Per raggiungere il nostro obiettivo non ci servono file: ecco Rozena, il malware “fileless”

Un nuovo approccio per una vecchia tecnica

Bochum (Germania), 3 luglio 2018

I malware privi di file fanno leva su vulnerabilità per avviare comandi malevoli o lanciare script direttamente dalla memoria utilizzando strumenti di sistema legittimi come Windows PowerShell. Code Red e SQL Slammer sono stati pionieri dei malware “fileless”, il cui utilizzo risale all’inizio del 2000. Un approccio che sta nuovamente prendendo piede.

Nella prima metà dell’anno il termine attacco “fileless” è stato sulla bocca di tutti all’interno della comunità di Cyber Security. È una tecnica di attacco nota da quasi vent’anni, che non prevede lo scaricamento o il deposito di file malevoli sul disco fisso per eseguire comandi o script illeciti, bensì li lancia direttamente dalla memoria sfruttando strumenti legittimi.

Tuttavia, oggi è necessario differenziare: il termine “fileless” può essere una denominazione impropria se pensiamo che ci sono attacchi che possono coinvolgere la presenza di file nel computer, come un allegato di una mail di spam. Una volta eseguito, il malware potrebbe comunque salvare un file nel disco e successivamente usare la tecnica “fileless” per raccogliere informazioni sul sistema e diffondere l’infezione attraverso la rete tramite exploit o iniezioni di codice che lanciano comandi illeciti  direttamente dalla memoria tramite strumenti di sistema legittimi. Nel solo 2017, il 13% dei malware che abbiamo registrato si avvaleva di PowerShell per compromettere i sistemi.

Da quando PowerShell e Windows Management Instrumentation sono stati integrati come strumenti del sistema operativo Windows, se ne abusa largamente per attività fraudolente. Un noto malware che utilizza PowerShell per scaricare ed eseguire codici malevoli è il downloader Emotet.

Rozena

Ci sono anche vecchi malware mutati in attacchi “fileless”. Questi malware hanno l’obiettivo di essere più efficienti nell’infettare le macchine e di evitare di essere localizzati: un esempio è Rozena.

Rozena è un malware che crea una backdoor in grado di stabilire una connessione shell remota con l’autore. Una connessione andata a buon fine è preoccupante in termini di sicurezza, sia per la macchina infetta, sia per gli altri comuputer collegati alla stessa rete.

Visto per la prima volta nel 2015 Rozena ha fatto il suo ritorno nel marzo 2018. Il nuovo Rozena, come la sua versione precedente, mira ancora al sistema operativo Microsoft Windows, ma ciò che fa la differenza è il suo adattamento alla tecnica “fileless” e allo sfruttamento di script PowerShell per raggiungere il proprio obiettivo.

Nello specifico, dato che una delle funzioni standard di Windows è quella di non mostrare l’estensione dei file, è semplice per l’autore del malware camuffarlo in modo da farlo apparire innocuo. Rozena ad esempio usa l’icona di Microsoft Word ma è in realtà un eseguibile di Windows.  Essere infettati con un malware che può letteralmente fare quello che vuole con macchina compromessa, i documenti archiviativi e la rete a cui è collegata è terrificante, per il congruo numero di minacce che trovano accesso al sistema e per l’alto potenziale dannoso (l’analisi tecnica completa è reperibile sul Blog di G DATA). Ora che Rozena segue la via del “fileless” per insediarsi ed eseguire i propri codici, la sua attività malevola si intensifica.

Secondo un recente studio condotto da Barkly in collaborazione con l’Istituto Ponemon, che ha visto coinvolti 665 responsabili IT, è emerso che gli attacchi “fileless” sono 10 volte più efficaci rispetto ai “file-based”.

Prevenzione

Il malware si adatta con il cambiare del mondo, non stupisce quindi l’uso di strumenti legittimi integrati per sferrare attacchi lasciando gli utenti indifesi. Fortunatamente però c’è ancora un modo per proteggersi da questi tipi di attacchi:

1. Mantenere i sistemi operativi e i programmi sempre aggiornati, inclusa l’installazione delle patch di sicurezza. Questo perché è noto come i sistemi più datati abbiano molte vulnerabilità che possono essere sfruttate per attacchi informatici.
2. È fortemente sconsigliato scaricare, salvare ed eseguire file di provenienza ignota. Gli autori di malware usano ancora i canali tradizionali per spingere gli utenti ad eseguire file malevoli. Se disabilitare gli strumenti di sistema, soprattutto PowerShell non è un’opzione, si può configurare PowerShell in modo da prevenire l’esecuzione di script sospetti.
3. Impostare la modalità Constrained Language di PowerShell – questo limiterà le capacità di PowerShell, rimuovendo funzionalità avanzate come chiamate .Net e Windows Api, la maggior parte degli script PowerShell infatti si avvalgono di questi parametri e metodi.
4. Abbinare PowerShell con AppLocker – questo impedirà l’esecuzione di binari non autorizzati.

Continua a leggere →

Passare dalla consapevolezza dei rischi alla vigilanza inconscia: un fattore chiave nella sicurezza informatica

L’essere umano continuerà a svolgere un ruolo chiave all’interno dei meccanismi di sicurezza informatica. La cultura della vigilanza rappresenta un progetto d’impresa di importanza vitale se le aziende intendono proteggersi in modo sostenibile ed efficace contro le minacce informatiche.

L’incremento degli attacchi informatici non sorprende, come non sorprende il fatto che questi diventino sempre più complessi e coinvolgano trasversalmente ogni settore economico. Tendenze che spingono parte delle aziende a rivedere la propria posizione e a mettere in atto nuove iniziative di formazione degli addetti sulle buone pratiche informatiche: adattare costantemente abitudini e comportamenti per fronteggiare la fuga di informazioni sensibili, i danni reputazionali, la perdita della fiducia che partner e clienti ripongono nell’organizzazione e le altre conseguenze di eventuali attacchi risulta imperativo. Dopo essersi concentrate sulla sensibilizzazione, le aziende dovranno educare i propri impiegati alla vigilanza, trasformandoli nell’ultimo baluardo di difesa contro le minacce informatiche.

Matthieu Bonenfant, Chief Marketing Officer – ‎Stormshield

La fine del predominio delle tecnologie come barriera ultimativa contro le nuove minacce

Sebbene componente essenziale, la tecnologia da sola non è garante assoluto di protezione. Il fattore umano è altrettanto importante e chiaramente va inserito nelle politiche di sicurezza aziendali. Per questo motivo alcune aziende conducono attività di sensibilizzazione nelle forme più disparate, da corsi quasi scolastici, a presentazioni frontali, esercizi di simulazione, e-learning, ecc. Tuttavia, spesso queste iniziative sono poco frequenti e non risultano coinvolgere gli addetti al punto da consentire il passaggio dell’intera organizzazione da un’attenzione consapevole alla competenza inconscia spesso descritta nei trattati di programmazione neurolinguistica (NLP).

L’obiettivo ultimo è che l’organizzazione raggiunga uno stato di perpetua vigilanza attraverso un esercizio inconscio ed automatico delle proprie competenze, prendendo in prestito dalla vita quotidiana l’approccio Zanshin**, ossia prestando (inconsciamente però) un’attenzione particolare e continua ad azioni o comportamenti che potrebbero esporre il sistema informativo a un’intrusione o a un attacco. Formazione costante e simulazioni frequenti permetterebbero al personale di sviluppare più facilmente gli automatismi necessari per la propria trasformazione in ultima linea di difesa. Sebbene l’intelligenza artificiale stia infatti facendo passi da gigante in termini di riconoscimento dei comportamenti anomali, non è ancora sufficientemente matura per sostituire le capacità analitiche degli esseri umani. È pertanto indispensabile che gli impiegati si “evolvano” al fine di raggiungere quello stato di continua vigilanza che permetterà loro di prendere la decisione giusta al momento giusto, lavorando meglio e sapendo cosa fare senza farsi prendere dal panico.

Altro elemento essenziale per il raggiungimento di tale obiettivo è la condivisione delle informazioni tra gli impiegati e la creazione di una sorta di “risposta condivisa”. Attualmente la tecnologia digitale e le piattaforme collaborative sono intrinsecamente connesse, specie all’interno delle organizzazioni geograficamente distribuite, rendono quindi possibile creare forum interni, spazi online ed altri strumenti impiegabili per trasmettere informazioni in tempo reale ai CISO oppure, dall’altro lato, per trasferirle direttamente ai gruppi operativi.

**Il termine Zanshin è giapponese 残心 e significa vigilanza contro i tuoi oppositori, letteralmente “lo spirito che resta”. Questa è un’attitudine sviluppata all’interno delle arti marziali giapponesi (fonte).

Continua a leggere →

Trasmissioni, scommesse, partite: cosa succederebbe se gli hacker prendessero il controllo dei Mondiali di calcio?

Anche in occasione del 21° mondiale di calcio di cui si sono già disputate le prime partite la maggior parte delle sfide avranno luogo nel mondo “reale”, in Russia, tuttavia non sono le uniche! Alcune “partite” si giocheranno anche nel mondo virtuale: che siano essi adibiti alla gestione delle trasmissioni, di piattaforme di scommesse o alla vendita di biglietti, anche i sistemi IT necessitano di una difesa ben schierata.

Come avviene con tutti gli eventi sportivi di portata globale, anche la Coppa del Mondo di calcio rappresenta un’ottima occasione per riunire i fan di questo sport ma non solo, è anche palcoscenico di tensioni tra i governi, come dimostrato dalle recenti questioni tra Russia e Ucraina. La principale differenza tra le partite sull’erba e gli attacchi virtuali è che gli hacker di solito fanno attenzione a non mostrare i loro colori: l’obiettivo è di lasciare il minor numero possibile di tracce. Le attribuzioni sono un gioco politico piuttosto che una questione di IT; ci vuole “naso” per distinguere le impronte digitali reali da quelle fasulle lasciate di proposito dagli attaccanti.

I fornitori di connettività, gli operatori televisivi e persino i router xDSL sono potenziali bersagli per raggiungere un obiettivo, che non è tanto quello di creare scompiglio tra gli spettatori interrompendo le trasmissioni quanto piuttosto quello di screditare il Paese organizzatore cagionando interruzioni del servizio di infrastrutture critiche come ospedali o reti stradali. La Russia farebbe così (ancora) notizia in ambito cyber …

Trasmissioni televisive: l’annosa questione dei diritti sulle informazioni

Qualsiasi trasmissione di una partita di calcio è esposta al rischio di pirataggio o manomissione: i cybercriminali possono limitarsi ad un semplice blocco “improvviso” del segnale (un po’ come quando Amélie Poulain staccava l’antenna del vicino per vendicarsi) fino ad attacchi molto più estesi, quasi di scala industriale. La questione è complessa: è necessario poter trasmettere informazioni, ma non troppo, fornire un servizio ai clienti (in caso di caso di canali “premium”) ma assicurarsi che gli stessi non possano abusare del segnale televisivo che ricevono per condividerlo con terzi.

Come ci si può difendere da tale pratica? Come si codificano i dati da trasmettere? Un qualsiasi utente con cattive intenzioni (o troppo buone, a seconda del punto di vista) può mettere le mani su un flusso televisivo in chiaro e inoltrarlo altrove. Un rischio che rimanda alla gestione dei diritti televisivi digitali: come garantite che qualcuno che sta guardando una trasmissione “premium” non cifrata non possa ritrasmetterla? Diversi operatori televisivi premium per quest’anno hanno optato per la fruibilità gratuita dei propri programmi sportivi, per vanificare sul nascere eventuali tentativi di pirataggio. Questa scelta però implica la necessità di identificare altre fonti di guadagno (attraverso contenuti aggiuntivi o pubblicità).

Piattaforme di scommesse e mercato nero: l’integrità dei dati è fondamentale

La sfida principale nella commercializzazione dei biglietti per via elettronica non è tanto la riservatezza dei dati, quanto la disponibilità del servizio e l’autenticità di quanto venduto. Come la precedente Coppa del Mondo in Brasile, anche il torneo di quest’anno è stato oggetto di massicce campagne di phishing atte alla vendita di biglietti fasulli. In combinazione con attacchi denial of service (DoS), la situazione potrebbe diventare esplosiva: se un sistema di accesso allo stadio non fosse in grado di distinguere i biglietti veri da quelli falsi si potrebbero generare gigantesche code all’ingresso dando luogo a problemi di sicurezza molto reali. Per assurdo, provate ad immaginare lo spettacolo che offrirebbe al mondo lo svolgimento delle semifinali o delle finali in uno stadio quasi vuoto, con la maggior parte degli spettatori bloccati ai cancelli … O giornalisti sportivi relegati alle loro sale stampa senza connessione a Internet. Ecco perché i dati devono essere protetti da firewall, essere ospitati su infrastrutture ridondate e ripristinabili tramite backup operativi, anche senza accesso a Internet.

La questione dell’integrità dei dati non dovrebbe ovviamente essere trascurata: è importante sapere se la persona giusta è in possesso del giusto biglietto. Ma dal momento che questo tipo di frode elettronica ha conseguenze meno disastrose, il problema dell’integrità ha una priorità inferiore rispetto a quello della disponibilità del servizio. L’aspetto della Coppa del Mondo in cui l’integrità dei dati è più critica, sono le piattaforme di scommesse: come assicurarsi che le vincite vadano alla persona giusta, a colui che ad esempio ha avuto l’intuizione di pronosticare l’improbabile gol con cui l’Islanda è riuscita a pareggiare con l’Argentina? Ovviamente è possibile cifrare le informazioni e in questo caso, in particolare, utilizzare la tecnologia delle firme crittografiche per assicurarsi che il pronostico sia stato inserito dalla persona giusta (il sito di scommesse, non l’hacker), al momento giusto (preferibilmente prima del gol!), e che il denaro venga poi versato nel modo giusto attraverso una transazione bancaria.
A differenza dei sistemi che privilegiano la disponibilità dei dati / servizi, ad esempio con i biglietti, in questo caso l’integrità dei dati prevale sulla disponibilità – non ha senso continuare ad utilizzare una cassaforte una volta depredata. Su un sito di scommesse online è quindi necessario assicurarsi che le scommesse siano archiviate in luoghi protetti dagli attacchi, non necessariamente con sistemi ridondati o tramite back-up ma con misure per la protezione completa della rete che combinino crittografia, parole chiave, firewall e un sistema di analisi automatizzato per identificare comportamenti fraudolenti all’interno del flusso di dati.

E le partite?

All’interno dello stadio, mentre i telecronisti sportivi hanno bisogno di un collegamento per farci vivere l’azione dal vivo, i furgoni preposti alla trasmissione della partita, con le loro enormi antenne montate sul tetto, sono per lo più autonomi e collegati direttamente ai satelliti. A meno che qualcuno non sia fisicamente lì a dirottare il segnale del furgone – e riesca a non farsi prendere – è improbabile che si possa hackerare il satellite nel pieno della trasmissione del match.

Almeno sul campo, tutti possono stare tranquilli. Per il momento, la probabilità che gli hacker manipolino in tempo reale il VAR (video assistant referee) del tiro di Gignac finito contro il palo in un gol contro il Portogallo è ancora fantascienza. E anche un VAR integralmente manomesso non potrà certo far credere che Sergio Ramos possa deviare con il pensiero il gol della squadra avversaria – ci sono (teoricamente) ancora persone reali con il compito di verificare ogni dettaglio.

E facendo attenzione a semplici regole di comportamento nel mondo digitale, anche i giocatori dovrebbero essere al riparo dai tentativi di destabilizzazione: il governo britannico si è persino spinto al punto di informare il team inglese sui rischi di attacchi informatici ai danni dei loro smartphone o delle console di gioco! Finché i giocatori non saranno androidi hackerabili da remoto, si può ancora sperare di vedere una partita condotta lealmente.

L’anello debole della catena, al momento, è e rimane la ritrasmissione della partita, non quella dal furgone, ma dalla casa del telespettatore. Una volta diffuso il match i contenuti audio o video restano indisponibili per poco tempo al di fuori del mercato tradizionale. Assicurarsi che una o anche dieci persone di fiducia si attengano ai vincoli di confidenzialità è una cosa, aspettarselo da parte di centinaia di milioni di spettatori è un’utopia.
Ma è davvero questo il problema più serio? Il 20 maggio scorso, Michel Platini ha dichiarato che la Coppa del Mondo del 1998 è stata manipolata dai suoi organizzatori per evitare una partita tra Francia e Brasile prima della finale. E se, per il prossimo Mondiale tra quattro anni lasciassimo organizzare l’evento all’Intelligenza Artificiale e agli umani giusto il gioco sul campo?

Continua a leggere →