempi in cui si utilizzavano programmi improvvisati per creare scompiglio e testare le proprie capacità. Oggi ci sono vere e proprie software house che progettano i programmi da lanciare nelle operazioni illecite. Paradossalmente questo ci fornisce nuove possibilità nella lotta quotidiana per proteggere i nostri sistemi (privati od aziendali che siano). Infatti i malware industriali hanno una debolezza fatale: per poter essere utilizzati devono includere una qualche forma di controllo. Nessun professionista sarebbe così scellerato da rilasciare un virus od un trojan che non può controllare. Nessun cliente acquisterebbe un software d’attacco che può infettare i suoi stessi sitemi. Ecco perchè all’interno dei nuovi malware troviamo spesso pezzi di codice Kill Switch pensati per interrompere o controllare l’attività del programma. Proprio queste briglie digitali sono un punto debole nella struttura del programma e diventano uno strumento per arrestare la diffusione di un’infezione.
Vediamo alcuni dei sistemi di controllo più diffusi e come individuarli per poterli utilizzare durante la disinfezione. Diventiamo degli eroi e salviamo la giornata...
1. Sink Hole e Command&Control Server
Chi progetta un malware si trova davanti ad un dilemma fondamentale: deve controllare da remoto l’attività del programma senza rivelare la propria identità. Per raggiungere questo obbiettivo può sfruttare tutto il potere di Internet con il sistema Command & Control. In pratica viene incluso nel programma un pezzo di codice che si collega ad internet ed esegue dei controlli verso un server od un dominio specifico. Nella sua forma più semplice il software si attiva ed infetta il sistema bersaglio solo se non riesce a contattare un dominio specifico. Invece nella versione avanzata diventa possibile dare istruzioni specifiche al software di attacco per eseguire operazioni molto complesse. Chiunque voglia fermare l’infezione deve solo registrare il dominio per arrestare l’attività del malware.
Per individuare questo stratagemma dobbiamo sguinzagliare il malware in un ambiente controllato (macchina virtuale o honeypot) e monitorare l’attività di rete. Un picco di connessioni in uscita indica chiaramente l’attività di C&C server. A questo punto possiamo impostare un sink hole per dare false informazioni al malware. Quando il malware tenta di contattare il suo C&C viene rediretto verso un falso server che lo rende innofensivo. In pratica stiamo usando un attacco man in the middle per disabilitare la minaccia informatica: combattiamo il fuoco con il fuoco.
Vantaggi
- Controllo capillare - Ogni singolo dispositivo infettato comunica i suoi dati e riceve istruzioni.
- Versatilità - Il malware può ricevere istruzioni specifiche ed anche aggiornamenti.
- Conoscere il nemico - Chi si intromette nel sistema di controllo lascia alcune tracce e rivela qualcosa di se.
Svantaggi
- Facile da individuare - Basta eseguire il software in un ambiente controllato per rilevare il traffico di rete anomalo.
- Conoscere il nemico - Chi tenta di controllare il malware lascia delle tracce che rivelano qualcosa di lui (si, è contemporaneamente un vantaggio ed uno svantaggio epr entrambe le parti).
In definitiva questo sistema di controllo è molto versatile ma anche facile da individuare. Può essere compromesso e persino rivelare qualcosa sull’autore dell’attacco.
2. Esecuzione parametrica
Molti malware eseguono controlli preliminari subito prima di iniziare a fare danni. In questo modo riescono ad adattare il proprio comportamente alle caratteristiche del sistema bersaglio e possono proteggere se stessi dai tentativi di analisi. In alcuni casi il software di attacco controlla quale sia la lingua di sistema per attaccare solo nazioni specifiche. Oppure verifica il nome utente per colpire solo determinare realtà aziendali. Lo stesso tipo di controllo serve per prevenire l’analisi di sicurezza: il codice malevolo si autodistrugge quando lo user di sistema è associato ad una macchina virtuale che servirebbe per analizzarlo.
Il malware Anatova ne è un buon esempio. Prima di attivarsi controlla la lingua di sistema per essere sicuro di colpire un bersaglio utile. Inoltre può resistere ai tenativi di analisi perchè si nasconde quando rileva un ambiente di test.
Per individuare questo tipo di minaccia basta monitorare e regolare l’accesso alle informazioni chiave di sistema. Dobbiamo far squillare i campanelli d’allarme ogni volta che il sistema di difesa rileva un interesse eccessivo per i dati delicati. Possiamo anche complicare ulteriormente la vita del malware. Ci basta mascherare le informazioni reali e dare pieno accesso a impostazioni falsate. E’ ovvio che alcune controindicazioni bilanciano i vantaggi di sicurezza e per un utente consumer potrebbe non valerne la pena. Ecco tre esempi pratici per chiarirci le idee.
Possiamo impostare male la lingua, i font, il fuso orario e la geolocazione di sistema. Sulle singole applicazioni andiamo a modificare manualmente le impostazioni per consentire un corretto funzionamento. Invece per il sistema operativo manteniamo i dati falsi e compromettiamo l’identificazione geografica da parte del malware. In alcuni casi il software d’attacco può confondersi al punto da caricare set di dati ingestibili e quidi disattivarsi per un bug.
Utilizzare versioni portable dei programmi è un buon modo per non farli comparire nel registro di sistema. Nel caso in cui il malware sia studiato per infettare programmi specifici non riesce a trovare la sua vittima e resta inattivo. E’ un modo efficace per evitare che qualche PUP comprometta le impostazioni del browser.
Impostare il nome utente ed l’id di macchina caratteristici delle macchine virtuali è utile contro le minacce più avanzate. Questo trucco inganna quei virus che sono in grado di individuare gli strumenti di analisi e si disattivano per ostacolare i tentativi di disinfezione. In pratica li inganniamo e si convincono di essere stati individuati Quindi si inibiscono per passare innosservati.
Vantaggi
- Difficile da individuare - Spesso i controlli del malware rilevano la presenza di una macchina virtuale o di sistemi di monitoraggio e interrompono l'attacco per non dare informazioni al team di difesa.
Svantaggi
- Le cose possono sfuggire di mano - L'azione del malware avviene su gruppi omogenei di vittime e potrebbe sfuggire di mano nel caso di controlli mal programmati.
- E' richiesta un po' di preveggenza - Non è possibile programmare una risposta specifica per ogni singolo valore in cui il malware può incappare.
3. Bomba Logica a Tempo
Utilizzare un timer è il modo classico per controllare un malware. Si tratta di una variante dell’esecuzione parametrica. Il software di attacco controlla l’orologio di sistema e agisce in base a data e ora. Semplice ed efficace.
Risulta più difficile da individuare perchè anche molte applicazioni lecite hanno bisogno di accedere all’orologio per scolgere attività lecite. In compenso è facile da ingannare dato che ci basta modificare l’ora per innescare i comportamenti rivelatori. Ecco perchè in ambiente business conviene pacioccare con gli orologi di sistema almeno una volta al mese. Magari quando nessuno è collegato sulla rete aziendale.
Vantaggi
- Attacchi sicronizzati - E' un modo efficace per coordinare l'azione di più macchine senza utilizzare un server.
- Stealth - Il malware rivela la sua presenza quando è troppo tardi. Sembra funzionare tutto correttamente fino ad un attimo prima dell'attacco.
Svantaggi
- Sincronizzazione imperfetta - Non sempre l'orologio di sistema è attendibile. Ad esempio i problemi di batteria sui computer portatili possono farsare la data e l'ora di sistema.
Riassumendo
- Controlliamo il traffico di rete sospetto.
- Proteggiamo le impostazioni di sistema anche dalla lettura.
- Impostiamo dati di copertura.
- Periodicamente giochiamo con l'orologio di sistema.
