Tecniche tradizionali di individuazione del malware

I sistemi anti-malware utilizzano fondamentalmente due tecniche di individuazione, la prima si basa sulla firma, mentre la seconda sul comportamento dell’eseguibile.

La tecnica basata su firma è stata la prima ad essere utilizzata, si basa sull’individuazione di caratteristiche statiche del malware, come ad esempio l’hash dell’applicazione o particolari pattern che vengono introdotti nel file contaggiato.

Il verdetto basato su firma ha un bassissimo costo computazionale ed ha un livello di incertezza molto basso portando a risultati molto precisi, con una probabilità quasi assente di falsi positivi, mentre invece è elevata la probabilità di falsi negativi.

Questo dipende fondamentalmente da due problemi:

  • il tempo che viene impiegato dall’industria del anti-malware per produrre le firme necessarie ad intercettare un nuovo malware, in genere è almeno 15-20 giorni dall’apparizione del primo esemplare, periodo lunghissimo in cui si rischia seriamente una epidemia.
  • è sufficiente una leggera mutazione del malware per rendere la firma inefficace, in presenza di mutazione è necessario rilasciare una nuova firma e purtroppo le mutazioni sono frequentissime.

L’industria dell’anti-malware ha ideato una seconda strategia di individuazione del malware, basata sull’analisi del comportamento del campione in esame. Il sistema crea un ambiente isolato nel sistema operativo su cui gira il software in cui viene tenuto sotto controllo il comportamento.

Il livello di certezza del verdetto dipende molto dalla bontà delle euristiche e del livello di approfondimento dell’analisi, più sarà approfondita e più il livello di veridicità del verdetto sarà elevato. In questi casi comunque viene espressa sempre la probabilità che si tratti di un malware e non una certezza.

Questa tecnica è in grado di individuare più facilmente i malware appena prodotti e le mutazioni dei malware noti, tuttavia ha un costo computazione molto elevato, l’ambiente di analisi viene caricato in ram e maggiore è il livello di analisi maggiore sarà il carico sul sistema.

Purtroppo questa tecnica su alcuni malware non è sempre efficace, infatti alcuni esemplari particolarmente evoluti sono in grado di individuare l’ambiente di analisi e non manifestano le caratteristiche del malware.

Esistono comunque delle tecnologie evolute per individuare anche questo tipo di minacce ed arrestarle mitigando il rischio, come ad esempio Application Privilege Control di Kaspersky

argonavislabArgonavis è a vostra disposizione per fornirvi ulteriori informazioni su aspetti tecnici e commerciali, ed illustrarvi la convenienza nel proteggere i vostri sistemi con le tecnologie più efficaci.

Richiedi Informazioni

29 Giugno 2016

Monitorare le regole di Kaspersky Application Privilege Control

Il modulo Application Privilege Control presente nel prodotto Kaspersky Endpoint Security for Business è uno degli strumenti più efficaci contro le infezioni dei malware ransomware, tuttavia possono capitare dei falsi positivi, che comportano il blocco delle funzionalità di alcune applicazioni.

La policy di default non effettua il log delle regole di Application Privilege Control quando vengono applicate.

Per attivare il log di queste situazioni, è necessario modificare la policy, nella sezione “Event notification“, selezionare il tab “info” e modificare l’evento “Application Privilege Control rule triggered” selezionando la registrazione del log su “Administrator Server

kas application privileges control

Eventualmente è possibile ricevere una notifica via EMAIL, SMS, SNMP oppure eseguire uno script quando l’evento viene registrato.

argonavislabArgonavis è a vostra disposizione per fornirvi ulteriori informazioni su aspetti tecnici e commerciali, ed illustrarvi la convenienza nel proteggere i vostri sistemi con la tecnologia Kaspersky.

Richiedi Informazioni

28 Giugno 2016

Un ransomware per i server Zimbra

L’industria del malware è sempre pronta a colpire nuovi obiettivi sfruttando per un certo periodo l’effetto sorpresa. Dopo aver colpito le workstation degli utenti, in particolare zimbra_logoWindows, ma anche Mac e Linux, con una frequenza sempre maggiore, nuovi ransomware hanno iniziato a colpire i server che erogano servizi su internet.

Dopo il ransomware che infettava i siti in wordpress siamo di fronte ad una nuova importante minaccia, un ransomware che attacca i mailserver Zimbra.

Lawrence Abrams ha scoperto uno script malevolo in grado di crittografare i dati presenti nella directory /opt/zimbra/store/ ovvero la directory utilizzata nella configurazione standard per memorizzare i messaggi presenti nelle mailbox.

Il malware è scritto in Python e per poter portare al termine l’attacco ha necessità che siano installate sulla macchina vittima dell’attacco le librerie:

  • python-dev
  • pip install pycrypto

e deve poter essere eseguito con privilegi di root.

Se riesce ad essere eseguito, lo script effettua la crittografia dei file contenuti directory /opt/zimbra/store e nelle sue sottodirectory, aggiunge il suffisso .crypto ai messaggi crittografati.

Infine genera il file /root/how.txt contenente le istruzioni per il “riscatto” dei file, dopo aver effettuato il pagamento di 3 bitcoin.

Le chiavi utilizzate dalla crittografia, vengono generate sul sistema vittima, la chiave AES utilizzata per crittografare i dati, viene crittografata con l’algoritmo RSA a 2048 bit ed entrambe le chiavi vengono inviate con un messaggio di posta elettronica all’attaccante.

Per precludere questo tipo di attacco è sufficiente limitare l’accesso tramite SSH al server, tenere aggiornato il sistema operativo ed installare il minimo dei pacchetti necessari al funzionamento di Zimbra evitando di installare altri prodotti e servizi sullo stesso server.

Il malware è piuttosto primitivo nella sua forma ed ancora non costituisce una vera minaccia, è piuttosto facile difendersi, ma deve risuonare forte l’allarme, se intendi lavorare devi necessariamente proteggerti accuratamente.

I ransomware si stanno dimostrando un ottimo strumento, per i criminali informatici, per convertire gli attacchi informatici in denaro e nuove forme di attacco vengono quotidianamente implementate.

argonavislab

I tecnici Argonavis sono a tua disposizione per maggiori informazioni sulle minacce attuale ed aiutarti a proteggere le informazioni della tua azienda.

Richiedi Informazioni

23 Giugno 2016

Grave vulnerabilità su Adobe Flash Player

Una nuova grave vulnerabilità è stata scoperta su Adobe Flash Player e pubblicata sul bollettino di sicurezza di Adobe Security Advisory https://helpx.adobe.com/security/products/flash-player/apsa16-03.html il 14 giugno 2016.

La vulnerabilità è presente nella versione 21.0.0.242 e nelle precedenti nei software installati su sistemi operativi Windows, Linux, Mac, e ChromeOS.

Il punteggio CVSS assegnato a questa vulnerabilità è elevatissimo 9,8

cvss

Sfrutta come vettore d’accesso la rete (una applicazione flash aperta tramite browser) genera il crash dell’applicazione e permette all’attacante di prendere il controllo del sistema attaccato.

La complessità di questo attacco è veramente bassa e non richiede privilegi particolari dell’utente, è sufficiente avere a disposizione l’input che genera il crash per poterlo utilizzare e compromettere la confidenzialità, l’integrità e la disponibilità dei dati e dei servizi presenti nella macchina vittima dell’attacco.

La vulnerabilità è stata scoperta da Anton Ivanov e Costin Raiu di Kaspersky Lab.kaspersky

La scoperta è avvenuta in modo accidentale durante l’analisi di un caso di attacco APT. kaspersky
I ricercatori Kaspersky sono all’avanguardia nell’individuazione degli attacchi, delle tecniche utilizzate dagli hacker per colpire le loro vittime e nel fronteggiare gli attacchi.

Le conoscenze acquisite dai ricercatori Kaspersky sugli attacchi zero-day permettono di avere nei loro prodotti tecniche di riconoscimento avanzate degli attacchi zero-day, tuttavia quando l’attacco è già noto, bisogna procedere il più rapidamente possibile nell’installazione delle patch applicative.

Kaspersky Security Center offre al reparto IT la possibilità di gestire il ciclo di individuazione, prioritizzazione, testing della patch e distribuzione delle patch per la maggior parte delle applicazioni commerciali e non solo per le patch del sistema operativo.

argonavislab

Argonavis è a vostra disposizione per fornirvi ulteriori informazioni su aspetti tecnici e commerciali, ed illustrarvi la convenienza nel proteggere i vostri sistemi con la tecnologia Kaspersky.

Richiedi Informazioni

21 Giugno 2016

Database con decryptor per ransomware

E’ disponibile un database costantemente aggiornato da esperti di sicurezza in cui sono presenti tutte le versioni di ransomware scoperte, inoltre per le versioni in cui è presente il tool di decrittazione è indicato il link da cui scaricarlo.

Il database è un foglio di calcolo online ed è disponibile all’indirizzo: https://docs.google.com/spreadsheets/d/1TWS238xacAto-fLKh1n5uTsdijWdCEsGIM0Y0Hvmc5g/pubhtml#

Nonostante siano presenti alcuni tool (il cui funzionamento non è garantito) ricordiamo i principali metodi per evitare di essere infettati:

  1. Un ottimo sistema antispam, che filtri messaggi di spam ed i malware allegati
  2. Un ottimo sistema antimalware in grado di filtrare anche le minacce sconosciute
  3. Educare gli utenti a tenere comportamenti corretti evitando di aprire messaggi il cui contenuto non è chiaro.

argonavislab

Argonavis ed i suoi partner sono a tua disposizione per consigliarti ed implementare le migliori scelte per aumentare il livello di sicurezza della tua struttura.

Richiedi Informazioni

1 Giugno 2016

Blog & News

Categorie