Home » News » Cybersecurity

Come proteggersi dai fileless malwares?

Stormshield fileless malware

Da alcuni anni, soprattutto a partire dal picco di attacchi del 2017 (a cui ne sono seguiti altri due nel 2019 e 2021), i fileless malwares sono una cyberminaccia sempre più discussa. Questi attacchi “sono per lo più incompresi e suscitano domande sul loro funzionamento” evidenziano da Stormshield, azienda del settore IT e OT, per poi porre l’accento su uno degli aspetti più problematici: “Gli strumenti di cybersecurity sono davvero in grado di rilevarli?”.

Il primo attacco effettuato con fileless malware risale al 2001, quando il worm Code Red, lanciato attraverso la RAM di un computer infetto, provocò il crash di almeno 259.000 servers web senza lasciare files o tracce permanenti sugli hard disks. Da allora, questo meccanismo è stato ampiamente sfruttato in ambiente Microsoft. Il worm SQL Slammer, il trojan bancario Lurk, il trojan Poweliks, il worm Duqu 2.0 (che è stato persino utilizzato come toolbox per lo spionaggio informatico) e il malware PowerSniff sono gli esempi più noti. Nel 2017, una vulnerabilità in un framework per applicazioni web è stata utilizzata per carpire i dati di 150 milioni di clienti di un’azienda di controllo del credito, e nel 2018 la piattaforma ransomware-as-a-service Grand Crab ha incluso il fileless malware tra le sue tecniche di attacco, infettando oltre 50.000 computer in tutto il mondo.

Come funzionano i fileless malwares?

Come sottolineano da Stormshield, gli attacchi dei malwares senza file (a cui ci si riferisce anche con i termini memory-only malware, non-malware attack e zero-footprint attack) non lasciano tracce sul disco rigido, non necessitando di files intermedi locali per essere eseguiti: i codici malevoli vengono eseguiti da remoto, per esempio attraverso stringhe richiamate da un server web e trasmesse come parametri a un interprete di script, con esecuzione del codice dannoso direttamente sulla sua memoria. Le tecniche per l’esecuzione di questi codici sono varie: abuso di programmi nativi necessari per il buon funzionamento del sistema operativo, iniezione di codice dannoso nei processi esistenti e inserimento di malware nelle chiavi di registro di Windows, a cui si aggiungono exploits già pronti.

Le fasi di attacco

Gli attacchi comunemente osservati avvengono in tre fasi:

  1. I cybercriminali si procurano un accesso iniziale, solitamente attraverso campagne di phishing e spear phishing.
  2. Se la prima fase viene eseguita solo in memoria, la seconda consiste nel rendere l’accesso permanente tramite il riavvio del computer; questo comporta la lettura di chiavi di registro legittime da parte delle applicazioni e la loro manipolazione, in modo che contengano un codice per scaricare ed eseguire un payload. Ottenuto l’accesso permanente, gli hackers possono introdurre nel computer ulteriori malwares anche in assenza di files, e inoltre il malware può essere aggiornato in tempo reale. Queste prime azioni lasciano una traccia: l’URL del payload, che deve essere mascherato in modo da non venire riconosciuto.
  3. Il furto di credenziali, l’esfiltrazione di dati o la creazione di una backdoor vengono portati a compimento.

Un’altra tecnica consiste nella sostituzione di un programma legittimo: il malware si presenta come una utility presente nei sistemi operativi e viene quindi riconosciuto come legittimo. Ne sono un esempio certutil.exe, mavinject.exe, cmdl.exe, msixec e altri. Questi diversi programmi legittimi possono amplificare l’efficienza dell’attacco, poiché alcuni di essi includono intrinsecamente funzioni quali il download di files o la creazione di una connessione a un computer remoto.

Proteggersi dai fileless malwares

Non sfruttando elementi caricati sul disco rigido, questo tipo di malware non può essere individuato da antivirus basati su meccanismi di rilevamento delle impronte dei files e può quindi “lasciare le porte aperte” sui computers delle vittime. Per contrastarlo sono state perciò introdotte delle nuove metodologie di rilevamento degli attacchi.

  • Il metodo più comune si basa sul meccanismo di firma dei file eseguibili di Windows. Questo procedimento rende più difficile sostituire il file in memoria (dopo che la firma è stata validata) e approfittare quindi della finalità di tale file, facendo credere al sistema operativo che il file sostituito sia l’eseguibile originale o modificare l’applicazione alla fonte. Questa semplice strategia permette di proteggersi dagli attacchi dei fileless malwares meno avanzati.

  • Una seconda strategia consiste nel perfezionare l’uso delle black lists: esse devono entrare ancora più nel dettaglio degli elementi da bloccare e contenere inoltre i pattern utilizzati (per esempio stringhe di caratteri o comandi riconoscibili quali parte di un processo dannoso). In questo caso si parla di indicatori di attacco (“Indicators of Attack”, IOA).

  • Il terzo metodo è l’analisi comportamentale. Impiegata da alcune soluzioni di protezione degli endpoints, essa consente di monitorare le attività sospette, come ad esempio la connessione a un server command and control o a un IP con cattiva reputazione. Durante l’analisi viene effettuata anche la correlazione di azioni sequenziali, come l’uso di un motore di scripting da una riga di comando sospetta e la successiva lettura ed esecuzione di file. Anche la scoperta di incongruenze nell’uso delle utility di sistema è un forte segnale di compromissione. Questi meccanismi consentono di rilevare se un programma sta subendo un buffer overflow o l’iniezione di codici, o se l’utilizzo di un’applicazione avviene da parte di un utente che non dispone dei necessari privilegi.

“Anno dopo anno – concludono da Stormshield – i cybercriminali si dimostrano sempre più abili nell’attuazione di strategie di camuffamento che consentono loro di operare fuori dal radar degli strumenti di sicurezza. E l’emergere di attori specializzati nella fornitura di accesso iniziale (IAB, initial access brokers) suggerisce purtroppo che gli attacchi tramite fileless malware saranno sempre più diffusi in futuro. Oggi più che mai, le aziende devono implementare strumenti per rilevare gli indicatori di attacco, lavorando al contempo sulla sensibilizzazione dei dipendenti verso l’importanza dell’igiene digitale”.

Condividi questo articolo su:

Fiere ed eventi

S NewsLetter

Rimani sempre aggiornato sulle ultime novità della sicurezza.

Ho letto e compreso la vostra privacy policy.