Perché solo un antivirus non basta più per proteggere i nostri computer

Un report sulle minacce informatiche racconta un grande cambiamento degli ultimi anni: la velocità dei nuovi sistemi gioca a nostro sfavore. Ma c'è una soluzione

Perché solo un antivirus non basta più per proteggere i nostri computer

I classici motori di Antivirus (da ora abbreviato Av) faticano ad individuare malware (software malevoli, ndr) di ultima generazione. Questo dato trova riscontro nell'ultimo report rilasciato da Yoroi (se volete potete consultarlo qui) dove si evince che il 58% dei malware non individuati dai principali sistemi Av (testato su virus Total) appartiene alla famiglia dei ransomware (software malevoli che limitano l'accesso al computer che infettano, ndr), il 23% appartiene alla famiglia dei trojan (software malevolo contenuto all'interno di uno innocuo, prende il nome dal celebre cavallo di Troia, ndr) ed il 13% appartiene alla famiglia dei dropper. (programma creato per istallare malware, trojan o aprire una 'porta' per aggirare l'autenticazione di un prodotto informatico, 'backdoor', ndr).

Questo dato significativo nasconde uno stato tecnologico molto importante dell'epoca delle minacce digitali: la velocità di erogazione dei contenuti è la chiave del (in)successo di tali strumenti.

I tempi necessari per individuare un virus

Oggigiorno un utilizzatore che scarica un file come per esempio un file di office, un Pdf oppure un file eseguibile ha la nuova abitudine di utilizzare il file scaricato in un lasso temporale molto prossimo al tempo di scelta del file stesso. In altre parole, l'utilizzatore non vuole attendere minuti prima di utilizzare il software "scaricato" ma lo vuole utilizzare appena il file è stato salvato.

Parallelamente un sistema Av ha l'obiettivo di analizzare il file "scaricato" ed impedirne l'esecuzione nel caso in cui risultasse sospetto e/o malevolo. Il tempo a disposizione dell'Av per comprendere se un file risulta malevolo e/o benevolo è sempre più ridotto mentre, al contrario, il database di signature (la lista dei programmi pericolosi, ndr) di nuovi malware aumenta giorno dopo giorno. Da un lato l'Av ha meno tempo da dedicare all'analisi, dall'altro lato il database di "firme" utilizzate internamente per verificare la presenza di malware/virus è sempre piu ampio.

Maggiore dimensione implica un maggiore tempo per la verifica. Questo binomio tende, nel medio periodo, a rendere tali tecnologie obsolete in quanto un Av non Avrà mai abbastanza tempo da dedicare all'analisi di un file Avendo a disposizione un tempo di analisi che, inesorabilmente, tenderà ad allungarsi.

Un sistema Av necessita quindi di giungere ad un compromesso tra velocità e copertura e per questo motivo non riesce a garantire una protezione realmente efficace nel periodo storico in cui ci troviamo ove le minacce digitali sono polimorfe e metamorfe (hanno forme diverse, e sono in grado di modificarle, ndr). Altri strumenti come le SandBox tendono a sopprimere questa problematica introducendo il concetto di "Result Oriented Analysis" ossia l'analisi del risultato ottenuto attraverso la lettura dei cambiamenti che i sistemi operativi subiscono a seguito di una detonazione (esecuzione controllata) di un Sample (presunto malware). Tale sistema prevede una esecuzione di lunga durata ed una analisi sul sistema ospitante.

L'analisi dell'esecuzione del sample ha una probabilità molto più concreta di individuare pattern malevoli in quanto il malware avrà attuato determinati cambiamenti all'interno del sistema ospitante. Tale tecnologia puo essere parzialmente implementata all'interno di sistemi Av al fine di ridurre il problema del dimensionamento del "database delle firme" ma sempre e comunque sarà limitato nel tempo causa la velocità di fruibilità delle informazioni, rendendo cosi tale unione tecnologica non del tutto efficace.

La non totale efficacia di questa unione tecnologica permette il proliferare di malware capaci di evadere tali sistemi (il metodo di evasione non è un argomento trattato in questo post). Nello specifico e sul panorama Italiano, durante l'anno 2017, sono stati principalmente individuate le seguenti minacce presenti all'interno di organizzazioni e per questo motivo capaci di evadere i sistemi Av presenti sulle macchine infette.

Il seguente grafico evidenzia come tali minacce siano risultate appartenenti a varianti di Simda per il 30% dei casi, appartenenti a varianti di Cryprot per il 27% dei casi, appartenenti a varianti di Betabot per il 17% dei casi e per il 12% dei casi appartenenti a minacce riconducibili a Tinba.

Simda. E’ una minaccia classificata come malware, nello specifico è un malware che implementa un particolare strumento di attacco definito come Botnet. Conosciuto dal 2009 è stato ampiamente utilizzato da attaccanti per rivendere bot (computer infettati) as a service.

L’attaccante attraverso questo sistema puo dirottare la connessione della vittima verso un sito web controllato dall’attaccante stesso e di conseguenza puo infettare la vittima con ulteriori malware. Il sistema espone anche controllo remoto della macchina, permettendo all’attaccante un pieno controllo sulla vittima Cryptor.

Cryptor. E’ una minaccia classificata come malware, nello specifico è un malware che implementa un particolare strumento di attacco definito come Ransomware. Tale tipologia di attacco prevede un componente software (malware) capace di cifrare i file della vittima e richiedere successivamente un riscatto al fine di ripristinare i file al formato originale.

BetaBot. E’ una minaccia classificata come malware, nello specifico è un malware che implementa un particolare strumento di attacco definito come Trojan. Un software apparentemente lecito effettua azioni malevole in modalità nascosta all’utente. Nello specifico BetaBot disabilita numerosi sistemi di controllo appartenenti a Windows, impedisce di navigare su siti internet appartenenti ad organizzazioni di sicurezza (ove potenzilmanete si potrebbe “scaricare” un Anti virus) ed invia al suo command and control informazioni inerenti ai logins (credenziali) presenti sulla macchina (sia Windows Logon che login salvati all’interno del Key Chain).

Per effettuare questa attività malevola richiede all’utente permessi di Amministrazione inducendolo in inganno attraverso un “message box” con nomi simili a componenti software di Microsoft, come per esempio “Microsoft Commander richiede permessi di amministrazione per proteggere la tua macchina”.

Tinba. E’ una minaccia classificata come malware, nello specifico è un malware che implementa un particolare strumento di attacco definito come Banker. Tale strumento utilizza una tecnica nota come Man In The Browser per iniettare codice e/o leggere contenuti di specifiche pagine web, nello specifico tali pagine web risultano essere pagine di tipologia “bancaria”.

Risulta evidente quanto non sia possibile affidarsi al 100% a strumenti automatizzati sia essi moderni ed aggiornati sia essi classici e robusti: le minacce nel mondo digitale sono pervasive ed efficaci. E' necessaria una educazione di base, la generazione di una cultura condivisa del digitale ed è necessario affidarsi ad esperti per difendere i propri assets digitali.



Se avete correzioni, suggerimenti o commenti scrivete a dir@agi.it