Sembra ci sia un’impennata del malware “fileless” (senza file). Come proteggere la tua organizzazione contro attacchi che non hanno file da poter scansire?
Attacchi alla memoria piuttosto che tramite file eseguibili sembra stiano tornando prepotentemente di moda. Lo scorso anno si sono visti alcuni attacchi, per esempio contro molte banche, che hanno usato questa tecnica, che in quanto tale non è una novità bensì un déjà vu.
Andy Patel dei Laboratori F-Secure spiega che il termine ‘fileless’ è utilizzato per descrivere malware non eseguibile. Questi tipi di attacchi sono progettati per sconfiggere tecnologie anti-malware che si basano solamente sul rilevare ciò che di malevolo è presente nei file di tipo eseguibile.
Gli attaccanti usano strumenti di Microsoft, come PowerShell, per condurre attacchi basati sulla memoria attraverso macro malevole che fanno sì che PowerShell carichi il malware nella macchina. Rilevare questo tipo di attacchi può risultare difficile, poiché le macro usano tecniche di evasione e un approccio fileless (senza file) per evadere la rilevazione basata su file.
Il report “State of Cyber Security 2017” di F-Secure dà una spiegazione delle macro: le macro sono essenzialmente strumenti utili per automatizzare compiti. Tuttavia, pongono dei rischi alla sicurezza poiché il malware può nascondersi dentro un documento apparentemente innocuo e può ingannare le vittime portandole ad eseguire codice malevolo. Tipicamente, la vittima riceve un documento come allegato di un’email, che una volta aperto richiede al destinatario di abilitare le macro per leggere i contenuti. Una volta abilitate, il codice malevolo viene eseguito.
Gli exploit della memoria spesso sfruttano vulnerabilità note. E, come sappiamo, applicare patch alle vulnerabilità è qualcosa che molte organizzazioni non fanno nei tempi corretti e in modo efficace. Secondo uno studio che abbiamo condotto nel tardo 2015, circa il 70% delle organizzazioni non ha una soluzione di gestione delle patch. Tuttavia, secondo un recente report di Gartner, “Get Ready for ‘Fileless’ Malware”1), una delle cose che le organizzazioni dovrebbero fare è focalizzarsi su una buona pratica di base della sicurezza e sulla gestione delle patch.
Limitando l’accesso a risorse critiche, come il server Command & Control, le organizzazioni possono aiutare a ridurre i rischi causati anche dal malware senza file. Anche se il malware trova la sua strada nella rete dell’organizzazione, non può fare alcun danno senza accesso al server C&C – cosa che tu puoi controllare con la funzionalità Botnet Blocker di F-Secure.
In un altro post si è parlato dei “6 consigli su come evitare malware basato su macro”– questo post contiene consigli molto utili anche per gli attacchi malware fileless. I motori di protezione di F-Secure, incluso DeepGuard che si basa sul comportamento, blocca già questi vettori di attacco.
Jose Perez, uno degli esperti F-Secure di DeepGuard spiega:
DeepGuard offre protezione dagli exploit per mitigare lo sfruttamento di applicazioni legittime. Offre anche protezione contro attacchi basati su script bloccando l’esecuzione dello stesso script. In sostanza, la rilevazione di DeepGuard consiste nell’uso di indicatori di comportamento del compromesso.
1 ) Ian McShane, Peter First, 13 febbraio 2017
Gartner non promuove alcun vendor, prodotto o servizio raffigurato nelle proprie pubblicazioni di ricerca, e non suggerisce agli utenti della tecnologia di optare soltanto per quei vendor che possiedono la classificazione più alta o altre valutazioni. Le pubblicazioni di ricerca di Gartner comprendono le opinioni delle organizzazioni di ricerca di Gartner e non dovrebbero essere interpretate come dati di fatto. Gartner disconosce tutte le garanzie, espresse o implicite, rispetto a questa ricerca, inclusa ogni garanzia di commerciabilità o di idoneità per un determinato obiettivo.
Articolo tratto da “Fileless malware on the rise – what does it mean for your security?”, di Eija Paajanen, Product Marketing Manager, F-Secure Corp.
Categorie