Endpoint Protection

5 Comuni Minacce che bypassano gli AV tradizionali

I software antivirus tradizionali sono stati progettati per bloccare il malware basato sui file. Operano tipicamente tramite la scansione dei file presenti sul disco rigido e mettono in quarantena qualunque file eseguibile trovato. Questa soluzione era buona nei primi anni dei software di sicurezza ma gli attacchi si sono evoluti per eludere questo tipo di protezione in molti modi. In questo post prenderemo in esame le cinque più comuni minacce alla sicurezza che possono bypassare le soluzioni antivirus.

1. Malware Polimorfici – Uguali ma Diversi

Provate a dare un’occhiata a qualche database di malware come VirusTotal e vedrete che le stesse vecchie minacce vengono caricate ancora e ancora ogni giorno. Un sacco di malware comuni vengono rigenerati – spesso nel giro di poche ore – con un file hash completamente diverso. Alcuni malware modificano i loro contenuti in base a parametri locali in modo tale che il loro hash risulti differente ogni volta che vengono eseguiti.

Che cos’è un hash? Diamo un’occhiata a come funziona. Quando si tratta di un file malevolo conosciuto, i ricercatori di sicurezza possono generare un checksum o codice di controllo unico che identifica una copia di quel file, indipendentemente dal suo nome o dalla sua posizione, su qualunque sistema che impieghi utilities come sha e md5:

Tempo fa era solitamente una grande idea ma il rapido riciclaggio di vecchi campioni in quello che gli AV tradizionali vedrebbero come ‘nuove’ minacce ha raggiunto proporzioni talmente epiche che non è possibile che le soluzioni hash-based stiano al passo.

È una cosa estremamente facile da fare: ad un attaccante è sufficiente aggiungere un singolo byte ed l’hash risultante sarà anch’esso modificato. Lo scopo di questa manovra è quello di sconfiggere gli strumenti AV basati sulle signature che si affidano al confronto dell’hash di un file con un database di hash di malware conosciuti.

2. Advanced Threat – Se non sai che c’è, non la vedi!

Molte soluzioni AV hanno riconosciuto l’insufficienza del metodo basato sulle signature e si sono rivolte ad un sistema di scansione basato su regole, tipicamente lo strumento YARA inventato da Victor Alvarez. YARA offre un miglioramento rispetto al semplice file-hashing perché permette alla scansione di effettuare numerosi test sul contenuto dei file. Per esempio, potrebbe essere creata una regola che controlli non soltanto un determinato numero di stringhe ma cerchi anche pattern di tipo RegEx:

Le regole YARA hanno costituito un grande passo avanti e sono state impiegate in numerose soluzioni AV, ma ci sono due problemi che rendono semplice ad un malware evitare la rilevazione.

In primo luogo, come per gli hash, gli autori del malware possono immaginare quali stringhe un determinato motore di ricercar utilizzi per rilevare il loro malware e modificare le stringhe per evitare di essere beccati. Qui sotto vediamo un esempio di una vera regola YARA:

Nell’esempio qui sopra, che può sembrare assolutamente oscuro ad un occhio non allenato, le regole sono stringhe di testo in chiaro scritte in esadecimale. Noi e, naturalmente, gli attaccanti, possiamo convertirle facilmente per vedere quali stringhe sono di fatto rilevate. Per esempio, la riga evidenziata nell’immagine sopra risulta essere:

Il secondo e più problematico punto è che questa tecnica si affida ad un motore di ricercar che ha già visto il malware almeno una volta per analizzarlo e creare una regola per la sua rilevazione. Ciò significa che i difensori sono sempre un passo indietro agli attaccanti e talvolta è sufficiente una finestra temporale di qualche giorno per permettere agli attaccanti di entrare ed uscire dai loro bersagli senza essere scoperti.

3. Documenti Malevoli – Quando un .doc NON è un .doc?

Tendiamo a pensare ai documenti come inoffensivi insiemi di dati formattati, una specie molto differente dai file eseguibili o binari che sono in grado di eseguire del codice sulle nostre macchine. Questa distinzione, tuttavia, viene meno quando i documenti contengono elementi dinamici come JavaScript nei file PDF o funzionalità eseguibili come macros e DDE nei documenti Office. Soltanto aprire un file che contiene queste funzionalità può portare ad una compromissione dal momento che entrano in esecuzione nel momento stesso in cui il documento viene caricato.

Talvolta un documento malevolo viene usato per sfruttare le vulnerabilità dell’applicazione con cui viene aperto piuttosto che affidarsi a funzioni come le macro. Tali documenti utilizzano errori nel codice delle applicazioni che può portare a buffer overflow o a heap spraying, una tecnica con la quale codice shell embedded viene scritto su più partizioni di memoria nella speranza che una o più consentano l’esecuzione del codice dell’attaccante. Adobe Reader e Microsoft Office sono target popolari di questi documenti malevoli sia per la loro diffusione sia, almeno nel primo caso, per una lunga storia di vulnerabilità riscontrate.

Per le soluzioni AV tradizionali che si basano sulle signature, rilevare questo tipo di documenti infetti può essere difficile per due ragioni. Gli hash possono essere facilmente modificati semplicemente creando un documento con un diverso ‘contenuto normale’ e perfino la scansione YARA può essere ingannata con un semplice offuscamento del codice come in questo esempio.

4. Fileless Malware – Non è necessario essere visti per essere veri

Quando la maggioranza delle persone pensa al malware, ritiene tipicamente che consista in qualche tipo di file malevolo che viene scaricato nei loro computer ed inizia a provocare danni o a sottrarre dati personali. Negli ultimi cinque/sei anni, tuttavia, gli attaccanti si sono accorti che i sistemi AV tradizionali hanno un’enorme falla: i processi malevoli possono essere eseguiti in memoria senza alcun file che potrebbe essere individuato dalla scansione antivirus.

Gli attacchi fileless sono diventati sempre più comuni nel corso degli ultimi anni, con esempi notevoli come Angler, Duqu, Poweliks e WannaCry. Il motivo principale dell’aumento del malware fileless è dovuto in gran parte all’avvento e alla diffusione di PowerShell, sebbene anche JavaScript e PDF, Macros e DDE (come menzionato prima) sono stati anch’essi impiegati in attacchi fileless.

Quello che rende gli attacchi fileless così difficili da individuare da parte di un tradizionale antivirus è il fatto che, tipicamente, sovvertono processi affidabili come PowerShell e rundll32.exe – un fondamentale eseguibile di Windows che carica librerie dinamiche di codice condiviso da altri programmi.

5. Traffico Crittografato – Come nascondere le minacce in modo molto sicuro

Un altro punto cieco degli AV tradizionali è il traffico crittografato che, grazie alle pressioni di Google ed altri, è diventato la norma per la maggior parte dei siti web. Se da un lato https e i certificati SSL sono un bel modo di proteggere le nostre comunicazioni con un sito web affidabile, proteggono opportunamente anche le comunicazioni degli attaccanti.

I criminali possono celare le proprie attività assicurandosi, proprio come i siti web legittimi, che il traffico tra la vittima ed il loro server C2 (command & control) sia protetto da cifratura end-to-end.

Recenti indagini suggeriscono anche che quasi la metà dei siti di phishing stanno ora utilizzanto il protocollo sicuro https per mascherare le loro attività sia nei confronti degli utenti che della maggior parte dei software di sicurezza.

Come può aiutarti SentinelOne

SentinelOne ha compreso che gli attaccanti non sono e non staranno mai fermi, e che continueranno ad evolvere le loro tecniche. Questo è il motive per cui ha costruito un prodotto che non si affida alle soluzioni tradizionali ma combatte gli attaccanti utilizzando un’EDR (Endpoint Detection and Response) attiva che è in grado di vedere in anticipo se un processo è nocivo indipendentemente da dove proviene. Nel caso di un malware polimorfico o nuovo, di un documento malevolo o di un attacco fileless, l’agente di SentinelOne sfrutta l’AI comportamentale oltre agli altri motori per rilevare gli attacchi sia in pre-esecuzione che in esecuzione. SentinelOne da anche visibilità profonda sul traffico crittografato per il threat-hunting post-esecuzione. SentinelOne è il primo prodotto di sicurezza ad essere ransomware-guarantee come dimostrazione dell’affidabilità della sua tecnologia.

Free Demo

Conclusioni

Il malware e gli autori del malware non hanno abbandonato le loro vecchie tecniche ma ne hanno aggiunto altre notevoli per contrastare le mosse degli antivirus tradizionali. Alcuni anni fa, la rilevazione basata sulle signature e le regole YARA potevano costituire una difesa abbastanza buona, ma oggigiorno qualunque soluzione che non impieghi motori AI comportamentali con capacità di machine learning è destinata ad essere ingannata dagli attaccanti. Con l’aumento di phishing, ransomware e crytomining, le aziende modern hanno bisogno di soluzioni modern. Se non hai ancora provato SentinelOne, clicca sul bottone Free Demo qui sopra e guarda la differenza che può fare per la sicurezza del tuo business oppure contattaci per avere maggiori informazioni.

Non gettare il tuo vecchio antivirus alle ortiche!

(se davvero vuoi vivere pericolosamente)

Ma prova l’efficacia di una soluzione di protezione degli endpoint di nuova generazione e constaterai da te la differenza.

Contattaci per fissare una demo!

Contatta l'esperto