Gli antivirus e altre soluzioni per la sicurezza dei dispositivi sono sempre stati dotati di funzionalità basate sul rilevamento di file per la prevenzione da malware.
I vantaggi di questo approccio sono molteplici: è possibile calcolare l’hash di un file, possono essere esaminati file sia tramite analisi statica che attraverso tecniche di machine learning ed escludere facilmente falsi rilevamenti.
Questi vantaggi si traducono in problemi per i cyber criminali. L’obiettivo degli attacchi è quello di ottenere il massimo ritorno economico con il minimo sforzo. Tuttavia, i benefici ricavati da malware file-based si riducono non appena finiscono nei feed pubblici.
Se la firma del malware viene rilevata 2 giorni dopo il rilascio, il ROI del cyber criminale potrebbe essere significativamente inferiore rispetto al previsto o addirittura trascurabile.
Secondo il report “H1 2018 Enterprise Risk Index” di SentinelOne gli attacchi fileless sono aumentati del 94% tra Gennaio e Giugno. Gli attacchi PowerShell sono passati da una media di 2,5 attacchi su 1.000 endpoint a Maggio 2018, a 5,2 attacchi su 1.000 endpoint a Giugno.
Cosa Sono i Malware Fileless?
I malware fileless sono codici dannosi che non necessitano di utilizzare un file eseguibile all'interno del file system dei dispositivi; non infettano i file, ma risiedono nella RAM del PC vittima. Ciò rende molto più difficile il rilevamento e la protezione da parte di soluzioni di sicurezza tradizionali a causa dell’assenza di file da analizzare.
Ci sono molti modi per eseguire il codice su un dispositivo senza utilizzare file eseguibili. Spesso utilizzano processi di sistema disponibili e considerati affidabili dal sistema operativo. Di seguito, alcuni esempi:
- VBScript;
- JScript;
- Batch files;
- PowerShell;
- Mshta e rundll32 (o altri file Windows in grado di eseguire codici dannosi).
Un altro metodo sfruttato negli attacchi fileless è quello di inserire il codice all'interno del registro di Windows. Sebbene il codice non sia eseguibile, all'interno di Microsoft Office e PDF reader sono presenti vulnerabilità che i cyber criminali possono sfruttare per ottenerne l'esecuzione.
Il Problema delle Aziende
Una delle ragioni per cui i malware fileless sono così pericolosi è che le soluzioni per la protezione dei dispositivi non possono semplicemente bloccare file system o il software utilizzato per questa tipologia di attacco.
Per esempio, bloccare PoweShell, può portare a problemi per la manutenzione IT. Lo stesso succede bloccando i documenti Office, causando discontinuità tra le attività aziendali.
Il Problema dei Fornitori
È necessario comprendere che la mancanza di protezione da questa tipologia di attacchi può rendere i sistemi interni estremamente vulnerabili. Come conseguenza, sono state sviluppate molteplici soluzioni che si prefiggono l’obiettivo di eliminare i malware fileless.
La maggior parte di esse però, non riescono a far fronte al problema. Ecco alcune delle soluzioni comuni e perché sono inadeguate:
Bloccare PowerShell
PowerShell è diventato uno strumento essenziale ed ha sostituito in larga parte il tool legacy cmd di Microsoft come utility della riga di comando predefinita. Bloccando PowerShell si può andare incontro a molteplici problemi.
Dal punto di vista della protezione dei sistemi, bloccarlo sarebbe inutile: molte fonti pubbliche spiegano come aggirare i criteri di esecuzione di PowerShell e altre modalità di utilizzo che non prevedono il blocco di PowerShelle.exe. Per nominarne alcuni:
- Eseguire PowerShell solo con dlls, con un semplice comando rundlll32 utlizzando PowerShdll;
- Convertire script PowerShell in altri file EXE, con strumenti come PS2EXE;
- Sfruttare un malware con la copia di PowerShell.exe o in grado di modificare il PowerShell locale per evitare che le soluzioni di sicurezza riconoscano che è infettato;
- Incorporare uno script PowerShell nei pixel di un file PNG e generare un one-liner per eseguirlo utilizzando Invoke-PSImage.
Bloccare Macro Files MS Office
Nel tentativo di eliminare questo vettore di attacco, Microsoft ha aggiunto un'opzione per disabilitare le macro (a partire da Office 2016). Tuttavia, nella maggior parte degli ambienti sono ancora abilitate, perciò sono state sviluppate queste due soluzioni:
- Bloccare le macro – questo impone le stesse restrizioni offerte da Microsoft per le aziende che possono fare a meno delle macro;
- Estrarre il codice macro per analisi statica o reputation check – soluzione che può avere successo in alcuni casi. Il problema di questo approccio è che tale codice è estremamente difficile da classificare e rilevare all’interno di un tasso di falsi positivi tollerabile, specialmente per macro dannose mai viste prima.
Inoltre, esistono pochissimi archivi di codici benigni e dannosi. Un’altra opzione è la ricerca di funzioni comuni tipiche degli attacchi, ma anche queste sono variabili e non ampiamente catalogate.
Analizzare il Comportamento dei Processi è Fondamentale
La chiave è analizzare il comportamento dei processi in esecuzione sull’endpoint piuttosto che ispezionare i file sulla macchina. Questa operazione è efficace perché, nonostante il numero ampio e crescente di malware, tutti agiscono in maniera molto simile.
Sebbene la soluzione di endpoint protection SentinelOne utilizzi diverse tecniche, tra cui intelligenza artificiale statica e comportamentale, quest’ultimo approccio è estremamente efficace nel rilevare e prevenire questa tipologia di attacchi.
Un esempio lampante dell’efficacia di questo approccio è dimostrata con la campagna WannaCry, in cui SentinelOne era in grado di proteggere i dispositivi ancora prima che il ransomware si diffondesse.
In che modo SentinelOne blocca gli attacchi Malware
SentinelOne monitora tutte le attività lato agente a livello kernel per distinguere attività sospette da quelle benigne. L’agente ha la panoramica completa di tutto il sistema: utenti, processi, argomenti della riga di comando, registro, file sul disco e comunicazioni esterne; qualsiasi attività dannosa può essere completamente attenuata.
La piattaforma SentinelOne permette di eseguire il rollback di tutte le azioni dannose e consente all'utente di lavorare su un dispositivo sicuro e protetto.
Active Content
SentinelOne sfrutta il cosiddetto approccio “Active Content”, in grado di scovare immediatamente la causa principale dell’infezione.
Facciamo un esempio per capire meglio: supponiamo che un utente scarichi un allegato dannoso tramite Outlook, che tenta di crittografare i file sul disco. In questo scenario, mettendo in quarantena Outlook come processo principale non sarebbe possibile riconoscere la vera fonte dell'attività dannosa.
Outlook, in realtà, dovrebbe essere la fonte da cui capire quale sia il file ed eliminarlo. L’obiettivo quindi, è quello di bloccare l’intero gruppo di minacce, nonostante eventuali file aggiuntivi siano stati eliminati, siano state create di chiavi di registro o altri comportamenti dannosi.
Lo sfruttamento di Active Content ci permette di determinare la causa principale di un’infezione, con o senza la presenza di un file.
Conclusione
I cyber criminali proveranno sempre a sfruttare il percorso più breve per compromettere la sicurezza dei dispositivi al fine di ottenere il massimo rendimento con il minimo sforzo. Il malware fileless è la tipologia di attacco più diffusa per il raggiungimento di quest’obiettivo, e per prevenire gli attacchi, non è sufficiente bloccare operazioni come PowerShell.
È necessario una soluzione che possa prevenire gli attacchi utilizzando localmente exploit, documenti macro, exploit kit, PoweShell, PowerSploit e attacchi zero-day, senza influire sulla produttività giornaliera degli utenti.
SentinelOne, è la piattaforma di endpoint protection in grado di proteggere la rete e tutti i dispositivi da minacce conosciute e sconosciute. Per avere maggiori informazioni o per richiedere una demo gratuita invia una mail a cio@florence-consulting.it, chiama lo (055) 538-3250, oppure compila il form sottostante con la tua richiesta.
