Quando l'attacco non fa rumore: i malware fileless
Sun Tzu, ne “L’arte della guerra” pone il silenzio come presupposto della sorpresa, della superiorità e infine della vittoria. Anche quando ci riferiamo all’anatomia di un attacco informatico, il silenzio gioca un ruolo fondamentale.
I malware fileless hanno la caratteristica di non lasciare file – appunto – sul disco del dispositivo, ma di risiedere in memoria, rendendosi di fatto silenti. Con l’avanzare delle tecnologie i cyber criminali hanno ridotto al minimo contenuti malevoli all’interno dei file per bypassare i sistemi di difesa tradizionale su cui molte aziende ancora oggi si basano: gli antivirus. Tra i cyber security trend 2021 identificati da Eset i malware fileless sono stati indicati come minaccia in evoluzione e che potrebbe presto essere utilizzata su larga scala.
I fileless nascono in origine per lo spionaggio e gli attacchi più avanzati, ma hanno preso piede di recente con il sistema del cybercrime-as-a-service, che prevede la reperibilità nel dark web di toolkit pronti all’uso.
Questi attacchi hanno l’obiettivo specifico di esflitrare brevetti e PII, informazioni personali che sono direttamente riconducibili a identità reali (come mail, password, indirizzi). La natura degli attacchi informatici però è mutevole, come possono esserlo gli obiettivi per cui viene fatto. Dal momento che a guidarli sono esperti che possono adattare le proprie difese e strategie di evasione per rendersi ancor più furtivi, possiamo aspettarci un’evoluzione anche per quello che riguarda il bersaglio di questi attacchi: oggi “solamente” i dati sensibili, domani potremmo assistere a un cambio di paradigma.
Il caso Gootkit e la campagna tedesca
Gootkit è un banking trojan che ha fatto la sua comparsa nel giugno del 2018 e che si è da subito guadagnato un posto di tutto rispetto nella classifica dei malware più efficaci e pericolosi degli ultimi anni. Riesce ad infiltrarsi in modo silente nel sistema: la sua funzione principale è quella di registrare, attraverso la pressione dei tasti, le password che vengono digitate dall’amministratore di sistema per poi compromettere l’intera infrastruttura della vittima.
È importante per l’attaccante tenere nascosta l’intrusione così da poter mantenere un vantaggio e sovvertire successivamente il sistema operativo a suo piacimento. Oltre alle password infatti, Gootkit fornisce accesso remoto ai sistemi tramite backdoor, riesce a filmare tramite la webcam del pc ed infine inietta script malevoli per fare collection di credenziali bancarie.
L’ultimo ingresso in scena è stato alla fine di novembre, ha affiancato un’altra celebrità tra i malware: il ransomware REvil, in una campagna diffusa in Germania.
In quest’ultimo attacco il mezzo di diffusione è stato WordPress, considerato tra i CMS più vulnerabili di sempre. La modalità per ingannare gli utenti prevede di postare falsi contenuti sotto forma di domande e risposte sui forum dei siti web tedeschi basati su WP. L’utente ignaro cliccando sul link scarica un file ZIP con contenuto offuscato in JavaScript che installa il malware. Lanciando lo script viene poi contattato il server Command&Control e scaricato un altro script che contiene il payload malevolo.
La detection degli attacchi silenti
Rilevare un malware di questa tipologia può essere davvero complicato dal momento che la loro prima preoccupazione dopo aver breachato il perimetro è di disabilitare i log del sistema operativo e le funzioni dei programmi che possono rilevarli e bloccarli. Per riuscire nell’impresa vengono adottate diverse tecniche: il polimorfismo, la continua rigenerazione di hash, meccanismi di occultamento del codice di cui sono due esempi illustri Trickbot e Ryuk.
Contrariamente a quanto si crede, i fileless non sono meno efficaci di malware comuni: i payload sono esattamente gli stessi. Tramite la Powershell, l’attaccante esegue i comandi necessari da remoto e può farlo principalmente attraverso due modalità di esecuzione: nella prima l’utente scarica un file che non risulta essere malevolo ma al cui interno risiede lo script offuscato; nella seconda viene sfruttata una vulnerabilità per l’RCE, la Remote Code Execution. La percentuale di successo dell’attacco è molto elevata in entrambi i casi.
Secondo il Ponemon Cost of a Data Breach Study 2020 il tempo medio di detection di un data breach è di 197 giorni. La complessità di detection di questi attacchi è notevolmente aumentata poichè la Cyber Kill Chain tradizionale non riesce più a rispondere alle esigenze di difesa del perimetro aziendale. Se non si è dotati di strumenti di detection avanzati, l’unico modo per accorgersi di una compromissione silente è quando un servizio va offline, ma quel momento rappresenta il sintomo ed è ormai troppo tardi.
Quando un ransomware colpisce un’azienda, una efficace strategia di difesa permette di portare alla luce l’”intruso”; la stessa condizione non si verifica nel caso di un attacco silente che non riesce ad essere individuato per lunghi periodi di tempo.
Utilizzando un gioco di parole, nelle aziende la non-evidenza di un attacco informatico viene percepita come non-evidenza di un data breach. A volte però i criminali informatici utilizzano un diversivo, lo stesso genere di “noise” con il quale mascherano le vere intenzioni di un attacco che vanno ricercate sì nell’esfiltrazione di dati, ma non si limitano lì. Il dato non ha un valore universalmente riconosciuto, ma per ogni specifico caso l’informazione assume valore quanto più è correlabile ad altre o in base allo scopo finale. Per questo un attacco può essere perpetrato per assumere vantaggio competitivo, per denaro, per ottenere brevetti e proprietà intellettuale, per vendetta, per ideologia.
Due attacchi in particolare nel mondo cyber sono capaci di generare tale caos e rumore: il primo è sicuramente il già citato ransomware che riesce a criptare tutti i file e riesce a limitare le azioni di forensics per comprendere come si è stati attaccati e capire quali dati siano stati compromessi diventa un processo critico. A tal proposito solo recentemente abbiamo visto l’evoluzione del ransomware in leakware: un potente esfiltratore di dati che pone ulteriore pressione sulla vittima ricattandola di pubblicare i dati sensibili online in caso di mancato pagamento.
Il secondo tipo di attacco si chiama DDoS, Distributed Denial of Service, letteralmente «Interruzione distribuita di servizio»: una minaccia informatica che tempesta di richieste un sito o un’infrastruttura IT allo scopo di fargli superare la capacità di gestione e impedirgli di funzionare correttamente.
L’anomalia, evidenza di un possibile incident, a volte compare come una impercettibile onda sonora di sottofondo che solo i più sensibili strumenti di detection sono in grado di cogliere oppure come fragoroso frastuono scatenato dai gruppi criminali e dalle loro botnet.
La frase “Se ci sono due aziende una è stata attaccata, l’altra lo sarà” dovrebbe forse essere ripensata in “Se ci sono due aziende una è stata attaccata, l’altra ancora non lo sa”.