skip to Main Content

Cybercrime: Fileless Malware, cosa sono e come affrontarli

Cybercrime: Fileless Malware, Cosa Sono E Come Affrontarli

di Pierguido Iezzi

Fileless malware, che cos’è la questa nuova minaccia del cybercrime

 È un dato di fatto che l’attuale scenario della Cyber Security sia in continua evoluzione. Apparentemente, per ogni patch di sicurezza e nuovo aggiornamento rilasciato dai provider di servizi, sembra che il cybercrime sia pronti con nuovi sviluppi di Malware o TTP. È proprio in questa categoria che rientra il Fileless malware, una tecnica d’attacco cibernetica molto insidiosa, che utilizza software esistenti, applicazioni legittime, file di sistema operativo e i protocolli – autorizzati della macchina della vittima – per raggiungere i propri obiettivi. Il Fileless malware è particolarmente pericoloso proprio perché, come suggerisce il nome, non lascia alcuna impronta, non essendo basato su file che richiede il download di file eseguibili (.exe) sul sistema bersaglio. L’attacco infatti è memory-based, ovvero – come dice il nome – prende di mira la memoria di sistema (come RAM e ROM). Ciò rende il suo rilevamento piuttosto complesso… 

Quali sono le principali metodologie d’attacco

Secondo un’analisi del settore il 2019 ha visto una rapida diffusione degli attacchi cibernetici con Fileless Malware che rappresenta, ad oggi, una delle principali minacce emergenti per le organizzazioni. Al momento questo tipo di aggressioni sono classificabili in tre categorie principali:

  1. Memory code injection, utilizzata per nascondere il codice dannoso nella memoria dei programmi software legittimi, anche in alcuni processi critici per la corretta funzionalità di Windows. Il pericolo principale di questa metodologia è che il Fileless Malware si diffonde e si propaga autonomamente una volta entrato in questi processi per aiutare i Criminal Hacker a raggiungere i loro obiettivi;
  2. Manipolazione del registro di Windows: il cybercrime utilizza un link o un file dannoso (se cliccato) che coinvolge i processi di Windows per scrivere ed eseguire codice malware senza file nel registro di Windows. Poweliks e Kovter sono esempi di questo tipo di attacco;
  3. Tecniche di scripting: anche se tecnicamente non sempre prive di file (e quindi non propriamente Fileless), queste fanno leva su linee di codice camuffate come set d’istruzioni per infettare il sistema bersaglio. Gli esempi più noti sono il Ransomware SamSam e l’APT Cobalt Kitty.

Fileless Malware, come si differenzia dal classico Malware?

Tradizionalmente il malware viene diffuso sotto forma di file .exe codificato appositamente per portare avanti attacchi con la macchina del target scelto dal Criminal Hacker. Questo tipo di tattica era – relativamente – più semplice da arginare. I provider di antivirus, infatti, provvedevano e tuttora provvedono creando delle signature per questi file allo scopo di identificare le parti statiche del codice malevolo sul disco e bloccarlo. Ma l’emergere dei Fileless malware ha dato una significativa svolta anche al settore della Cyber Security preventiva. Infatti non era più possibile affidarsi unicamente alle signature per bloccare gli attacchi del codice malevolo, per il semplice motivo che il payload (di fatto la parte che causa il danno al sistema vittima) non era più presente e rintracciabile sull’hard drive.

Come riescono a evadere il riconoscimento?

Gli attacchi con Fileless Malware sono considerati di natura evasiva per svariati motivi. In primis in quanto riescono a compromettere software e sistemi operativi legittimi, eseguendo attività sospette mentre le applicazioni tradizionali continuano a funzionare. Inoltre, risiedono nella memoria, non nel disco. Infine, come se non bastasse, non lasciano nessuna delle tradizionali impronte di una signature che aiuterebbe i tradizionali antivirus a rilevarli. Per fare ciò, sfruttano soprattutto gli strumenti integrati di Windows come Windows Management Instrumentation (WMI) e PowerShell per evitare il rilevamento. Anche adottare un sistema di whitelist, che consente solo l’installazione di applicazioni legittime, è inutile contro gli attacchi fileless. Ciò è dovuto al fatto che questi sfruttano applicazioni fidate che sono già presenti nella lista approvata.

I Criminal Hacker non usano solo Power Shell per gli attacchi con i Fileless Malware, ma anche altri metodi di violazione

Uno dei motivi più importanti per cui i Criminal Hacker utilizzano PowerShell per gli attacchi Fileless Malware è che permette loro di accedere rapidamente alle funzioni del sistema operativo ed è accettato come strumento affidabile e legittimo. Come se non bastasse:

  1. PowerShell è un programma già integrato in Windows;
  2. Gli script di PowerShell sono facili da offuscare e sono difficili da rilevare con i prodotti di sicurezza tradizionali;

Oltre ai già accennati metodi di violazione come PowerShell o WMI, il cybercrime impiega un’altra lunga serie di metodologie e tecniche per iniettare il Fileless Malware nel sistema bersaglio. Tra questi:

  1. Gli aggressori spesso creano siti web fraudolenti che fanno da esca per le vittime poco attente;
  2. Gli aggressori iniettano codice dannoso attraverso applicazioni legittime, come JavaScript o gli strumenti di Microsoft Office;
  3. Il payolad può essere iniettato anche attraverso download infetti, link sospetti ed e-mail di phishing che sembrano affidabili.

Come funziona la potenziale catena d’infezione con questi codici malevoli

Ecco la potenziale catena che gli hacker potrebbero utilizzare per compromettere i vostri dati:

  1. I Criminal hacker inviano un messaggio di Phishing che include un link a un sito web dannoso;
  2. Viene cliccato il link;
  3. Il sito web infetto carica un Flash player;
  4. Flash player apre ulteriormente lo strumento PowerShell di Windows;
  5. PowerShell scarica ed esegue uno script da un server di command & control (C&C);
  6. Lo script PowerShell trova e invia i vostri dati ai Criminal Hacker.

Quale strategia da approntare per difendersi?

Sebbene la difesa contro gli attacchi Fileless Malware sia un compito scoraggiante a causa della loro natura evasiva, sono state sviluppate diverse tecniche. Il punto di partenza deve sicuramente essere quello di adottare un approccio più proattivo alla Cyber Security della rete interna: dall’adozione di sistemi di endpoint Protection al monitoraggio in tempo reale del traffico di rete in entrata e in uscita. Le stesse analisi periodiche – portate avanti con strumenti come il Vulnerability Assessment ed il Network Scan – devono necessariamente diventare parte integrante della strategia di difesa proattiva di ogni azienda seriamente interessata al difendere il proprio perimetro.

Fattore umano e sistemi aggiornati sono fondamentali per una buona cyber security

Non va neppure sottovalutato il cardine del continuo aggiornamento di tutti i sistemi operativi e di tutti i software alle ultime patch disponibili. Le applicazioni non aggiornate sono una delle backdoor preferite dai Criminal Hacker per attaccare i loro bersagli. Un’altra area di criticità è legata al “fattore umano”. Istruite i dipendenti su come identificare le attività sospette, sia che si tratti di e-mail sospette di phishing sia di link web non sicuri. La creazione di “test di phishing” interni attraverso attività di Phishing Simulation Attack è un’esigenza costante e fondamentale…

Back To Top