Negli ultimi anni, le soluzioni dotate di processi whitelisting per le applicazioni si sono diffuse molto come alternativa economica per combattere malware e minacce persistenti. L’idea alla base del whitelisting è negare il permesso di esecuzione a qualsiasi applicazione o processo che non sia stato specificatamente approvato.
In questo articolo, parlerò dei limiti di questo processo sia nei confronti di malware comuni che di minacce APT (Advanced Persistent Threat).
Prima Generazione di Soluzioni Whitelisting
Inizialmente, il processo Whitelisting è stato introdotto da fornitori di sistemi operativi (ad esempio Windows e Applocker); offrivano soluzioni con protezione limitata, erano difficili da mantenere e la configurazione necessitava di utenti esperti di sicurezza.
Un’altra difficoltà legata a questa tipologia di processo riguarda ogni aggiornamento software e download aggiuntivo delle varie applicazioni che dovevano essere inseriti nel database whitelisting.
Questo ha portato all'emergere di soluzioni whitelisting di terze parti che offrono una gestione semplificata, per esempio Bit9 (che in seguito diventerà Carbon Black) e McAfee Application Protection.
Esaminiamo alcuni problemi legati all’approccio whitelisting, compreso il perché non può sostituire il patching o proteggere dispositivi e rete da minacce comuni.
Sfruttamento di Applicazioni e Processi Whitelisted
Gli attacchi moderni, in particolare le minacce APT, spesso traggono vantaggio da vulnerabilità software prive di patch, che permettono al codice dannoso di dirottare il flusso di esecuzione del software autorizzato.
Una volta che ciò si verifica, un exploit potrebbe eseguire payload aggiuntivi che a loro volta eseguono varie attività sulla macchina di destinazione come l'estrazione e la raccolta dei dati. I malware di recente creazione attuano questo processo per aggirare gli antivirus.
Directory e Certificati Trusted
Le modalità per aggirare i software antivirus sono altrettanto efficaci contro i processi whitelisting. In molti casi, il malware può essere eseguito senza interferenze se è in grado di operare con il system-level privileges, sia attraverso una privilege escalation sia sfruttando altri metodi di infezione.
Ad esempio: una regola comune utilizzata nella whitelisting consente ai binari di C: Windows di essere eseguiti liberamente, il che significa che qualsiasi payload che viene rilasciato in quella posizione (dopo aver ottenuto il system privileges) può essere eseguito passando inosservato.
Un’altra regola comune consente l’esecuzione dei file binari firmati digitalmente in ogni momento, permettendo quindi ad un utente malintenzionato di ottenere una chiave privata valida e firmare il software.
Soluzione Facilmente Vulnerabile
Sempre più spesso gli aggressori sfruttano le vulnerabilità presenti all’interno dei sistemi operativi Windows, utilizzando file PowerPoint, Word o Excel appositamente predisposti.
Dal momento che i file caricati sono eseguiti da applicazioni autorizzate, questi attacchi aggirano facilmente le soluzioni whitelisting.
Dopo che una minaccia viene rilevata e analizzata, i fornitori di soluzioni whitelist possono rispondere creando regole ad hoc per impedire il caricamento di una dll all’interno di un’applicazione specifica.
Queste regole hanno 3 principali svantaggi:
- Sono efficaci solo dopo che gli exploit sono stati completamente analizzati e hanno già compromesso il sistema;
- Non sono efficaci contro exploit simili che mirano ad altre applicazioni Microsoft;
- Possono influire negativamente sull'usabilità, poiché funzionalità valide introdotte dal file packager.dll potrebbero non essere più disponibili.
Sfruttare Funzionalità del Sistema Operativo
La capacità degli attacchi di aggirare il whitelist sfruttando il sistema operativo è ben documentata dai ricercatori di settore. Negli ultimi anni si sono presentate molte vulnerabilità Java e Flash all’interno di sistemi Windows come WMI e PowerShell che i processi whitelisting non sono in grado di proteggere.
Di seguito, altri metodi che sfruttano gli aggressori per by-passare i processi whitelisting:
- Esecuzione di attività dannose come utente di sistema (“root”);
- Esecuzione del codice kernel;
- Utilizzo di componenti come Task Scheduler, tool Windows Accessibility e altri simili.
Conclusione
I processi di whitelisting si basano principalmente sulla creazione di un rapporto di fiducia. Introducono un altro livello di protezione contro i file binari all’interno del sistema, ma nella maggior parte dei casi, la protezione rimane efficace solo nei confronti di minacce rivolte a utenti negligenti o non amministratori che scaricano software non autorizzati.
Le statistiche in merito agli APT rivelano che essi sfruttano exploit (sia zero day che non) all’interno di applicazioni legittime con l’obiettivo di compromettere il sistema.
In conclusione, un sistema di protezione da minacce informatiche basato solo su processi di whitelisting può rivelarsi inefficace in caso di attacchi come watering cole, spearphishing email e numerosi altri attacchi mirati.
SentinelOne è la piattaforma di endpoint protection di nuova generazione che protegge la tua azienda da tutte le minacce informatiche, conosciute e sconosciute. La soluzione evolve automaticamente in base alle minacce ed all'analisi delle vulnerabilità della rete, e protegge l'organizzazione anche da attacchi che non vengono riconosciuti dai più comuni anti-virus.
Per avere maggiori informazioni invia una mail a cio@florence-consulting.it, chiama lo (055) 538-3250 oppure visita questa pagina per richiedere materiale informativo sulla soluzione o una demo gratuita.
In alternativa, puoi compilare il form sottostante con la tua richiesta.