skip to Main Content

Cyber Security, ecco come si può combattere la diffusione dei malware

Cyber Security, Ecco Come Si Può Combattere La Diffusione Dei Malware

Il CERT-PA pubblica un bollettino su “Azioni utili per contrastare l’esecuzione e la diffusione di malware”

La diffusione di malware in Italia sta aumentando pericolosamente con campagne mirate del cybercrime attraverso l’utilizzo dei canali di posta ordinaria (PEO) e certificata (PEC). Ci sono , però, dei sistemi per ridurre i pericoli e per difendersi dalle minacce in maniera efficace. Gli esperti di cyber security del CERT-PA hanno stilato una guida ad hoc. Nel documento, infatti, sono illustrate alcune configurazioni che gli utenti possono applicare alle postazioni di lavoro per contrastare più efficacemente questi tipi di attacchi cibernetici. Il testo fornisce anche il quadro di riferimento degli scenari di minaccia rilevati dall’organismo, al fine di consentire di avviare tempestivamente valutazioni di impatto sui propri sistemi informativi e implementare le misure di contrasto/contenimento dei rischi correlati.

Gli esperti di cyber security: per proteggersi dai codici malevoli del cybercrime, diffusi via POC e PEC, è buona pratica disattivare l’esecuzione di VBScript, PowerShell, Windows Script Host, le Macro e JavaScript

Gli esperti di cyber security in dettaglio suggeriscono di adottare, ove possibile, delle configurazioni utili ad innalzare il livello di protezione di quei PC che sono particolarmente esposti al rischio malware. Ciò in quanto destinati alla consultazione delle caselle di posta elettronica PEC e PEO, in particolare quelle pubblicamente note o riferibili a caselle di servizio come quelle che hanno finalità di contatto o registrazione. In questi casi è buona pratica disattivare l’esecuzione di VBScript, PowerShell, Windows Script Host, le Macro e JavaScript. Il primo è un linguaggio di scripting sviluppato da Microsoft che si è ampiamente diffuso nello sviluppo web ed è stato appositamente integrato in Internet Explorer. Il secondo è un interprete dei comandi utilizzabile da riga di comando (CLI) per l’esecuzione di operazioni complesse e di una serie di componenti progettate per sfruttare le caratteristiche dell’ambiente Windows. 

I malware sfruttano script eseguiti tramite PowerShell o tecniche “PowerShell-based” anche in campagne “fileless”

Il CERT-PA ricorda che anche il malware sfrutta script eseguiti tramite PowerShell e i suoi comandi possono essere inclusi in script malevoli. Alcuni attacchi specifici tendono ad utilizzare tecniche “PowerShell-based” particolarmente sofisticate anche in campagne “fileless”, dove nessun file viene memorizzato su disco e il codice dannoso va ad inserirsi, tramite la console, nella memoria RAM vanificando spesso le soluzioni di sicurezza tradizionali basate sul controllo delle firme dei file. E’ pertanto consigliabile disattivare PowerShell sui sistemi maggiormente o direttamente esposti alle consuete minacce. Questa opzione viene gestita tramite la voce “Funzionalità Windows”, sita nel pannello di controllo, deselezionando la casella relativa a Windows PowerShell 2.0.

Disabilitando Windows Script Host si impedisce l’esecuzione di file .VBS, usati dal cybercrime per creare virus e malware

Windows Script Host (o WSH) è un linguaggio di scripting fornito in dotazione a tutte le principali distribuzioni di Windows e Windows Server a partire da Windows 98. La disabilitazione di questa funzionalità impedisce l’esecuzione di file con estensione .VBS (VBScript) che sono solitamente più potenti e versatili rispetto ai file batch (.bat). Di contro, la versatilità del Windows Script Host ha spinto i “malware writers” a sfruttarne i vantaggi per creare virus informatici e malware. La disabilitazione di Windows Script Host inibisce l’esecuzione di file con estensione .vbs, .vbe, .js, .jse, .wsf e altre tipologie di script che sono largamente utilizzate come allegati nelle campagne malware. Nel normale contesto lavorativo, questa non comporta reali limitazioni operative.

Le macro e i malware

Le macro sono delle mini applicazioni che si realizzano all’interno di Microsoft Office con il programma Visual Basic for Application che permettono di automatizzare una serie di funzionalità. Sono normalmente utilizzate soprattutto all’interno dei fogli di calcolo di Excel ma possono essere realizzate anche per altri prodotti Office. Dal momento che sono sviluppate con codice VBA è possibile utilizzarle anche per fini malevoli. Negli ultimi periodi si nota una tendenza nell’offuscare pesantemente il codice delle macro, attività che complica i controlli di sicurezza atti a verificare la natura del codice. Nonostante i vari produttori di software abbiano nativamente disattivato la loro esecuzione apponendo un avviso di sicurezza ove esse fossero presenti, un utente poco attento o che considera fidato il mittente, può superare l’avviso accettandone l’esecuzione. Questa, se malevola, andrebbe a avviare la catena di infezione del malware.

I pericoli del JavaScript e degli attacchi “drive-by” o “drive-by download”

JavaScript è un linguaggio di programmazione e uno dei componenti fondamentali per creare contenuti web insieme a HTML e CSS, ed è supportato nativamente da tutti i moderni browser. Permette ai creatori di siti di far eseguire codice ai visitatori, ragion per cui viene spesso abusato dal cybercrime per compiere attacchi cibernetici. Uno dei più comuni scenari consiste nell’invitare un utente ad aprire un link che punta verso un sito appositamente predisposto per far eseguire  un malware tramite il browser. Un altro contesto particolarmente insidioso è legato al salvataggio dei file JavaScript, scaricati nel PC durante la navigazione. Aprendo un sito web compromesso, questi possono causare un attacco “drive-by” o “drive-by download”, che innesca attività malevole tese a compromettere il sistema operativo. La disattivazione o la gestione delle impostazioni lato browser con autorizzazioni specifiche, influisce nel mitigare un consistente numero di minacce cibernetiche. Anche di tipo zero-day.

Back To Top