Configurare Kaspersky Application Privilege Control per bloccare i ransomware

Il modulo Application Privilege Control di Kaspersky svolge un ruolo fondamentale nell’arginare la diffusione di malware di difficile individuazione con i metodi tradizionali.

In particolare per mitigare il rischio portato dai malware più sofisticati, quelli in grado di comprendere quando sono sotto analisi euristica rendendola inefficace, è importante effettuare una configurazione rigorosa di Application Privilege Control.

Il modulo discrimina in base alla firma dell’eseguibile, quelli noti da quelli sconosciuti, e concede l’accesso alle risorse in base al livello di fiducia.

kas application privilege control

Per poter essere il più efficace possibile la configurazione di default deve essere modificata e deve essere settata per l’opzione: “For unknown applications” il valore: “Automatically move to group: Untrusted“.

In questo caso avremo la certezza di bloccare l’esecuzione di tutte le applicazioni sconosciute, ed un malware rientrerà sicuramente in questa categoria.

Una configurazione così rigida porta a diversi casi in cui applicazioni poco diffuse possono rimanere bloccate.

Suggeriamo di monitorare il comportamento effettuando il log degli eventi di blocco da parte di Application Privilege Control in modo da rendere facile lo sblocco manuale delle applicazioni non pericolose.

argonavislabArgonavis è a vostra disposizione per fornirvi ulteriori informazioni su aspetti tecnici e commerciali, ed illustrarvi la convenienza nel proteggere i vostri sistemi con le tecnologie più efficaci.

Richiedi Informazioni

30 Giugno 2016

Tecniche tradizionali di individuazione del malware

I sistemi anti-malware utilizzano fondamentalmente due tecniche di individuazione, la prima si basa sulla firma, mentre la seconda sul comportamento dell’eseguibile.

La tecnica basata su firma è stata la prima ad essere utilizzata, si basa sull’individuazione di caratteristiche statiche del malware, come ad esempio l’hash dell’applicazione o particolari pattern che vengono introdotti nel file contaggiato.

Il verdetto basato su firma ha un bassissimo costo computazionale ed ha un livello di incertezza molto basso portando a risultati molto precisi, con una probabilità quasi assente di falsi positivi, mentre invece è elevata la probabilità di falsi negativi.

Questo dipende fondamentalmente da due problemi:

  • il tempo che viene impiegato dall’industria del anti-malware per produrre le firme necessarie ad intercettare un nuovo malware, in genere è almeno 15-20 giorni dall’apparizione del primo esemplare, periodo lunghissimo in cui si rischia seriamente una epidemia.
  • è sufficiente una leggera mutazione del malware per rendere la firma inefficace, in presenza di mutazione è necessario rilasciare una nuova firma e purtroppo le mutazioni sono frequentissime.

L’industria dell’anti-malware ha ideato una seconda strategia di individuazione del malware, basata sull’analisi del comportamento del campione in esame. Il sistema crea un ambiente isolato nel sistema operativo su cui gira il software in cui viene tenuto sotto controllo il comportamento.

Il livello di certezza del verdetto dipende molto dalla bontà delle euristiche e del livello di approfondimento dell’analisi, più sarà approfondita e più il livello di veridicità del verdetto sarà elevato. In questi casi comunque viene espressa sempre la probabilità che si tratti di un malware e non una certezza.

Questa tecnica è in grado di individuare più facilmente i malware appena prodotti e le mutazioni dei malware noti, tuttavia ha un costo computazione molto elevato, l’ambiente di analisi viene caricato in ram e maggiore è il livello di analisi maggiore sarà il carico sul sistema.

Purtroppo questa tecnica su alcuni malware non è sempre efficace, infatti alcuni esemplari particolarmente evoluti sono in grado di individuare l’ambiente di analisi e non manifestano le caratteristiche del malware.

Esistono comunque delle tecnologie evolute per individuare anche questo tipo di minacce ed arrestarle mitigando il rischio, come ad esempio Application Privilege Control di Kaspersky

argonavislabArgonavis è a vostra disposizione per fornirvi ulteriori informazioni su aspetti tecnici e commerciali, ed illustrarvi la convenienza nel proteggere i vostri sistemi con le tecnologie più efficaci.

Richiedi Informazioni

29 Giugno 2016

Angler Exploit Kit per diffondere i ransomware

Si è sempre considerato che il vettore di infezione per eccellenza dei ransomware fosse un allegato di posta elettronica, la realtà invece è decisamente peggiore.

La cattiva notizia è che è possibile infettarsi con un ransomware semplicemente aprendo una pagina web che è stata compromessa.

E’ stato documentato che alcuni fra i più temuti ransomware come TeslaCrypt vengano veicolati utilizzando Angler Exploit Kit.

 Angler Exploit Kit sfrutta le vulnerabilità note per infettare le macchine ed eseguire operazioni malevole sulle vittime, incluso il drive-by download, che permette di scaricare ed eseguire sul computer della vittima un altro malware.

La pericolosità di questo Kit è facilmente comprensibile quando si elencano alcune delle applicazioni interessate dalle vulnerabilità sfruttate: Adobe Flash Player, Microsoft Silverlight, Java. Applicazioni che vengono eseguite sulla maggior parte dei computer.

La diffusione del ransomware tramite questo Exploit Kit avviene prima andando ad infiltrare un sito web con degli javascript o dei file di adobe flash.

Quando il sito web (detto landing page) viene visitato dall’utente, se le applicazioni soffrono delle vulnerabilità che il kit riesce a sfruttare, avviene l’infezione tramite il malware Bedep che effettua il download del ransomware.

Il miglior modo per prevenire questi attacchi è provvedere ad installare regolarmente gli aggiornamenti delle applicazioni, e questa è una nota dolente nella sicurezza informatica.

Più o meno la maggior parte dei computer installa le patch per il sistema operativo, windows update svolge questa funzione, ma quasi nessuno lo fa per le applicazioni esponendosi a rischi concreti.

4 Maggio 2016

Integrity Check per i prodotti Kaspersky Endpoint Security

Purtroppo a volte può accadere che alcuni malware danneggino in qualche maniera il funzionamento del software antimalware, in maniera molto fine, in modo da risultare a tutti gli effetti perfettamente funzionante, ma in realtà rendendolo incapace di intercettare alcune minacce.

L’attività Integrity Check per i prodotti Kaspersky Endpoint Security serve a verificare che tutti i moduli del software antimalware siano perfettamente funzionanti e non presentino delle compromissioni.

La creazione del task è similare alla creazione di qualsiasi altra attività:

  1. Si seleziona un gruppo e si apre il tab “Task”
  2. Si preme il pulsante “Create Task”
  3. Si assegna un nome al task che andiamo a creare
    kas_integrity_1
  4. Si seleziona la versione del prodotto Kaspersky da verificare ed il relativo task di Integrity Check
    kas_integrity_2
  5. Si seleziona la frequenza di esecuzione del task
    kas_integrity_3
  6. Si conclude la creazione del Task

Il task di Integrity Check è presente per le versioni del prodotto:

  • Kaspersky Security 10 for Windows Server (Application Integrity Control)
  • Kaspersky Endpoint Security 10 Service Pack1 Maintenance Release 2 for Windows (Integrity Check)
  • Kaspersky Endpoint Security 10 Service Pack1 for Windows (Integrity Check)

Il suggerimento è di aggiornare la propria installazione ad una di queste versioni, ed effettuare periodicamente il controllo, in modo da poter essere tranquilli sulla reale protezione.

argonavislab

Argonavis è partner Kaspersky ed i suoi tecnici hanno conseguito le più importanti certificazioni sui prodotti KasperskyLab, potendo vantare anche la prestigiosa certificazione KSCC (massimo livello di certificazione).

Contattaci ed affida la protezione della tua azienda all’esperienza e competenza di KasperskyLAB ed Argonavis.

Richiedi Informazioni

26 Aprile 2016

LibraESVA contribuisce a limitare il Cryptolocker

Una delle più temute minacce ai sistemi informativi è senza dubbio il Cryptolocker. La cattiva notizia è che una singola soluzione in grado bloccare questa minaccia al momento non esiste.

Si tratta di una minaccia complessa, che esegue una operazione comune e lecita sui file (la crittografia) difficile da individuare perché può essere effettuata per blocchi e se non viene inserito un apposito header nel file è difficile definire il tipo di crittografia effettuata.

Nell’analisi di alcune varianti fra le più popolari (ad esempio Locky) in questo periodo, abbiamo che il malware viene veicolato tramite un messaggio di posta elettronica che non contiene direttamente il malware, ma un file .doc che ha al suo interno una macro capace di scaricare il vero malware ed avviarlo.

Per questa ragione il file ricevuto in allegato non viene considerato malware dal software antivirus, pur mettendo seriamente a rischio la sicurezza aziendale.

Logo_EsvaLibraESVA nella versione 3.7 ha introdotto dei meccanismi più precisi di identificazione di questo tipo di minaccia, in grado di bloccare il file pericoloso, evitando che possa entrare nel perimetro aziendale, anche in assenza del malware vero e proprio.

La difesa da una minaccia temibile come i ransomware non può essere fatta da un singolo elemento, ma da un insieme di elementi che riescono a rendere molto più complesso e costoso un attacco.

argonavislabArgonavis ed i suoi tecnici sono a tua disposizione per effettuare una valutazione dei rischi e proporti le migliori soluzioni possibili per ridurre il rischio di subire un attacco.

Richiedi Informazioni

19 Aprile 2016

Blog & News

Categorie