Seguire il percorso di minima resistenza è una tendenza naturale: è il motivo per cui i fiumi scorrono attorno alle montagne e l’elettricità scarica a terra seguendo la via più breve. In questo modo si spiega anche perché la crescita dei nuovi malware è stata così rapida negli ultimi due anni. Seppure rimane una piccola quantità di programmatori che continua a sviluppare con attenzione malware avanzato e complesso – ad esempio Stuxnet, Flame e Duqu, che andavano a danneggiare interessi di portata nazionale – la stragrande maggioranza dei potenziali hacker ottiene i propri risultati seguendo la via più facile.
Gli hacker anno avuto modo di apprezzare i vantaggi di un attacco malware e sono anche consapevoli dell’esistenza di semplici tool in grado di rendere automatica la creazione di nuovi malware che passano inosservati agli antivirus convenzionali. La conseguenza è la produzione massiva e la distribuzione su scala industriale di codice malevolo prodotto da individui con competenze di programmazione elementari, se non inesistenti.
In effetti, il recente Security Report di Check Point mostra che sono stati rilevati più malware sconosciuti negli ultimi due anni che non negli ultimi dieci. Mentre i lanci di nuovi malware si attestavano sui 18 milioni tra il 2010 e il 2011, confermando un trend statico, nel 2012 questa cifra e quasi raddoppiata con 32 milioni, passando a 83 milioni nel 2013 e addirittura 142 milioni nel 2014 – quasi decuplicandosi rispetto a tre anni prima! Ancora peggiore è il dato della rapidità con cui il fenomeno si sta espandendo. In media, nel 2014 le aziende monitorate dal Report hanno scaricato 106 malware sconosciuti ogni ora, con una frequenza di 48 volte superiore rispetto al 2013.
Nella maggior parte dei casi, si trattava di file malevoli già esistenti a cui erano semplicemente state portate minime modifiche di codice, letteralmente trasformandoli in vecchi malware con un nuovo asso nella manica, sufficiente ad aggirare anche gli antivirus più aggiornati. 

Costruire una trappola migliore

Un proverbio inglese dice: “costruisci una trappola per topi migliore e il mondo te la vorrà comprare”. Per evitare di essere tratto in inganno da questi nuovi trucchi da hacker, suggeriamo quindi di implementare un sistema di rilevazione addizionale conosciuto come threat emulation o sandboxing. Le prime versioni di questa tecnologia funzionavano intercettando i file sospetti nel momento in cui arrivavano al gateway dell’organizzazione presa di mira; i file venivano messi in una zona virtualizzata di quarantena (la sandbox) e ispezionati in tempo reale alla ricerca di comportamenti sospetti. Se il comportamento del file risultava effettivamente malevolo, ad esempio perché cercava di effettuare modifiche anomale ai registri o alle connessioni di rete, veniva isolato impedendo all’infezione di penetrare nella rete.
Benché questo approccio accresca notevolmente i tassi di rilevazione del malware, i criminali già sono consapevoli che questa tecnologia è presente in una percentuale significativa di reti e hanno risposto implementando altre tecniche di evasione. Questo ha comportato lo sviluppo di un nuovo approccio: il sandboxing a livello della Cpu, che consente uno sguardo più approfondito sulle attività dei file sospetti.Questo tipo di sandboxing si basa sul fatto che sono pochi i metodi a poter essere utilizzati per scaricare ed eseguire un malware in un pc ospite. Poiché opera a livello di chip, sotto il livello delle applicazioni o del sistema operativo, il sandboxing a livello Cpu rileva i metodi che il malware utilizza per penetrare il sistema, e il flusso di esecuzione a livello dell’assembly code, nel momento stesso in cui sta avvenendo l’infezione. Di conseguenza è in grado di svelare i mascheramenti applicati al malware, impedendo agli hacker di eludere la sorveglianza del sistema.
Mentre la velocità e l’accuratezza della rilevazione fanno del sandboxing a livello Cpu un potente metodo per rilevare gli attacchi sconosciuti, questo metodo consente anche di rilevare i più rari, ma ben più sofisticati attacchi zero-day. Il malware zero-day è creato ad hoc per sfruttare le vulnerabilità dei software di cui i produttori stessi non sono ancora a conoscenza. La capacità di bloccare gli attacchi comuni come quelli rari e mirati aggiunge un ulteriore, solido livello di difesa alle reti d’impresa. 

Estrarre il veleno dal malware

Portando questo approccio un passo oltre, una nuova tecnica di prevenzione delle minacce consiste nel combinare il sandboxing a livello di sistema operativo con quello a livello Cpu, praticamente azzerando il rischio di infezione. Questa tecnica è definita threat extraction e comporta un approccio diretto alla rimozione della minaccia: poiché la maggior parte dei malware è distribuita per mezzo di documenti infetti (il Security report mostra che il 55% dei file infetti sono pdf o file di office), tutti i documenti che arrivano in un’organizzazione via e-mail dovrebbero essere intercettati, e il contenuto identificato come malware, ad esempio le macro, gli oggetti e i file embedded e i link esterni, rimossi. A quel punto, il documento privo di minacce viene ricostruito con elementi noti e sicuri e inoltrato al destinatario in formato originale oppure come pdf protetto, a seconda delle policy di sicurezza dell’organizzazione.
Gli attacchi malware non mostrano segni di diminuzione e le tecniche di elusione utilizzate dagli hacker sono in continua evoluzione, quindi la tecnologia di sicurezza si deve evolvere di pari passo, o meglio più rapidamente. Ciò che era all’avanguardia nel 2014 è solo tecnologia di base nel 2015.

*Technical Manager per l’Italia di Check Point Software