skip to Main Content

Cybercrime, Fileless malware prima minaccia per gli Endpoint

di Pierguido Iezzi

Cisco ha pubblicato un rapporto sulle principali minacce alla cyber security degli Endpoint

La prima metà del 2020 ha sicuramente rappresentato una vera sfida per CISO, CIO e dipartimenti IT di tutto il mondo. Il Cybercrime forte espansione, il dover fare I conti con perimetri di sicurezza “spezzati” e lavoratori che fanno massiccio uso di RDP e VPN per accedere alle risorse aziendali…tutti fattori che hanno reso l’ultimo periodo molto caldo dal punto di vista della Cyber Security. Ciò però ha anche dato la possibilità di analizzare un campione di dati decisamente più massiccio di quanto il settore si aspettasse, permettendo di definire scenari e trend delle minacce cibernetiche in maniera maggiormente approfondita. In questo contesto si piazza l’analisi di CISCO sulle principali minacce per gli endpoint.

Il Podio: Fileless malware, tool dual-use e strumenti per il Credential Dumping

Secondo i dati degli esperti di cyber security, la prima minaccia emergente come riscontri e livello di alert, sono i Fileless malware. Questo tipo di infezione è particolarmente pericolosa in quanto sfrutta la memoria per propagarsi senza lasciare tracce sull’hardware (da qui “fileless”). A stretto giro seguono i tool dual-use. Parliamo di strumenti come Powershell, Process Explorer, PsExec, Process Hacker, etc. Sono stati progettati per renderci la vita più facile in fase di pentesting, ma allo stesso tempo avvantaggiano anche il lavoro dei Criminal Hacker, in quanto lasciano l’ambiente aperto a possibili takeover. A chiudere il podio delle minacce, gli strumenti per il Credential Dumping come gsecdump, creddump e PWDumpX e soprattutto Mimikatz. Il cybercrime li utilizza, infatti, per rubare le credenziali.

I trend del cybercrime per il 2020

Nell’analisi di CISCO questi trend sembrano già estendersi al resto dell’anno. Fatto confermato, per esempio, anche dalla U.S. Cybersecurity and Infrastructure Security Agency (CISA), che la scorsa settimana ha ricordato come i Criminal Hacker siano stati osservati utilizzare lo strumento di penetration testing Cobalt Strike per colpire sia le reti di organizzazioni private sia del governo federale degli Stati Uniti. Allo stesso modo, fanno notare che Mimikatz rimane uno degli strumenti preferiti dei gruppi APT che operano con il supporto di governi “avversari”.

Le tre categorie di minacce sul podio rappresentano il 75% degli Indicatori di Compromissione (IoC)

Le tre categorie elencate dai ricercatori di cyber security (Fileless malware, strumenti di dual-use e tool per il Credential Dumping) rappresentano il 75% IoC (indicator of compromise) rilevati nel periodo di analisi. Il restante 25% è costituito da un mix di diversi malware, tra cui ransomware (Ryuk, Maze, BitPaymer e altri); worm (Ramnit e Qakbot); Remote Access Trojan (Corebot e Glupteba); trojan bancari (Dridex, Dyre, Astaroth e Azorult); e vari downloader, wiper e rootkit.

I dati visti secondo il MITRE ATT&CK Framework

Un altro modo di guardare ai dati IoC è quello di utilizzare le categorie definite nel framework MITRE ATT&CK, in particolare per individuare le tattiche più impiegate dal cybercrime. Ciò aiuta sicuramente a capire il contesto di ogni attacco e gli obiettivi di ogni fase (dal movimento laterale all’interno della rete alla fase di esfiltrazione delle credenziali). Ovviamente più di una tattica può essere applicata per ogni IoC. Volendo citare un esempio contenuto nello studio di CISCO, uno strumento dual-use come PowerShell Empire copre tre tattiche: l’elusione delle difese o Defense evasion (cioè può nascondere le sue attività dall’essere rilevate); esecuzione (può eseguire ulteriori moduli per svolgere varie attività malevole); e accesso alle credenziali (può caricare moduli che rubano le credenziali).

L’elusione delle difese è la tattica più usata dai Criminal Hacker, seguita dall’esecuzione. Spesso, però, vengono fuse insieme per incrementare la pervasività degli attacchi

La tattica osservata di gran lunga più comune, comunque, è l’elusione delle difese (57% degli allarmi IoC osservati), seguita dall’esecuzione (41%). Ciò, visto e considerato la propensione dei Criminal Hacker a lanciare più moduli e strumenti durante un singolo attacco. Un aggressore che ha stabilito la persistenza in un sistema bersaglio, utilizzando uno strumento dual-use, spesso e volentieri infatti scaricherà payload per rubare credenziali o installare Ransomware. Due tattiche comunemente usate per ottenere un punto d’appoggio, l’accesso iniziale e la persistenza, arrivano in terza e quarta posizione, mostrando rispettivamente l’11 e il 12% del tempo. A chiudere il quadro MITRE ATT&CK, con un riscontro nel 10% dei casi, la comunicazione verso i server di Command and Control.

Back To Top