3 Vulnerabilità Fatali del Malware

3 Vulnerabilità Fatali del Malware
Il Malware moderno è un business. Sono ormai passati i tempi in cui si utilizzavano programmi improvvisati per creare scompiglio e testare le proprie capacità. Oggi ci sono vere e proprie software house che progettano i programmi da lanciare nelle operazioni illecite. Paradossalmente questo ci fornisce nuove possibilità nella lotta quotidiana per proteggere i nostri sistemi (privati od aziendali che siano). Infatti i malware industriali hanno una debolezza fatale: per poter essere utilizzati devono includere una qualche forma di controllo. Nessun professionista sarebbe così scellerato da rilasciare un virus od un trojan che non può controllare. Nessun cliente acquisterebbe un software d’attacco che può infettare i suoi stessi sitemi. Ecco perchè all’interno dei nuovi malware troviamo spesso pezzi di codice Kill Switch pensati per interrompere o controllare l’attività del programma. Proprio queste briglie digitali sono un punto debole nella struttura del programma e diventano uno strumento per arrestare la diffusione di un’infezione.

Vediamo alcuni dei sistemi di controllo più diffusi e come individuarli per poterli utilizzare durante la disinfezione. Diventiamo degli eroi e salviamo la giornata...

1. Sink Hole e Command&Control Server

Chi progetta un malware si trova davanti ad un dilemma fondamentale: deve controllare da remoto l’attività del programma senza rivelare la propria identità. Per raggiungere questo obbiettivo può sfruttare tutto il potere di Internet con il sistema Command & Control. In pratica viene incluso nel programma un pezzo di codice che si collega ad internet ed esegue dei controlli verso un server od un dominio specifico. Nella sua forma più semplice il software si attiva ed infetta il sistema bersaglio solo se non riesce a contattare un dominio specifico. Invece nella versione avanzata diventa possibile dare istruzioni specifiche al software di attacco per eseguire operazioni molto complesse. Chiunque voglia fermare l’infezione deve solo registrare il dominio per arrestare l’attività del malware.
Per individuare questo stratagemma dobbiamo sguinzagliare il malware in un ambiente controllato (macchina virtuale o honeypot) e monitorare l’attività di rete. Un picco di connessioni in uscita indica chiaramente l’attività di C&C server. A questo punto possiamo impostare un sink hole per dare false informazioni al malware. Quando il malware tenta di contattare il suo C&C viene rediretto verso un falso server che lo rende innofensivo. In pratica stiamo usando un attacco man in the middle per disabilitare la minaccia informatica: combattiamo il fuoco con il fuoco.

Vantaggi

Svantaggi

In definitiva questo sistema di controllo è molto versatile ma anche facile da individuare. Può essere compromesso e persino rivelare qualcosa sull’autore dell’attacco.

2. Esecuzione parametrica

Molti malware eseguono controlli preliminari subito prima di iniziare a fare danni. In questo modo riescono ad adattare il proprio comportamente alle caratteristiche del sistema bersaglio e possono proteggere se stessi dai tentativi di analisi. In alcuni casi il software di attacco controlla quale sia la lingua di sistema per attaccare solo nazioni specifiche. Oppure verifica il nome utente per colpire solo determinare realtà aziendali. Lo stesso tipo di controllo serve per prevenire l’analisi di sicurezza: il codice malevolo si autodistrugge quando lo user di sistema è associato ad una macchina virtuale che servirebbe per analizzarlo.
Il malware Anatova ne è un buon esempio. Prima di attivarsi controlla la lingua di sistema per essere sicuro di colpire un bersaglio utile. Inoltre può resistere ai tenativi di analisi perchè si nasconde quando rileva un ambiente di test.
Per individuare questo tipo di minaccia basta monitorare e regolare l’accesso alle informazioni chiave di sistema. Dobbiamo far squillare i campanelli d’allarme ogni volta che il sistema di difesa rileva un interesse eccessivo per i dati delicati. Possiamo anche complicare ulteriormente la vita del malware. Ci basta mascherare le informazioni reali e dare pieno accesso a impostazioni falsate. E’ ovvio che alcune controindicazioni bilanciano i vantaggi di sicurezza e per un utente consumer potrebbe non valerne la pena. Ecco tre esempi pratici per chiarirci le idee.
Possiamo impostare male la lingua, i font, il fuso orario e la geolocazione di sistema. Sulle singole applicazioni andiamo a modificare manualmente le impostazioni per consentire un corretto funzionamento. Invece per il sistema operativo manteniamo i dati falsi e compromettiamo l’identificazione geografica da parte del malware. In alcuni casi il software d’attacco può confondersi al punto da caricare set di dati ingestibili e quidi disattivarsi per un bug.
Utilizzare versioni portable dei programmi è un buon modo per non farli comparire nel registro di sistema. Nel caso in cui il malware sia studiato per infettare programmi specifici non riesce a trovare la sua vittima e resta inattivo. E’ un modo efficace per evitare che qualche PUP comprometta le impostazioni del browser.
Impostare il nome utente ed l’id di macchina caratteristici delle macchine virtuali è utile contro le minacce più avanzate. Questo trucco inganna quei virus che sono in grado di individuare gli strumenti di analisi e si disattivano per ostacolare i tentativi di disinfezione. In pratica li inganniamo e si convincono di essere stati individuati Quindi si inibiscono per passare innosservati.

Vantaggi

Svantaggi

3. Bomba Logica a Tempo

Utilizzare un timer è il modo classico per controllare un malware. Si tratta di una variante dell’esecuzione parametrica. Il software di attacco controlla l’orologio di sistema e agisce in base a data e ora. Semplice ed efficace.
Risulta più difficile da individuare perchè anche molte applicazioni lecite hanno bisogno di accedere all’orologio per scolgere attività lecite. In compenso è facile da ingannare dato che ci basta modificare l’ora per innescare i comportamenti rivelatori. Ecco perchè in ambiente business conviene pacioccare con gli orologi di sistema almeno una volta al mese. Magari quando nessuno è collegato sulla rete aziendale.

Vantaggi

Svantaggi

Riassumendo

Pubblicato da DoDo

Sono Dodo lavoro nel mondo dell'informatica ed ho studiato all'Università MFN di Torino.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.