Cyber security – Cosa è la difesa proattiva, la rilevazione euristica e le classificazione dei Malware

La difesa proattiva, ovvero fornisce protezione anche durante le prime ore di diffusione di una nuova minaccia. Il programma utilizza una combinazione di analisi del codice, emulazione del codice, firme generiche e firme antivirali che operano in modo integrato per potenziare enormemente la protezione del sistema.

Il modulo di difesa proattiva è un modulo preposto ad effettuare il monitoraggio della sequenza delle azioni svolte da un’applicazione all’interno del sistema; nel caso in cui venga rilevata un’attività sospetta, l’applicazione viene immediatamente bloccata, per impedire che la stessa possa condurre ulteriori attività.

Cosa è un Malware

Malware, abbreviazione per malicious software (che significa letteralmente software malintenzionato, ma di solito tradotto come software dannoso), indica un qualsiasi programma informatico usato per disturbare le operazioni svolte da un computer, rubare informazioni sensibili, accedere a sistemi informatici privati, o mostrare pubblicità indesiderata.

Il termine malwareè stato coniato nel 1990 da Yisrael Radai, precedentemente veniva chiamato virus per computer; in italiano viene anche comunemente chiamato codice maligno. Il principale modo di propagazione del malware consiste di frammenti di software parassiti che si inseriscono in codice eseguibile già esistente. Il frammento di codice può essere scritto in codice macchina ed inserito in un’applicazione esistente, in codice di utility, in un programma di sistema o può inserirsi anche nel codice del sistema di boot di un computer. Un malware è caratterizzato dal suo intento malevolo, agendo contro le necessità dell’utente, e non include software che causa un danno non voluto a causa di qualche suo difetto.

 La classe Malware riguarda i seguenti oggetti:

HEUR:Worm.[Platform] .Generic

Gli oggetti riconducibili a tale classificazione eseguono ricerche su computer remoti e tentano di realizzare una copia di se stessi allo scopo di leggere/scrivere directory accessibili, ricercare directory di rete accessibili mediante l’utilizzo delle funzioni del sistema operativo, e/o condurre una ricerca casuale di computer.

Il campo [Platform] può essere sia “Script”, sia “Win32”.

HEUR:Virus.[Platform] .Generic

Gli oggetti ascrivibili a tale classificazione creano copie di se stessi sulle risorse locali del computer-vittima.

Il campo [Platform] può essere sia “Script”, sia “Win32”.

HEUR:Email-Worm.[Platform] .Generic

Gli oggetti assegnati a questa specifica classificazione cercano di inviare copie di se stessi sotto forma di allegato e-mail, o di link preposto a condurre verso i propri file, custoditi su una risorsa di rete.

Il campo [Platform] può essere sia “Script”, sia “Win32”.

HEUR:Virus.[Platform] .Infector

Gli oggetti riconducibili a questa classificazione ricercano determinati file in un computer, per poi scrivere una serie di dati su tali file. Un oggetto del genere può, ad esempio, scrivere il proprio corpo su un file eseguibile, oppure scrivere del codice HTML contenente un link destinato a condurre verso file provvisti di estensione .html, .php, .asp, o di altre estensioni.

Il campo [Platform] può essere sia “Script”, sia “Win32”.

PDM:Worm.Win32.Generic

Gli oggetti ascrivibili a tale classificazione ricercano reti di computer remoti e tentano di realizzare una copia di se stessi allo scopo di leggere/scrivere directory accessibili, ricercare directory di rete accessibili mediante l’utilizzo delle funzioni del sistema operativo, e/o condurre una ricerca casuale di computer.

PDM:P2P-Worm.Win32.Generic

Gli oggetti raggruppati in questa particolare classificazione eseguono una copia di se stessi su cartelle comunemente associate a client P2P, modificano le chiavi di registro associate a client P2P, etc.

HEUR:Trojan.[Platform] .Generic

Gli oggetti assegnati a tale classificazione provvedono ad eliminare, bloccare, modificare o copiare informazioni, e danneggiano le prestazioni di computer o reti di computer.
Il campo [Platform] può essere sia “Script”, sia “Win32”.

HEUR:Trojan.Win32.Invader

Gli oggetti così classificati iniettano il proprio codice nello spazio degli indirizzi di altri processi.

Questo specifico stratagemma viene spesso utilizzato dai virus writer al fine di eseguire tutta una serie di azioni, come se le stesse fossero condotte tramite un’applicazione attendibile.

HEUR:Trojan.[Platform] .AntiAV

Gli oggetti riconducibili a tale denominazione impediscono il regolare funzionamento di programmi antivirus e firewall.
Il campo [Platform] può essere sia “Script”, sia “Win32”.

HEUR:Trojan.[Platform] .KillFiles

Gli oggetti inseriti in tale classificazione provvedono ad eliminare i file dell’utente e/o i file del sistema operativo.
Il campo [Platform] può essere sia “Script”, sia “Win32”.

HEUR:Trojan.[Platform] .StartPage

Questi oggetti modificano la pagina iniziale e la pagina di ricerca predefinite, così come altre impostazioni dei browser Internet.

Il campo [Platform] può essere sia “Script”, sia “Win32”.

HEUR:Trojan.Script.Iframer

Gli oggetti riconducibili a tale classificazione sono in grado di accedere alle risorse Internet all’insaputa dell’utente, mediante l’utilizzo di appositi tag <IFRAME> nascosti.

HEUR:Trojan.[Platform] .Cryptic

Gli oggetti facenti parte di tale classificazione si presentano in forma altamente crittografata od offuscata.

Il campo [Platform] può essere sia “Script”, sia “Win32”.

HEUR:Backdoor.[Platform] .Generic

Gli oggetti ascrivibili a questa classificazione consentono ad un utente malintenzionato di poter controllare da remoto il computer-vittima.

Il campo [Platform] può essere sia “Script”, sia “Win32”.

HEUR:Trojan-Downloader.[Platform] .Generic

Gli oggetti coperti da tale criterio di classificazione vengono appositamente progettati per generare il download e la successiva installazione, sui computer-vittima, di nuove versioni di software nocivi.

Il campo [Platform] può essere sia “Script”, sia “Win32”.

HEUR:Trojan-PSW.[Platform] .Generic

Gli oggetti riuniti in questo gruppo di software maligni vengono progettati con il preciso scopo di realizzare il furto, all’interno dei computer-vittima, delle informazioni (login e password) relative agli account di cui dispongono gli utenti.

Il campo [Platform] può essere sia “Script”, sia “Win32”.

HEUR:Trojan-Dropper.[Platform] .Generic

Gli oggetti compresi in tale classificazione installano furtivamente ulteriori software nocivi sul computer-vittima, dal corpo del programma malware originale.

Il campo [Platform] può essere sia “Script”, sia “Win32”.

HEUR:Exploit.[Platform] .Generic

Gli oggetti inclusi in tale classificazione sfruttano una o più vulnerabilità del software su un computer locale o remoto.

Il campo [Platform] può essere sia “Script”, sia “Win32”.

PDM:Trojan.Win32.Generic

Gli oggetti riconducibili a questa classificazione provvedono ad eliminare, bloccare, modificare o copiare informazioni, oppure compromettono il funzionamento di computer o reti di computer.

PDM:Rootkit.Win32.Generic

Gli oggetti facenti parte di tale classificazione nascondono certi oggetti o attività all’interno del sistema. Vengono ugualmente ricondotti a questa classificazione i programmi progettati per installare di nascosto dei driver che manifestano un comportamento di tipo Rootkit sul computer-vittima.

La classe Adware comprende la classificazione HEUR:Adware.[Platform] .Generic:

HEUR:Adware.[Platform] .Generic

Gli oggetti così classificati provvedono a reindirizzare le richieste di ricerca.

Il campo [Platform] può essere sia “Script”, sia “Win32”.

La classe Riskware comprende la classificazione PDM:Monitor.Win32.Keylogger:

PDM:Monitor.Win32.Keylogger

Gli oggetti ascrivibili a tale criterio di classificazione registrano le sequenze dei tasti premuti sulla tastiera del computer.

Questo tipo di programma non rappresenta una minaccia nel caso in cui esso sia stato installato sul computer dallo stesso utente o da un amministratore di rete.

Si distinguono molte categorie di malware,

anche se spesso questi programmi sono composti di più parti interdipendenti e rientrano pertanto in più di una classe. Vista inoltre la rapida evoluzione in questo campo, la classificazione presentata di seguito non è da ritenersi esaustiva.

• Virus: sono parti di codice che si diffondono copiandosi all’interno di altri programmi, o in una particolare sezione del disco fisso, in modo da essere eseguiti ogni volta che il file infetto viene aperto. Si trasmettono da un computer a un altro tramite lo spostamento di file infetti ad opera degli utenti.
• Worm: questi malware non hanno bisogno di infettare altri file per diffondersi, perché modificano il sistema operativo della macchina ospite in modo da essere eseguiti automaticamente e tentare di replicarsi sfruttando per lo più Internet. Per indurre gli utenti ad eseguirli utilizzano tecniche di ingegneria sociale, oppure sfruttano dei difetti (Bug) di alcuni programmi per diffondersi automaticamente. Il loro scopo è rallentare il sistema con operazioni inutili o dannose.
• Trojan horse: software che oltre ad avere delle funzionalità “lecite”, utili per indurre l’utente ad utilizzarli, contengono istruzioni dannose che vengono eseguite all’insaputa dell’utilizzatore. Non possiedono funzioni di auto-replicazione, quindi per diffondersi devono essere consapevolmente inviati alla vittima. Il nome deriva dal famoso cavallo di Troia.
• Backdoor: letteralmente “porta sul retro”. Sono dei programmi che consentono un accesso non autorizzato al sistema su cui sono in esecuzione. Tipicamente si diffondono in abbinamento ad un trojan o ad un worm, oppure costituiscono una forma di accesso lecita di emergenza ad un sistema, inserita per permettere ad esempio il recupero di una password dimenticata.
• Spyware: software che vengono usati per raccogliere informazioni dal sistema su cui sono installati e per trasmetterle ad un destinatario interessato. Le informazioni carpite possono andare dalle abitudini di navigazione fino alle password e alle chiavi crittografiche di un utente.
• Dialer: questi programmi si occupano di gestire la connessione ad Internet tramite la normale linea telefonica. Sono malware quando vengono utilizzati in modo illecito, modificando il numero telefonico chiamato dalla connessione predefinita con uno a tariffazione speciale, allo scopo di trarne illecito profitto all’insaputa dell’utente.
• Hijacker: questi programmi si appropriano di applicazioni di navigazione in rete (soprattutto browser) e causano l’apertura automatica di pagine web indesiderate.
• Rootkit: i rootkit solitamente sono composti da un driver e a volte, da copie modificate di programmi normalmente presenti nel sistema. I rootkit non sono dannosi in sé, ma hanno la funzione di nascondere, sia all’utente che a programmi tipo antivirus, la presenza di particolari file o impostazioni del sistema. Vengono quindi utilizzati per mascherare spyware e trojan.
• Scareware: non sono altro che porte di accesso che si nascondono sui manifesti pubblicitari e installano altri malware e spesso c’e il pericolo che facciano installare malware che si fingono antivirus tipo il famoso “rogue antispyware”.
• Rabbit: i rabbit sono programmi che esauriscono le risorse del computer creando copie di sé stessi (in memoria o su disco) a grande velocità.
• Adware: programmi software che presentano all’utente messaggi pubblicitari durante l’uso, a fronte di un prezzo ridotto o nullo. Possono causare danni quali rallentamenti del PC e rischi per la privacy in quanto comunicano le abitudini di navigazione ad un serverremoto.
• Malvertising: malicious advertising, sono degli attacchi che originano dalle pubblicità delle pagine web
• File batch: hanno Estensione “.bat”. I file batch non sono veri e propri malware, ma solo semplici File di testo interpretati da Prompt dei comandi di microsoft windows. In base ai comandi imposti dall’utente, il sistema li interpreta come “azioni da eseguire”, e se per caso viene imposto di formattare il computer, il file esegue l’operazione imposta, perché eseguire i file inoltrati al processore è un’operazione di routine. Questo rende i file batch pericolosi. I file batch sono spesso utilizzati nel cyberbullismo.
• Keylogger: I Keylogger sono dei programmi in grado di registrare tutto ciò che un utente digita su una tastiera o che copia e incolla rendendo così possibile il furto di password o di dati che potrebbero interessare qualcun altro. La differenza con gli Adware sta nel fatto che il computer non si accorge della presenza del keylogger e il programma non causa rallentamento del pc, passando così totalmente inosservato. Generalmente i keylogger vengono installati sul computer dai trojan o dai worm, in altri casi invece il keylogger viene installato sul computer da un’altra persona che può accedere al pc o attraverso l’accesso remoto (che permette a una persona di controllare un altro pc dal suo stesso pc attraverso un programma) oppure in prima persona, rubando così dati e password dell’utente. Esistono anche i Keylogger Hardware, che possono essere installati da una persona fisica, e poi, sfruttando la rete Internet inviano informazioni al malintenzionato quali password, email ecc.
• Rogue antispyware: malware che si finge un programma per la sicurezza del PC, spingendo gli utenti ad acquistare una licenza del programma.
• Ransomware Virus che cripta tutti i dati presenti su un disco, secondo una chiave di cifratura complessa; poi, per ottenerla e decrittografare il computer, bisogna pagare il cracker che ha infettato il pc e quindi ottenere la chiave di cifratura per “tradurre” i dati. Questi software sono pericolosi in modo direttamente proporzionale alla quantità e alla riservatezza dei dati presenti sul disco. Una volta questi virus erano sono presenti in Windows e con diffusione ristretta, ma oggi ce ne sono parecchi in circolazione e si sono sviluppate varie versioni di questi, anche per i sistemi operativi mobili:
• “A comando”, cioè vengono attivati secondo le volontà del cracker nel momento che ritiene opportuno;
• “Automatici” , che si dividono in altre due sottocategorie;
  • “Da esecuzione”, cioè vengono eseguiti e quindi si attivano quando l’utente li avvia;
  • “Da avvio”, cioè si attivano quando si spegne/accende il device.
• Bomba logica: è un tipo di malware che “esplode” ovvero fa sentire i suoi effetti maligni al verificarsi di determinate condizioni o stati del PC fissati dal cracker stesso.
• Zip Bomb è un file che si presenta come un file compresso. Deve essere l’utente ad eseguirlo. All’apparenza sembra un innocuo file da pochi Kilobyte ma, appena aperto, si espande fino a diventare un file di circa quattro Petabyte, occupando quindi tutto lo spazio su disco rigido.

Nell’uso comune il termine virus viene utilizzato come sinonimo di malware e l’equivoco viene alimentato dal fatto che gli antivirus permettono di rilevare e rimuovere anche altre categorie di software maligno oltre ai virus propriamente detti.

Si noti che un malware è caratterizzato dall’intento doloso del suo creatore, dunque non rientrano nella definizione data i programmi contenenti bug, che costituiscono la normalità anche quando si sia osservata la massima diligenza nello sviluppo di un software.

Rocco Balzamà

 
  Ethical & Growth Hacker | CEH | OSCP | Marketing Manager | Information Security Senior Manager | Data Governance & Privacy Solutions | Cyber Security | Penetration Tester
[ Divulgatore, formatore e consulente in ambito Branding - Comunicazione - IT ]
Tutto ebbe inizio nell'estate del 1983, quando le mie mani toccarono per la prima volta una tastiera ancora oggi, con lo stesso entusiasmo che avevo da bambino quando ero un piccolo artigiano, aiuto le aziende a proteggersi ed evolversi nel mondo digitale.