Cybersecurity

Perché l’antivirus non rileva i ransomware?

24 Febbraio 2016

(ovvero: perché l’antivirus non basta a proteggermi dai ransomware?)

Dal punto di vista ingegneristico, molti dei recenti virus informatici sono veri e propri capolavori.
L’aspetto che più di frequente balza agli onori delle cronache, anche non di settore (e grava sulle tasche delle vittime) è la richiesta di riscatto, derivante dall’implementazione di algoritmi di crittografia.
Altra caratteristica determinativa dei virus recenti è la capacità di evitare il rilevamento da parte degli antivirus.



 

Come fanno i virus a evitare il rilevamento?
Analizziamo la struttura di questi attacchi informatici. Di norma, il primo veicolo di infezione non è il virus crittografico.
Il clic sull’allegato o sulla pagina web infetti manda in esecuzione un file (detto dropper) che ha essenzialmente il compito di comunicare con un server remoto, il Command & Control server (C&C server) per scaricare il CryptoVirus.
Nel tempo, le mansioni di questo dropper si sono evolute, da semplice “downloader” a processo che ottiene informazioni sul sistema ospite e le comunica al C&C server stesso.

In questo modo, il C&C server è informato su quale antivirus sia in esecuzione e se la versione del sistema operativo abbia vulnerabilità note e sfruttabili. Può istruire il dropper per scaricare una versione specifica del virus.
Anche per questo, utilizzare sistemi operativi non più supportati (come Windows XP o Windows 2003) è un comportamento dannoso, poiché eventuali vulnerabilità sfruttate (exploit, in gergo) dai virus non saranno mai corrette.
Torniamo alla nostra infezione. Il dropper ha scaricato sulla macchina una versione del virus progettata per aggirare il nostro specifico antivirus, che quindi andrà in esecuzione e crittograferà i nostri file.
Ma com’è possibile che un virus aggiri una protezione studiata proprio per prevenire questo tipo di attacchi?
Uno dei metodi più efficaci va sotto il nome di Process Hollowing (“svuotamento di un processo”).
Il virus esegue un processo legittimo di Windows, ma in modalità sospesa. A quel punto, svuota la memoria in uso dal processo stesso e inietta al suo posto il payload virale, ossia la porzione che esegue le azioni malevole.
In questo modo, il virus viene eseguito sotto il cappello del processo legittimo e non permette all’antivirus di rilevarlo, nemmeno quando inizia operazioni distruttive come la criptatura o la cancellazione di file e copie shadow.

Esistono poi metodologie per evitare il rilevamento all’interno di sandbox, un’area virtuale protetta del sistema, nella quale eventuali danni effettuati dal virus possono essere facilmente riparati.
Ad esempio, il virus individua, con tecniche di complessità crescente (rilevamento di servizi, di chiavi di registro, delle capacità computazionali del processore o di istruzioni specifiche sull’uso delle risorse), la presenza di un ambiente virtuale, restando inerte. L’utente considera quindi innocuo il processo ed è propenso ad eseguirlo anche al di fuori dell’area protetta, innescando l’infezione vera e propria.

Altra tecnica è quella di creare virus polimorfici, o di usare il payload noto di un virus offuscandone il rilevamento da parte degli antivirus, ad esempio crittografando l’eseguibile con algoritmi diversi o racchiudendolo in differenti contenitori. E’ evidente come queste pratiche rendano virtualmente inutili gli antivirus basati su firme.
Pertanto, mai come adesso l’antivirus , da solo, è inefficace nel fronteggiare da solo le minacce derivanti dai virus informatici.
Una strategia di prevenzione deve necessariamente basarsi, oltre che su un software di rilevamento del malware, anche su backup (e ripristino) affidabile, sull’educazione degli utenti e sull’implementazione di criteri di sicurezza atti a limitare le potenzialità distruttive di questi virus.

Autore
Furio Borsi
Si appassiona al mondo digitale fin da bambino, con il glorioso Commodore 64, sul quale si diverte a scrivere semplici programmi in Basic e modificare giochi. Nel 1990 riceve in regalo il suo primo PC (i386), seguito un paio d'anni dopo da un i486dx. In questi anni affina le sue attitudini al problem solving, scassando hardware e software e divertendosi a rimetterlo a posto. ;) Diventa così "quello che se ne capisce" per i suoi familiari e amici, arrivando a collaborare con alcuni studi professionali per la gestione del parco macchine e dei server Windows. Finito il liceo, studia DAMS con indirizzo multimediale a Bologna e Imperia. Nel 2002, dopo un anno sabbatico a Londra, lavora come sviluppatore junior in un'azienda che produce software per database territoriali in ambito Pubblica Amministrazione. In questo periodo si avvicina con passione a problematiche sistemistiche e di network management su reti estese. Nel 2007 entra a far parte dello staff di Achab, per cui si occupa di formazione e supporto, in particolare riguardo a Kaseya, e gestione del parco macchine e della rete.
Commenti (0)
guest
0 Commenti
Inline Feedbacks
Guarda tutti i commenti