Malware sempre più invisibili e complessi

Con l’evolversi della tecnologia “buona”, si evolve anche quella “cattiva” la quale, probabilmente, spinge sull’acceleratore in modo ancor più accentuato rispetto alla prima. Non è un caso se virus, trojan e altri sistemi intrusivi sono sempre più subdoli e distruttivi e una dimostrazione la si ha con i malware invisibili chiamati anche malware fileless. B4web, grazie alle sue competenze e alla capacità di realizzare software, ha grande esperienza in materia di sicurezza e protezione di computer, server e reti aziendali. Questo è uno tra i nostri principali business in cui operiamo, come pure rimozione virus, recupero dati, cyber security.

Cosa sono i malware fileless o invisibili?

Questi ultimi rappresentano la minaccia più moderna e infida possibile poiché sono molto difficili da individuare (da qui il termine “invisibili”). Infatti, il malware fileless non va ad intaccare il file, ma si stabilizza nella memoria del singolo computer accasandosi nella RAM. Normalmente, un utente si accorge di un virus in seguito ad una scansione di software appositi oppure per il malfunzionamento di un programma, ma nel caso di un virus invisibile che attacca la RAM, difficilmente verrà rilevato in quanto i files rimangono sostanzialmente integri. In tale scenario, un tradizionale antivirus non riuscirà, presumibilmente, a individuare il file dannoso.

Gli hacker entrano nel sistema operativo del tuo computer tramite dei tools presenti di default e solitamente esclusi da qualsiasi controllo di integrità: essi diventano quindi veicolatori di malware. Grazie a questa tecnica, anche i computer Apple diventano vulnerabili in egual modo, nonostante la nomea di macchine difficilmente attaccabili.

Un approccio del genere da parte del pirata informatico rende la sicurezza sempre più complessa e difficile da gestire, sia a livello micro (singolo PC) che macro (reti e server).

Malware fileless: motivi e conseguenze

Mentre un virus o un malware diretto intacca un file o un software apertamente e alla “luce del sole”, i malware fileless operano sul registro del computer e sulla memoria RAM. Apparentemente le conseguenze potrebbero sembrare meno impattanti, ma la realtà esprime tutt’altro.

Innanzitutto, un virus invisibile che agisce in questo modo porterà al rallentamento progressivo della macchina informatica, potendo così condizionare i diversi processi delle imprese, anche in ambito produttivo. Ma questa non è l’unica conseguenza.

• Attacco silenzioso: un virus invisibile entra nel sistema in maniera celata, in punta di piedi e spesso non è possibile accorgersene.
• Tracciabilità difficoltosa: la versatilità di un simile malware è penalizzante per chi deve trovare tracce all’interno del computer. Le operazioni di ricerca e di indagine, anche da parte delle forze dell’ordine, hanno forti difficoltà di svolgimento del lavoro proprio per la natura dell’attacco.
• Nessuna installazione: essendo un malware che non richiede installazione, non solo l’utente non se ne accorge, ma anche nel caso dovesse rendersi conto dell’intrusione nemmeno un’operazione di ripristino è risolutiva del problema.
• Gestione semplice: per l’hacker il malware di tipo fileless è semplice da gestire e non richiede particolari studi e aggiornamenti. Potremmo dire che è uno strumento di intrusione piuttosto semplice da controllare, ma al tempo stesso tra i più efficaci.

Oltre a rallentare l’intero sistema, i malware invisibili riescono a sfoderare attacchi attraverso due fasi: la prima prevede la compromissione del sistema, la seconda mette in atto l’attacco vero e proprio attraverso script malevoli, tool presenti già nel computer, sistema informativo, esecuzione di software preinstallato.

Quanti tipi di attacchi fileless esistono?

Ci sono molteplici tipologie di attacchi fileless, categorizzati in base alla gravità e alla tipologia dell’attacco stesso. Questi tipi di malware hanno l’obiettivo di impossessarsi delle memorie RAM e interne dei PC, contaminando i computer attraverso codici infetti. I nomi di questi tipi di attacchi sono quattro, rispettivamente: in - Memory, Fileless persistence methods, Dual use tools e Non Portable Executable file attack. Ognuno ha delle caratteristiche ben precise, non subito riconoscibili da qualsiasi antivirus.

Attacco in-Memory

Questa forma di virus invisibile è stato uno dei primi fileless creati, attraverso l’utilizzo di due tool specifici ossia Code Red e SQL Slammer, i quali approfittano della fragilità di Windows per poter entrare in azione. In questo caso, l’hacker utilizza un payload per entrare direttamente nella memoria RAM del PC, sfruttando in questo modo le falle presenti nel sistema operativo del computer. Un esempio di fileless in-Memory è il trojan Snifula.

Questa tipologia di virus potrebbe essere eliminata direttamente attraverso un riavvio totale della macchina poiché questo virus non è stabile. La sua non persistenza è data da due fattori principali: nel primo caso, se un malware in-Memory entra in una memoria interna del PC, vuol dire che lo stesso computer non è protetto adeguatamente e quindi potrebbe essere facilmente infettato in qualsiasi momento ed infine, nel secondo caso, a un virus in-Memory basta entrare una sola volta per attuare i propri scopi, rubando dati sensibili o file privati. Questo spiega perché, anche una volta riavviato il computer, il problema alla base persiste nonostante sia stato eliminato il virus.

Attacco Fileless persistence methods

Questo tipo di virus è suddiviso in quattro categorie di metodi infettivi per PC, utili da riconoscere e analizzare in modo appropriato.

• Registry resident, ossia una metodologia utilizzata dagli hacker, i quali “iniettano” direttamente i virus nei registri del programma di Windows, attraverso file identificati come “.doc” oppure attraverso link in file “.pdf” o email. Solitamente, quando l’utente clicca su un allegato o sul link, il malware trascrive il payload nel registro di Windows, sparendo successivamente alla vista dell’utente. Lo stesso contenuto del payload utilizzato dall’hacker è comunemente criptato, in modo tale che lo stesso antivirus non riesca ad identificarlo, segnalando così la presenza di un virus.
• Window Management Instrumentation, consiste in uno strumento che consente di installare aggiornamenti, cogliere dati del sistema informatico e trascrivere codici cambiando anche i registri dei programmi utilizzati dai PC (come Windows). Se questo tool dovesse essere utilizzato dagli hacker, questi potrebbero entrare e modificare facilmente qualsiasi dato di sistema del PC. Solitamente, i cyber criminali usano un payload creato dal programma di linguaggio di script PowerShell, il quale è in grado di entrare direttamente nei sistemi di memoria, senza essere visto dall’antivirus.
• Scheduled task è un metodo in cui l’hacker utilizza script di PowerShell, penetrando nella memoria del PC, mantenendo una persistenza del malware fileless.
• Groups Policy Objects, con payload in cui lo script è sempre creato da PowerShell, ma non abitualmente utilizzato su server privati e comuni. Perciò, questa metodologia è raramente adottata dai cyber criminali.

Attacco Dual use tools

Questo tipo di attacco utilizza diversi mezzi, ritenuti legali, per inserire dei malware all’interno dei sistemi operativi dei PC. Uno di questi mezzi è servirsi di “notepad.exe” per modificare i file e l’altro è sfruttare PowerShell per cambiare credenziali e permessi di diverse applicazioni. Questi strumenti sono riconosciuti legali dal punto di vista operativo, perciò eventuali attacchi possono sfuggire ai programmi di sicurezza.

Gli attacchi di Dual use tools hanno molteplici sottocategorie con diverse funzioni, come Data Exfiltration e anche Lateral Movement.

Attacco Non Portable Executable file attack

Anche questo tipo di attacco utilizza strumenti legali e riconoscibili, come PowerShell, CScript e Wscript, perciò la natura degli script utilizzati dagli hacker non è subito visibile all’antivirus.

In questo caso, i file non PE (Portable Executable) sono normalmente inseriti in campagne di “social engineering”, attraverso invii di email con contenuti allegati in cui ci sono anche dei link che potrebbero compromettere i siti web o le applicazioni dei PC.

Come difendersi dagli attacchi hacker invisibili?

Se si ha a che fare con un malware fileless, talvolta riconoscerlo ed eliminarlo non è affatto semplice, ma ci sono dei modi per prevenire attacchi di questo genere.

• Installare costantemente aggiornamenti e salvaguardare con patch sicure i dati del PC.
• Fare sempre riferimento all’antivirus e utilizzare eventuali tool di sicurezza per monitorare al meglio alcune applicazioni installate nei computer.
• Non aprire email sospette con allegati potenzialmente infetti o link, facendo attenzione anche a navigare in Internet.
• Associare programmi utili come AppLocker e PowerShell, per monitorare sviluppi e andamenti di app del PC.