Per raggiungere il nostro obiettivo non ci servono file: ecco Rozena, il malware “fileless”

Un nuovo approccio per una vecchia tecnica

Bochum (Germania), 3 luglio 2018

I malware privi di file fanno leva su vulnerabilità per avviare comandi malevoli o lanciare script direttamente dalla memoria utilizzando strumenti di sistema legittimi come Windows PowerShell. Code Red e SQL Slammer sono stati pionieri dei malware “fileless”, il cui utilizzo risale all’inizio del 2000. Un approccio che sta nuovamente prendendo piede.

Nella prima metà dell’anno il termine attacco “fileless” è stato sulla bocca di tutti all’interno della comunità di Cyber Security. È una tecnica di attacco nota da quasi vent’anni, che non prevede lo scaricamento o il deposito di file malevoli sul disco fisso per eseguire comandi o script illeciti, bensì li lancia direttamente dalla memoria sfruttando strumenti legittimi.

Tuttavia, oggi è necessario differenziare: il termine “fileless” può essere una denominazione impropria se pensiamo che ci sono attacchi che possono coinvolgere la presenza di file nel computer, come un allegato di una mail di spam. Una volta eseguito, il malware potrebbe comunque salvare un file nel disco e successivamente usare la tecnica “fileless” per raccogliere informazioni sul sistema e diffondere l’infezione attraverso la rete tramite exploit o iniezioni di codice che lanciano comandi illeciti  direttamente dalla memoria tramite strumenti di sistema legittimi. Nel solo 2017, il 13% dei malware che abbiamo registrato si avvaleva di PowerShell per compromettere i sistemi.

Da quando PowerShell e Windows Management Instrumentation sono stati integrati come strumenti del sistema operativo Windows, se ne abusa largamente per attività fraudolente. Un noto malware che utilizza PowerShell per scaricare ed eseguire codici malevoli è il downloader Emotet.

Rozena

Ci sono anche vecchi malware mutati in attacchi “fileless”. Questi malware hanno l’obiettivo di essere più efficienti nell’infettare le macchine e di evitare di essere localizzati: un esempio è Rozena.

Rozena è un malware che crea una backdoor in grado di stabilire una connessione shell remota con l’autore. Una connessione andata a buon fine è preoccupante in termini di sicurezza, sia per la macchina infetta, sia per gli altri comuputer collegati alla stessa rete.

Visto per la prima volta nel 2015 Rozena ha fatto il suo ritorno nel marzo 2018. Il nuovo Rozena, come la sua versione precedente, mira ancora al sistema operativo Microsoft Windows, ma ciò che fa la differenza è il suo adattamento alla tecnica “fileless” e allo sfruttamento di script PowerShell per raggiungere il proprio obiettivo.

Nello specifico, dato che una delle funzioni standard di Windows è quella di non mostrare l’estensione dei file, è semplice per l’autore del malware camuffarlo in modo da farlo apparire innocuo. Rozena ad esempio usa l’icona di Microsoft Word ma è in realtà un eseguibile di Windows.  Essere infettati con un malware che può letteralmente fare quello che vuole con macchina compromessa, i documenti archiviativi e la rete a cui è collegata è terrificante, per il congruo numero di minacce che trovano accesso al sistema e per l’alto potenziale dannoso (l’analisi tecnica completa è reperibile sul Blog di G DATA). Ora che Rozena segue la via del “fileless” per insediarsi ed eseguire i propri codici, la sua attività malevola si intensifica.

Secondo un recente studio condotto da Barkly in collaborazione con l’Istituto Ponemon, che ha visto coinvolti 665 responsabili IT, è emerso che gli attacchi “fileless” sono 10 volte più efficaci rispetto ai “file-based”.

Prevenzione

Il malware si adatta con il cambiare del mondo, non stupisce quindi l’uso di strumenti legittimi integrati per sferrare attacchi lasciando gli utenti indifesi. Fortunatamente però c’è ancora un modo per proteggersi da questi tipi di attacchi:

1. Mantenere i sistemi operativi e i programmi sempre aggiornati, inclusa l’installazione delle patch di sicurezza. Questo perché è noto come i sistemi più datati abbiano molte vulnerabilità che possono essere sfruttate per attacchi informatici.
2. È fortemente sconsigliato scaricare, salvare ed eseguire file di provenienza ignota. Gli autori di malware usano ancora i canali tradizionali per spingere gli utenti ad eseguire file malevoli. Se disabilitare gli strumenti di sistema, soprattutto PowerShell non è un’opzione, si può configurare PowerShell in modo da prevenire l’esecuzione di script sospetti.
3. Impostare la modalità Constrained Language di PowerShell – questo limiterà le capacità di PowerShell, rimuovendo funzionalità avanzate come chiamate .Net e Windows Api, la maggior parte degli script PowerShell infatti si avvalgono di questi parametri e metodi.
4. Abbinare PowerShell con AppLocker – questo impedirà l’esecuzione di binari non autorizzati.

Continua a leggere →

3CX sfata sei falsi miti della telefonia IP

Sebbene il numero di aziende che opta per la telefonia IP in Italia sia in costante aumento, confusione e pregiudizi sul funzionamento dei sistemi VoIP e sul tipo di utenti per i quali le nuove piattaforme IP sono una valida alternativa la fanno ancora da padrone.

Attualmente ci troviamo in piena fase di transizione dalla telefonia tradizionale (analogica o ISDN) verso tecnologie “All-IP”. Mentre gli altri mercati europei si sono dati precise scadenze (tra la fine del 2018 e il 2020) per completare la migrazione, in Italia questa ha luogo in maniera più o meno silente ma progressiva. In combinazione con le nuove tecnologie basate sul cloud, oggi il VoIP sta rivoluzionando il settore delle telecomunicazioni e presenta un enorme potenziale di sviluppo sia per gli operatori, sia per gli utenti finali. Proprio per questo è importante capire esattamente cosa significa telefonia IP, quali opportunità apre e quali timori si sono tramutati nel tempo in falsi miti da sfatare. 3CX, noto produttore di piattaforme per le Unified Communications ne ha identificati sei.

Mito 1: il VoIP richiede professionisti specializzati

Sbagliato – I moderni sistemi telefonici come le soluzioni 3CX sono progettati per rendere installazione e gestione delle telecomunicazioni il più semplice possibile. Inoltre, 3CX nello specifico, offre corsi di formazione gratuiti e documentazione completa a supporto assicurando all’IT manager la fruibilità di tutti gli strumenti di cui possa necessitare. Non è più necessario essere un professionista specializzato in telefonia VoIP o investire le proprie risorse in formazione per configurare e amministrare con successo un sistema completo di Unified Communications.

Mito 2: il VoIP non è sicuro

Sbagliato – Negli ultimi anni i produttori di soluzioni VoIP hanno sviluppato valide misure di sicurezza contro possibili attacchi informatici. Strumenti di crittografia quali SRTP, TLS e SSL garantiscono comunicazioni sicure e protette. Le soluzioni 3CX integrano persino strumenti anti-hacking e anti-frode che proteggono la piattaforma UC contro le metodologie di attacco più comuni.

Mito 3: solo le grandi aziende possono permettersi il VoIP

Sbagliato – Contrariamente all’ipotesi diffusa secondo cui solo le grandi aziende siano i maggiori beneficiari del boom del VoIP, sono in realtà le piccole e medie imprese che traggono i maggiori vantaggi dalla migrazione alla telefonia IP. Uno dei più grandi benefici della nuova tecnologia è rappresentato dal considerevole e immediato risparmio sui costi: grazie alla telefonia IP ci si allontana da modelli commerciali che implicano ingenti investimenti in hardware e terminali proprietari per rivolgersi a sistemi basato su software e interoperabili con i più diversi marchi di telefoni IP, riducendo l’impatto dovuto all’acquisto di hardware obsoleto e non adattabile a fronte di un ”sistema aperto” che assicura una maggior flessibilità per le future esigenze di comunicazione.

Mito 4: la migrazione all’IP è accompagnata dalla perdita del numero di telefono

Sbagliato – Nella maggior parte dei casi l’operatore che offre linee SIP (SIP Trunk) offre anche la “portabilità” del numero di telefono, in pratica i numeri esistenti vengono trasferiti al nuovo sistema telefonico IP. Tuttavia, questo servizio potrebbe comportare costi aggiuntivi. È opportuno Informarsi in anticipo, se un fornitore offre tale funzione e se questo servizio ha un costo.

Mito 5: la migrazione al VoIP rende i telefoni attualmente impiegati inutilizzabili

Sbagliato – A dipendenza della tecnologia impiegata in azienda, è possibile continuare a utilizzare i dispositivi esistenti. I telefoni analogici o ISDN, ad esempio, possono essere integrati nei nuovi sistemi VoIP tramite gateway e fruire (anche se limitatamente) delle nuove funzionalità offerte dai nuovi centralini IP. Qualora si opti per l’installazione di telefoni IP, esistono terminali che soddisfano le più diverse esigenze integrando diverse funzionalità in base al modello e alla fascia di prezzo. E’ davvero molto semplice per identificare il giusto telefono IP che si confaccia a qualsiasi tipologia d’impresa e a qualsivoglia budget.

Mito 6: VoIP è una soluzione prettamente per uffici

Sbagliato – Uno dei maggiori vantaggi della telefonia IP è la possibilità di essere raggiungibili sempre e ovunque ad un unico recapito telefonico. Basta assicurarsi l’accesso al WiFi o alla rete mobile. Utilizzando client softphone per smartphone e notebook, i dipendenti sono in grado di effettuare chiamate o videoconferenze in mobilità come se fossero seduti alla propria scrivania.
Conclusioni

Chi si affida a VoIP consente alla propria organizzazione di accedere a un moderno sistema di comunicazioni unificate, intuitivo e ricco di funzionalità, che migliora la comunicazione, la collaborazione e la produttività dell’azienda in modo sostenibile e aumenta quindi la competitività della stessa.

Continua a leggere →

Passare dalla consapevolezza dei rischi alla vigilanza inconscia: un fattore chiave nella sicurezza informatica

L’essere umano continuerà a svolgere un ruolo chiave all’interno dei meccanismi di sicurezza informatica. La cultura della vigilanza rappresenta un progetto d’impresa di importanza vitale se le aziende intendono proteggersi in modo sostenibile ed efficace contro le minacce informatiche.

L’incremento degli attacchi informatici non sorprende, come non sorprende il fatto che questi diventino sempre più complessi e coinvolgano trasversalmente ogni settore economico. Tendenze che spingono parte delle aziende a rivedere la propria posizione e a mettere in atto nuove iniziative di formazione degli addetti sulle buone pratiche informatiche: adattare costantemente abitudini e comportamenti per fronteggiare la fuga di informazioni sensibili, i danni reputazionali, la perdita della fiducia che partner e clienti ripongono nell’organizzazione e le altre conseguenze di eventuali attacchi risulta imperativo. Dopo essersi concentrate sulla sensibilizzazione, le aziende dovranno educare i propri impiegati alla vigilanza, trasformandoli nell’ultimo baluardo di difesa contro le minacce informatiche.

Matthieu Bonenfant, Chief Marketing Officer – ‎Stormshield

La fine del predominio delle tecnologie come barriera ultimativa contro le nuove minacce

Sebbene componente essenziale, la tecnologia da sola non è garante assoluto di protezione. Il fattore umano è altrettanto importante e chiaramente va inserito nelle politiche di sicurezza aziendali. Per questo motivo alcune aziende conducono attività di sensibilizzazione nelle forme più disparate, da corsi quasi scolastici, a presentazioni frontali, esercizi di simulazione, e-learning, ecc. Tuttavia, spesso queste iniziative sono poco frequenti e non risultano coinvolgere gli addetti al punto da consentire il passaggio dell’intera organizzazione da un’attenzione consapevole alla competenza inconscia spesso descritta nei trattati di programmazione neurolinguistica (NLP).

L’obiettivo ultimo è che l’organizzazione raggiunga uno stato di perpetua vigilanza attraverso un esercizio inconscio ed automatico delle proprie competenze, prendendo in prestito dalla vita quotidiana l’approccio Zanshin**, ossia prestando (inconsciamente però) un’attenzione particolare e continua ad azioni o comportamenti che potrebbero esporre il sistema informativo a un’intrusione o a un attacco. Formazione costante e simulazioni frequenti permetterebbero al personale di sviluppare più facilmente gli automatismi necessari per la propria trasformazione in ultima linea di difesa. Sebbene l’intelligenza artificiale stia infatti facendo passi da gigante in termini di riconoscimento dei comportamenti anomali, non è ancora sufficientemente matura per sostituire le capacità analitiche degli esseri umani. È pertanto indispensabile che gli impiegati si “evolvano” al fine di raggiungere quello stato di continua vigilanza che permetterà loro di prendere la decisione giusta al momento giusto, lavorando meglio e sapendo cosa fare senza farsi prendere dal panico.

Altro elemento essenziale per il raggiungimento di tale obiettivo è la condivisione delle informazioni tra gli impiegati e la creazione di una sorta di “risposta condivisa”. Attualmente la tecnologia digitale e le piattaforme collaborative sono intrinsecamente connesse, specie all’interno delle organizzazioni geograficamente distribuite, rendono quindi possibile creare forum interni, spazi online ed altri strumenti impiegabili per trasmettere informazioni in tempo reale ai CISO oppure, dall’altro lato, per trasferirle direttamente ai gruppi operativi.

**Il termine Zanshin è giapponese 残心 e significa vigilanza contro i tuoi oppositori, letteralmente “lo spirito che resta”. Questa è un’attitudine sviluppata all’interno delle arti marziali giapponesi (fonte).

Continua a leggere →