Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Perché il malware 2.0 fa tremare le pubbliche amministrazioni

Home PA Digitale Sicurezza Digitale Perché il malware 2.0 fa tremare le pubbliche amministrazioni
E

Enrico Frumento, CEFRIEL- ICT Institute Politecnico di Milano

Fino a non molti anni fa il cosiddetto “malware” era caratterizzato da un’elevata “virulenza” e i software anti-virus erano in grado di compiere un ottimo lavoro di prevenzione, se opportunamente gestiti. Ora invece il malware è sempre più “attento” a selezionare le proprie vittime ed è sempre più complesso. Fra le altre cose, questo nuovo comportamento ha cambiato lo scenario tipico di attacco ai sistemi e di conseguenza le ipotesi sulle quali sono basati molti sistemi di difesa moderni.

Il panorama del malware è enormemente cambiato negli ultimi anni, per differenti motivi. Da un lato il mondo della produzione industriale ha iniziato attivamente a parlare di sviluppo sicuro delle applicazioni, dall’altro il malware è sempre più finalizzato alla ricerca attiva del profitto, inteso come informazioni o asset più o meno “monetizzabili” direttamente (in termini di vantaggio competitivo) o indirettamente (come merce di scambio su dark market [1]). Le regole del gioco sono cambiate già da qualche tempo: la storica figura del “genio informatico” che realizza un virus per gioco è stata sostituita da team di reverse engineer professionisti, pagati per compiere il proprio lavoro (dall’industria o dalla malavita), con mezzi e conoscenze assolutamente non paragonabili al passato. Il risultato è che gli attacchi sono sempre più complessi e ben studiati. Termini spesso usati dai media, come BotNet, phishing, pharming, XSS, rootkit, ecc nascondono una elevata complessità tecnologica. Tutto questo senza contare i nuovi scenari offerti dall’introduzione di nuove piattaforme, come ad esempio quelle per i sistemi mobili quali iPhone, Android [2] [3] [4].

La nuova generazione di codici malevoli (malware) attualmente in circolazione è però radicalmente differente rispetto alla precedente. A guidare il suo sviluppo, infatti, sono oggi principi di efficienza economica e durata degli investimenti effettuati per svilupparlo (attenzione ai “costi” oltre che ai profitti!). Al fianco di questo i nuovi malware si presentano chiaramente come prodotti sviluppati da team di professionisti. Questo fenomeno prende il nome di Malware 2.0 ed è caratterizzato come segue, per massimizzarne la sfruttabilità e il ritorno sull’investimento, a tutti i livelli:

  • Assenza di un singolo centro di controllo (specialmente per le BOTnet) e capacità di adattare la propria struttura d’infezione alla macchina attaccata (attacchi ad-hoc ed operazioni di bilanciamento automatico delle reti di computer infetti).
  • Uso intensivo di metodi per combattere i sistemi di analisi del malware (es. infezione diretta dei sistemi anti virus o sfruttamento avanzato delle odierne possibilità di mutazione dei virus).
  • Asservimento delle macchine vittime e maggiore discrezione negli attacchi (selezione accurata delle macchine o degli utenti per non attirare attenzione e mantenimento delle macchine in uno stato “dormiente” fino al momento in cui l’attacco viene attivato).
  • Intensa produzione di varianti (il malware cambia la forma e “l’aspetto” ma non il funzionamento logico). Le tecniche di packing e cifratura dei malware sono talmente avanzate che i sistemi di individuazione sulla base di firme o euristiche di comportamento note, che sono la base degli antivirus, non sono più molto efficaci.
  • Attacchi brevi e mirati su più fronti (è attaccata una risorsa per un periodo sufficiente a non destare attenzione, se non si ha successo, si passa a un’altra vittima).
  • Uso intenso e avanzato delle tecniche di social engineering (sempre più gli utenti sono parte attiva del processo d’infezione, se non la vera causa del problema).
  • Modularità e complessità delle infezioni (tramite dropper multistadio, cioè malware apripista che preparano il sistema per l’infezione finale). Tipica struttura a “nested-dolls”, o a scatole cinesi.
  • Utilizzo di complessi modelli di business utilizzati nelle infezioni e sempre maggiore commoditization dei servizi (alcuni esempi sono Malware as a Service –Maas– , Exploit-as-a-service , Pay-per-installPay-per-install o il recente ritorno sulla scena del Ramsonware, ma con un modello as a Service –RaaS– )


Un esempio che racchiude tutte queste caratteristiche al massimo della loro complessità, e proprio per questo motivo esemplare, è quello raccontato nel whitepaper della TrendMicro a proposito della operazione Pawn Storm.

Come risulta evidente dalle principali caratteristiche riportate sopra, il malware è oggigiorno uno strumento decisamente duttile ed in grado di adattarsi a differenti forme di attacco. Ai due opposti abbiamo le infezioni automatizzate o generaliste e gli attacchi discrezionali o targeted attacks. Entrambe queste modalità coesistono in tutte le varianti possibili e spesso un attacco, che inizia in un modo, apre la strada per altre minacce. Supponiamo ad esempio che tramite un malware generico l’attacco riesca a produrre un data breach, apparentemente di poco conto, o semplicemente ad ottenere una via di accesso ad un PC non meglio identificato (in una prima fase); nel circuito del “black market” questi dati acquistano valore e possono fornire le informazioni o gli strumenti necessari per creare un malware ad-hoc per un attacco mirato successivo [5]. Proprio questa connessione viene evidenziata anche da un recente whitepaper TrendMicro [6]. Gli attacchi mirati quindi scardinano il principio base di alcuni sistemi di difesa, cioè che i malware attacchino i sistemi senza particolari scrupoli, indiscriminatamente ed al massimo delle loro possibilità.

Fra le varie caratteristiche elencate quindi, quella che a mio avviso cambia notevolmente la situazione è la discrezionalità degli attacchi, anche perché un attacco mirato può arrivare a causa di precedenti attacchi generici. L’evoluzione degli attacchi cosiddetti Ad-Hoc, la proliferazione dei targeted attacks (argomento sul quale dedicherò uno dei prossimi post) sono un chiaro esempio di una contro tendenza. Non è un caso se l’industria della sicurezza si stia profondamente interrogando su alcuni temi fondamentali come il futuro dei sistemi Anti-Virus. Netflix sta valutando anche l’abbandono in toto dei sistemi anti virus aziendali a favore di altre soluzioni.



[1] Interessante in questo senso il fenomeno dei Data Brokers per il mercato nero

[4] “87% of Android devices are exposed to at least one vulnerability”, https://goo.gl/mhUQCH

[5] Si veda anche quanto raccontato dal report TrendMicro “Follow the Data: Dissecting Data Breaches and Debunking Myths”, http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-follow-the-data.pdf

[6] Si vedano ad esempio le considerazioni legate alla campagna AVID Anti-Virus is Dead

Su questo argomento

Luca Attias Commissario al digitale. Sono contento perché…