Ecco come il malware 2.0 può fare strage delle amministrazioni italiane
A guidare lo sviluppo di codici malevoli sono oggi
principi di efficienza economica e durata degli investimenti effettuati per
svilupparlo. Un team di esperti progetta attacchi mirati, ma anche infezioni automatizzate. Scopriamo le caratteristiche principali
14 Gennaio 2016
Enrico Frumento, CEFRIEL- ICT Institute Politecnico di Milano
Fino a non molti anni fa il cosiddetto “malware” era caratterizzato da un’elevata “virulenza” e i software anti-virus erano in grado di compiere un ottimo lavoro di prevenzione, se opportunamente gestiti. Ora invece il malware è sempre più “attento” a selezionare le proprie vittime ed è sempre più complesso. Fra le altre cose, questo nuovo comportamento ha cambiato lo scenario tipico di attacco ai sistemi e di conseguenza le ipotesi sulle quali sono basati molti sistemi di difesa moderni.
L’impatto di sistema è tale che le pubbliche amministrazioni italiane non si possono più permettere di ignorare.
Il panorama del malware è infatti enormemente cambiato negli ultimi anni, per differenti motivi. Da un lato il mondo della produzione industriale ha iniziato attivamente a parlare di sviluppo sicuro delle applicazioni, dall’altro il malware è sempre più finalizzato alla ricerca attiva del profitto, inteso come informazioni o asset più o meno “monetizzabili” direttamente (in termini di vantaggio competitivo) o indirettamente (come merce di scambio su dark market [1]). Le regole del gioco sono cambiate già da qualche tempo: la storica figura del “genio informatico” che realizza un virus per gioco è stata sostituita da team di reverse engineer professionisti, pagati per compiere il proprio lavoro (dall’industria o dalla malavita), con mezzi e conoscenze assolutamente non paragonabili al passato. Il risultato è che gli attacchi sono sempre più complessi e ben studiati. Termini spesso usati dai media, come BotNet, phishing, pharming, XSS, rootkit, ecc nascondono una elevata complessità tecnologica. Tutto questo senza contare i nuovi scenari offerti dall’introduzione di nuove piattaforme, come ad esempio quelle per i sistemi mobili quali iPhone, Android [2] [3] [4].
La nuova generazione di codici malevoli (malware) attualmente in circolazione è però radicalmente differente rispetto alla precedente. A guidare il suo sviluppo, infatti, sono oggi principi di efficienza economica e durata degli investimenti effettuati per svilupparlo (attenzione ai “costi” oltre che ai profitti!). Al fianco di questo i nuovi malware si presentano chiaramente come prodotti sviluppati da team di professionisti. Questo fenomeno prende il nome di Malware 2.0[5] ed è caratterizzato come segue, per massimizzarne la sfruttabilità e il ritorno sull’investimento, a tutti i livelli:
- Assenza di un singolo centro di controllo (specialmente per le BOTnet) e capacità di adattare la propria struttura d’infezione alla macchina attaccata (attacchi ad-hoc ed operazioni di bilanciamento automatico delle reti di computer infetti).
- Uso intensivo di metodi per combattere i sistemi di analisi del malware (es. infezione diretta dei sistemi anti virus o sfruttamento avanzato delle odierne possibilità di mutazione dei virus).
- Asservimento delle macchine vittime e maggiore discrezione negli attacchi (selezione accurata delle macchine o degli utenti per non attirare attenzione e mantenimento delle macchine in uno stato “dormiente” fino al momento in cui l’attacco viene attivato).
- Intensa produzione di varianti (il malware cambia la forma e “l’aspetto” ma non il funzionamento logico). Le tecniche di packing e cifratura dei malware sono talmente avanzate che i sistemi di individuazione sulla base di firme o euristiche di comportamento note, che sono la base degli antivirus, non sono più molto efficaci.
- Attacchi brevi e mirati su più fronti (è attaccata una risorsa per un periodo sufficiente a non destare attenzione, se non si ha successo, si passa a un’altra vittima).
- Uso intenso e avanzato delle tecniche di social engineering (sempre più gli utenti sono parte attiva del processo d’infezione, se non la vera causa del problema).
- Modularità e complessità delle infezioni (tramite dropper multistadio, cioè malware apripista che preparano il sistema per l’infezione finale). Tipica struttura a “nested-dolls”, o a scatole cinesi.
- Utilizzo di complessi modelli di business utilizzati nelle infezioni e sempre maggiore commoditization dei servizi (alcuni esempi sono Malware as a Service –Maas–[6] , Exploit-as-a-service [7], Pay-per-install[8] o il recente ritorno sulla scena del Ramsonware, ma con un modello as a Service –RaaS– [9] )
Un esempio che racchiude tutte queste caratteristiche al massimo della loro complessità, e proprio per questo motivo esemplare, è quello raccontato nel whitepaper della TrendMicro a proposito della operazione Pawn Storm[10].
Come risulta evidente dalle principali caratteristiche riportate sopra, il malware è oggigiorno uno strumento decisamente duttile ed in grado di adattarsi a differenti forme di attacco. Ai due opposti abbiamo le infezioni automatizzate o generaliste e gli attacchi discrezionali o targeted attacks . Entrambe queste modalità coesistono in tutte le varianti possibili e spesso un attacco, che inizia in un modo, apre la strada per altre minacce. Supponiamo ad esempio che tramite un malware generico l’attacco riesca a produrre un data breach, apparentemente di poco conto, o semplicemente ad ottenere una via di accesso ad un PC non meglio identificato (in una prima fase); nel circuito del “black market” questi dati acquistano valore e possono fornire le informazioni o gli strumenti necessari per creare un malware ad-hoc per un attacco mirato successivo [11]. Proprio questa connessione viene evidenziata anche da un recente whitepaper TrendMicro [12]. Gli attacchi mirati quindi scardinano il principio base di alcuni sistemi di difesa, cioè che i malware attacchino i sistemi senza particolari scrupoli, indiscriminatamente ed al massimo delle loro possibilità.
Fra le varie caratteristiche elencate quindi, quella che a mio avviso cambia notevolmente la situazione è la discrezionalità degli attacchi, anche perché un attacco mirato può arrivare a causa di precedenti attacchi generici. L’evoluzione degli attacchi cosiddetti Ad-Hoc, la proliferazione dei targeted attacks (argomento sul quale dedicherò uno dei prossimi post) sono un chiaro esempio di una contro tendenza. Non è un caso se l’industria della sicurezza si stia profondamente interrogando su alcuni temi fondamentali come il futuro dei sistemi Anti-Virus. Netflix sta valutando anche l’abbandono in toto dei sistemi anti virus aziendali a favore di altre soluzioni [13].
[1] Interessante in questo senso il fenomeno dei Data Brokers per il mercato nero
[2] “Mobile malware exploding, but only for Android” http://appleinsider.com/articles/13/05/14/mobile-malware-exploding-but-only-for-android
[3] “Mobile OS Market”, https://eugene.kaspersky.com/2015/12/02/mobile-os-market-2015/
[4] “87% of Android devices are exposed to at least one vulnerability”, https://goo.gl/mhUQCH
[5] “Social Engineering, Hacking The Human OS”, https://blog.kaspersky.com/social-engineering-hacking-the-human-os
[6] “Signature antivirus’ dirty little secret”, http://www.net-security.org/article.php?id=2239&p=2
[7] https://wkr.io/assets/refs/grier2012compromise.pdf
[8] http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/pay_per_install.pdf
[10] “Operation Pawn Storm”, http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-operation-pawn-storm.pdf
[11] Si veda anche quanto raccontato dal report TrendMicro “Follow the Data: Dissecting Data Breaches and Debunking Myths”, http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-follow-the-data.pdf
[12] Si vedano ad esempio le considerazioni legate alla campagna AVID Anti-Virus is Dead
[13] “Netflix is dumping anti-virus, presages death of an industry”, http://www.forbes.com/sites/thomasbrewster/2015/08/26/netflix-and-death-of-anti-virus/