Negli scorsi mesi abbiamo assistito ad una nuova ondata di attacchi informatici particolarmente insidiosi, del tipo gootkit/ursnif, simili a quelli che hanno recentemente colpito nazioni come Ucraina, Russia, Olanda, Stati Uniti ed Italia.
Nello specifico si è trattato di un’infezione trasmessa attraverso un allegato di posta elettronica e che aveva come bersaglio un’infrastruttura critica italiana, fornitrice di servizi essenziali.
Questo tipo di attacco è sempre più frequente e pericoloso, perché si basa su tre tipi di tecniche molto efficaci:
1) LOLBINS, Living off the land binaries, che cioè sfruttano processi già presenti sul computer bersaglio (come i word processes, ad esempio) e quindi ritenuti per forza “buoni” dagli antivirus.
Recentemente abbiamo notato anche come, per eseguire le istruzioni malevole, non solo si utilizzino gli interpreti dei comandi dei sistemi operativi ma addirittura si sia giunti ad coinvolgere componenti del sistema operativo specifici per ciascuna azione: infatti se powershell.exe si connette ad internet per scaricare un file può alzare un flag, se invece è bitsadmin.exe (il componente di windows preposto al download/upload di files) a farlo…sicuramente passerà inosservato.
2) FILE-LESS, l’attacco non scarica alcun payload sul disco del computer bersaglio, rendendo quasi impossibile la rilevazione da parte dei tradizionali sistemi di sicurezza che, non avendo nessun file da analizzare, risultano “accecati”;
3) Sample AUTO-PATCHING, dove i server di Command&Control (quelli utilizzati per controllare i computer vittima) modificano ogni singola istanza dell’attacco in modo che anche chi ha già visto un sample e ha generato un IOC non sia in grado di riconoscere una seconda infezione dello stesso attacco.
Rilevare questo tipo di attacchi è estremamente arduo ma non impossibile: le tecniche principali che consentono di stare al passo con gli attaccanti (e magari anche un passo avanti) sono generalmente 3:
- IOC- hunting. E’ la spina dorsale dei sistemi di CERT e CSIRT nazionali ed internazionali, e consiste nella ricerca di indicatori di compromissione (hashes, IP addresses, domains, etc) generalmente ottenuti da fonti di intelligence o altri tipi di fornitori (come ad esempio la Polizia Postale).
Funziona efficacemente per gli attacchi già noti ed è essenzialmente utile se gli attaccanti intendono riutilizzare una parte della loro infrastruttura per nuovi attacchi. Recentemente però si sono notati attacchi IOC proof anche all’interno della stessa campagna.
- TTP (Tattiche, tecniche e procedure) hunting. Qui si analizzano i modi in cui gli attaccanti operano, e che sono decisamente molto più complessi da alterare dei singoli IOCs.
La tecnica TTP hunting ha un valore predittivo nel senso che un gruppo di attaccanti raramente riutilizzerà (in tutto o in parte) la sua infrastruttura quando mira a target di alto livello, più facilmente però opererà in modi simili tra un attacco e l’altro: ad esempio userà gli stessi tipi di malware o le stesse tecniche per eseguire movimenti laterali o recuperare credenziali.
E’ un tipo di ricerca eseguito tramite procedure che utilizzano degli schemi di riferimento come quelli di ATT&CK di Mitre. Alcune piattaforme difensive possono offrire strumenti per velocizzare notevolmente questo tipo di analisi.
- Behavioral Hunting (ricerca di comportamenti eseguiti dai programmi). Questo terzo modo di ricercare rischi all’interno di una infrastruttura si basa sulla capacità tecnologica di analizzare il comportamento dei processi in modo dinamico, mentre il comportamento si sviluppa:una A.I. profila il comportamento di un’applicazione all’interno di una infrastruttura e rileva anomalie di comportamento come Soft-Alerts, aiutando ad esempio un analista ad individuare l’uso di LOLBins all’interno di un attacco strutturato o addirittura scoprire letali infezioni di tipo SUPPLY-CHAIN.
I Supply chain attacks prevedono l’infezione di una terza parte (distinta da attaccante e bersaglio), di solito il produttore di software, in modo che il programma malevolo sia incluso in uno benevolo, firmato e trustato…e scaricato volontariamente dall’utente come update legittimo di un software già installato (CCleaner ha fatto storia).
L’analisi dinamica comportamentale supportata da A.I. è finora l’unica tecnologia in grado di rilevare questo tipo di attività malevole.
Articolo di Marco Zonta, Business Developer – ReaQta
