Quando il malware è “2.0”

Cambiano le modalità di infezione: si separa la parte “intelligente” del codice nocivo dal suo codice di base, il che mette in crisi il modello basato sulle firme virali.

Ispirandosi a un concetto, il cui utilizzo
è ultimamente anche un po’ abusato, anche fra gli analisti di sicurezza comincia a serpeggiare il “Malware 2.0”, intendendo con questo termine l’approccio tutto
“inedito” che da qualche tempo sta caratterizzando
i più recenti malware.

La tendenza è infatti quella
di separare la parte “intelligente” del componente
nocivo dal suo codice di base: l’elemento dannoso
che viene fatto insediare sul personal computer dell’utente
è di per sé ridotto ai minimi termini. Esso integra
funzioni semplici il cui risultato viene poi trasmesso
a server remoti (generalmente un sistema
già compromesso ed amministrabile dagli aggressori).
È poi il server a restituire informazioni sulle
azioni da compiere.

Tipici esempi di malware 2.0 sono ad esempio quelli che monitorano
le abitudini dell’utente ed, in particolare, i siti da
lui visitati. Nel caso di servizi di online banking, ad
esempio, viene automaticamente iniettato del codice
html arbitrario così da carpire le informazioni di
autenticazione introdotte dall’utente.
In altri casi, il server remoto ricompila un nuovo
file binario nocivo così da variare il codice maligno
scaricato da ogni singolo client infettato.

L’evoluzione della tecnologia e l’analisi
comportamentale

Se sino alla fine degli anni ’90 tutti i prodotti antivirus
si basavano esclusivamente sull’utilizzo di
definizioni antivirus, con l’inizio della diffusione in
Rete di worm e spyware, a partire dal 2000, si rese
necessaria un’evoluzione verso soluzioni che includessero
anche funzionalità firewall in grado di rilevare
e bloccare l’attività di malware effettuando un
esame dei pacchetti di dati in transito da e verso il
personal computer.

Di fatto le moderne soluzioni di security si evolvono con funzionalità che sorvegliano le operazioni compiute
dai vari processi in esecuzione bloccando quelle
potenzialmente nocive, con l’idea appunto di svincolarsi dalle definizioni antivirus e di riconoscere tempestivamente
anche le minacce appena comparse in Rete.

Ma come funzonano nel dettaglio queste soluzioni? Prendiamo come esempio TruPrevent di Panda, che svolge azioni
di analisi e di blocco, entrambe basate sul comportamento
tenuto dalle applicazioni presenti sul
sistema monitorato.

Per smascherare ed interrompere immediatamente i processi collegati all’opera
di componenti nocivi, Panda Security usa alcuni meccanismi diagnostici che sono posti ad un
livello più basso rispetto alla tecnologia TruPrevent:
deep code inspection, generic unpacking, native fi le
access, rootkit heuristic.
TruPrevent è invece proprio l’ultima linea di difesa
contro i nuovi malware, progettati per passare
inosservati ai controlli basati sull’uso di defi nizioni
antivirus ed euristica.

La tecnologia di Panda, residente
in memoria, si occupa di osservare nel dettaglio
le operazioni e le chiamate API effettuate da
ogni singolo programma in esecuzione mettendole
in correlazione ed esaminando le varie dipendenze.
In questo modo, TruPrevent è in grado di bloccare
il malware prima che questo possa eseguire con
successo operazioni dannose sul personal computer
dell’utente. Qualora un processo in esecuzione
dovesse essere ritenuto sospetto, questo verrebbe
istantaneamente interrotto e ne sarebbe impedito
un successivo avvio.

La tecnologia TruPrevent svolge il suo lavoro di
controllo in modo del tutto silente, senza richiedere
nessun intervento da parte dell’utente. Si tratta,
questo, di un un aspetto chiave: TruPrevent effettua
le scelte in materia autonoma senza proporre all’utente
messaggi attraverso i quali si richiede quale
comportamento debba essere tenuto nei confronti
di un particolare oggetto software.

Secondo i dati pubblicati da Panda Security, TruPrevent sarebbe in grado di
rilevare l’80% dei malware in circolazione senza appoggiarsi
a firme virali e senza ingenerare falsi positivi.

Sempre per ciò che riguarda la difesa del sistema
sulla base del comportamento tenuto dalle applicazioni
presenti, TruPrevent ha in sé un insieme di regole,
mantenute aggiornate da Panda
Security (Kernel Rules Engine), che descrivono
quali azioni siano permesse e quali non lo siano per
una determinata applicazione.

Molti malware, infatti, sfruttano i privilegi assegnati
ad un particolare software, del tutto legittimo,
per attaccare il sistema dell’utente. Un esempio su
tutti è rappresentato dalla diffusione di file in formato
Microsoft Office che, pur apparendo benigni, sono
invece modificati ad arte da malintenzionati per
sfruttare vulnerabilità già conosciute (per le quali
è stata messa a disposizione una patch) oppure ancora
irrisolte (zero-day). Il sistema di protezione di
TruPrevent fa sì che, in questi casi, l’attacco venga
stroncato sul nascere restringendo la libertà di azione
di ciascun programma installato.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome