Per raggiungere il nostro obiettivo non ci servono file: ecco Rozena, il malware “fileless”

Torna a Archivio Comunicati
03Lug

Un nuovo approccio per una vecchia tecnica

Bochum (Germania), 3 luglio 2018

I malware privi di file fanno leva su vulnerabilità per avviare comandi malevoli o lanciare script direttamente dalla memoria utilizzando strumenti di sistema legittimi come Windows PowerShell. Code Red e SQL Slammer sono stati pionieri dei malware “fileless”, il cui utilizzo risale all’inizio del 2000. Un approccio che sta nuovamente prendendo piede.

Nella prima metà dell’anno il termine attacco “fileless” è stato sulla bocca di tutti all’interno della comunità di Cyber Security. È una tecnica di attacco nota da quasi vent’anni, che non prevede lo scaricamento o il deposito di file malevoli sul disco fisso per eseguire comandi o script illeciti, bensì li lancia direttamente dalla memoria sfruttando strumenti legittimi.

Tuttavia, oggi è necessario differenziare: il termine “fileless” può essere una denominazione impropria se pensiamo che ci sono attacchi che possono coinvolgere la presenza di file nel computer, come un allegato di una mail di spam. Una volta eseguito, il malware potrebbe comunque salvare un file nel disco e successivamente usare la tecnica “fileless” per raccogliere informazioni sul sistema e diffondere l’infezione attraverso la rete tramite exploit o iniezioni di codice che lanciano comandi illeciti  direttamente dalla memoria tramite strumenti di sistema legittimi. Nel solo 2017, il 13% dei malware che abbiamo registrato si avvaleva di PowerShell per compromettere i sistemi.

Da quando PowerShell e Windows Management Instrumentation sono stati integrati come strumenti del sistema operativo Windows, se ne abusa largamente per attività fraudolente. Un noto malware che utilizza PowerShell per scaricare ed eseguire codici malevoli è il downloader Emotet.

Rozena

Ci sono anche vecchi malware mutati in attacchi “fileless”. Questi malware hanno l’obiettivo di essere più efficienti nell’infettare le macchine e di evitare di essere localizzati: un esempio è Rozena.

Rozena è un malware che crea una backdoor in grado di stabilire una connessione shell remota con l’autore. Una connessione andata a buon fine è preoccupante in termini di sicurezza, sia per la macchina infetta, sia per gli altri comuputer collegati alla stessa rete.

Visto per la prima volta nel 2015 Rozena ha fatto il suo ritorno nel marzo 2018. Il nuovo Rozena, come la sua versione precedente, mira ancora al sistema operativo Microsoft Windows, ma ciò che fa la differenza è il suo adattamento alla tecnica “fileless” e allo sfruttamento di script PowerShell per raggiungere il proprio obiettivo.

Nello specifico, dato che una delle funzioni standard di Windows è quella di non mostrare l’estensione dei file, è semplice per l’autore del malware camuffarlo in modo da farlo apparire innocuo. Rozena ad esempio usa l’icona di Microsoft Word ma è in realtà un eseguibile di Windows.  Essere infettati con un malware che può letteralmente fare quello che vuole con macchina compromessa, i documenti archiviativi e la rete a cui è collegata è terrificante, per il congruo numero di minacce che trovano accesso al sistema e per l’alto potenziale dannoso (l’analisi tecnica completa è reperibile sul Blog di G DATA). Ora che Rozena segue la via del “fileless” per insediarsi ed eseguire i propri codici, la sua attività malevola si intensifica.

Secondo un recente studio condotto da Barkly in collaborazione con l’Istituto Ponemon, che ha visto coinvolti 665 responsabili IT, è emerso che gli attacchi “fileless” sono 10 volte più efficaci rispetto ai “file-based”.

Prevenzione

Il malware si adatta con il cambiare del mondo, non stupisce quindi l’uso di strumenti legittimi integrati per sferrare attacchi lasciando gli utenti indifesi. Fortunatamente però c’è ancora un modo per proteggersi da questi tipi di attacchi:

  1. Mantenere i sistemi operativi e i programmi sempre aggiornati, inclusa l’installazione delle patch di sicurezza. Questo perché è noto come i sistemi più datati abbiano molte vulnerabilità che possono essere sfruttate per attacchi informatici.
  2. È fortemente sconsigliato scaricare, salvare ed eseguire file di provenienza ignota. Gli autori di malware usano ancora i canali tradizionali per spingere gli utenti ad eseguire file malevoli. Se disabilitare gli strumenti di sistema, soprattutto PowerShell non è un’opzione, si può configurare PowerShell in modo da prevenire l’esecuzione di script sospetti.
  3. Impostare la modalità Constrained Language di PowerShell – questo limiterà le capacità di PowerShell, rimuovendo funzionalità avanzate come chiamate .Net e Windows Api, la maggior parte degli script PowerShell infatti si avvalgono di questi parametri e metodi.
  4. Abbinare PowerShell con AppLocker – questo impedirà l’esecuzione di binari non autorizzati.

GDATA

Fondata nel 1985 a Bochum, G DATA vanta una storia di oltre trent’anni nella lotta e prevenzione contro le minacce informatiche ed è uno dei principali fornitori al mondo di soluzioni per la sicurezza IT, insignite di numerosi riconoscimenti per la qualità della protezione fornita e l’intuitività d’uso.
G DATA produce e commercializza soluzioni di sicurezza totalmente aderenti alle normative europee sulla protezione dei dati. Il portafoglio prodotti G DATA comprende soluzioni di sicurezza per le imprese, dalle micro alle grandi aziende, e applicazioni rivolte all’utenza consumer.
Partner tecnico di Ducati Corse per la MotoGP, G DATA ha il compito di proteggere i sistemi IT di pista del team Ducati. L’azienda patrocina altresì il Teatro Comunale di Bologna e diversi eventi volti all’accrescimento culturale e all’aggregazione sociale tra cui mostre e corsi presso istituti scolastici per favorire un uso consapevole del web e dei social media.
Ulteriori informazioni su G DATA e sulle soluzioni di sicurezza sono consultabili sul sito: www.gdata.it/notizie/

Condividi questo post

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Torna a Archivio Comunicati

Related Posts

URL Filter
14Nov

Stormshield integra il filtraggio URL di Bitdefender e persegue la sua strategia di una cybersicurezza europea affidabile

Stormshield estende la partnership con Bitdefender integrando lo stato dell'URL come servizio di filtraggio aggiuntivo. Questa integrazione rafforzerà ulteriormente l'offerta di cybersecurity made in Europe di Stormshield. leggi di più

12Set

Quale cybersecurity per il cloud?

Qualsiasi discussione sul cloud deve includerne tutte le forme, dal cloud pubblico al cloud privato, ai servizi SaaS (Software-as-a-Service), IaaS (Infrastructure-as-a-Service) e PaaS (Platform-as-a-Service): ciascun tipo di cloud ha una... leggi di più

06Set

Una macchina ben oliata: Group-IB smaschera impero occulto del phishing BEC che mira a Microsoft 365 – Il rapporto

Ciò che distingue davvero il W3LL Store e i suoi prodotti dagli altri marketplace sotterranei è il fatto che W3LL non ha solo creato uno store ma un complesso ecosistema... leggi di più