Nel mondo attuale, il software anti-virus costituisce un aspetto fondamentale della sicurezza per gli endpoint, inclusi computer e server, sia per i singoli utenti che per le grandi organizzazioni. Il software anti-virus fornisce una difesa chiave contro le minacce informatiche ma non è infallibile. Esistono varie tecniche a cui i cybercriminali ricorrono per bypassare la protezione anti-virus ed eludere il malware.
Come funzionano gli anti-virus?
Lo scopo del software anti-virus è quello di determinare se un file è dannoso, operazione che va eseguita rapidamente per evitare possibili ripercussioni sull'esperienza dell'utente. Due metodi ampiamente utilizzati che le soluzioni anti-virus sfruttano per andare alla ricerca del software dannoso sono le scansioni euristiche e quelle basate su firma:
- La scansione euristica esamina la funzione di un file, ricorrendo ad algoritmi e modelli per stabilire se il software sta facendo qualcosa di sospetto
- La scansione basata su firma prende in esame la forma di un file, cercando stringhe e modelli corrispondenti a campioni di malware noti
I creatori di malware possono scegliere di interagire in due modi con l'anti-virus: il primo è su disco e l'altro in memoria. Su disco, un esempio tipico potrebbe essere un semplice file eseguibile. L'anti-virus ha più tempo per sottoporre a scansione e analizzare un file sul disco. Se caricato in memoria, un anti-virus ha meno tempo per interagire e generalmente il malware ha più probabilità di essere eseguito con successo.
Limitazioni dell'anti-virus
Per quanto un software anti-virus sia una soluzione consigliata per garantire la sicurezza dei sistemi, in ultima analisi non rende inattaccabili i dispositivi. Un tipico programma anti-virus utilizza un database di firme malware costituito da malware precedentemente identificati. Ogni volta che viene scoperto un nuovo campione di malware, si crea la firma digitale corrispondente che viene quindi aggiunta al database. Questo significa che esiste un periodo di vulnerabilità tra il momento in cui il nuovo malware entra in circolazione e quello in cui i programmi anti-virus aggiornano i database. In questa finestra, il malware ha la possibilità di causare danni. In conclusione, per quanto il software anti-virus fornisca un ulteriore livello di sicurezza, non mitiga del tutto le minacce.
Inoltre, il numero di linguaggi indipendenti del sistema operativo utilizzabili per scrivere il malware è in aumento, il che significa che un singolo programma malware può avere ripercussioni su un pubblico più ampio. Mentre le minacce informatiche diventano più sofisticate, anche i programmi anti-virus devono evolversi per stare al passo. Con gli hacker che continuano a evolvere le proprie tecniche per bypassare i programmi anti-virus e a causa della complessità dell'attuale panorama della sicurezza, questa è una vera sfida.
Tecniche di elusione anti-virus
Per raggiungere il proprio scopo, i cybercriminali hanno messo a punto un'ampia gamma di tecniche di elusione. Eccone alcuni:
Code packing e criptaggio
La maggior parte dei worm e dei trojan è "packed" (nascosta all'interno di pacchetti) e criptata. Gli hacker progettano anche utility speciali per il packing e il criptaggio. Ogni file Internet elaborato con CryptExe, Exeref, PolyCrypt e altre utility è risultato nocivo. Per poter rilevare i worm e i trojan inseriti in pacchetti e criptati, il programma anti-virus deve aggiungere nuovi metodi di decompressione e decriptaggio oppure aggiungere nuove firme per ogni campione di programma nocivo.
Mutazione del codice
Combinando il codice di un virus trojan con istruzioni di spam, in modo che il codice assuma un aspetto diverso pur mantenendo la propria funzionalità originale, i cybercriminali tentano di camuffare i software nocivi. La mutazione del codice avviene in tempo reale, ogni volta o quasi che il trojan viene scaricato da un sito Web infetto. Il worm e-mail Warezov impiegava questa tecnica e ha causato gravi problemi agli utenti.
Tecniche di mascheramento
Le tecnologie rootkit, generalmente impiegate dai trojan, possono intercettare e sostituire alcune funzioni di sistema per rendere invisibile il file infetto al sistema operativo e ai programmi anti-virus. A volte vengono nascosti persino i rami del registro di sistema in cui si annida il trojan, oltre ad altri file di sistema.
Blocco dei programmi anti-virus e degli aggiornamenti dei database degli anti-virus
Molti trojan e worm di rete cercano attivamente i programmi anti-virus nell'elenco delle applicazioni attive sul computer della vittima. A questo punto il malware tenta di:
- Bloccare il software anti-virus
- Danneggiare i database dell'anti-virus
- Impedire il corretto funzionamento dei processi di aggiornamento del software anti-virus
Per sconfiggere il malware, il programma anti-virus deve difendersi controllando l'integrità dei propri database e nascondendo i propri processi ai trojan.
Mascheramento del codice in un sito Web
I produttori di anti-virus vengono rapidamente a conoscenza degli indirizzi dei siti Web contenenti file di virus trojan e i loro analisti di virus possono quindi studiare il contenuto di questi siti e aggiungere il nuovo malware ai loro database. Tuttavia, per contrastare la scansione anti-virus è possibile modificare una pagina Web in modo che, quando le richieste vengono inviate da un produttore di anti-virus, venga scaricato un file non trojan al posto di un trojan.
Attacchi in massa
In un attacco in massa vengono distribuite su Internet grosse quantità di nuove versioni di un trojan in un lasso di tempo molto breve. Di conseguenza, i produttori di anti-virus ricevono una quantità enorme di nuovi campioni da analizzare. Il cybercriminale spera che il tempo impiegato per analizzare ogni campione dia al proprio codice nocivo la possibilità di penetrare nei computer degli utenti.
Minacce zero-day
Il programma anti-virus viene aggiornato con regolarità. Di solito ciò accade in risposta a una minaccia zero-day. Si tratta di una tecnica di elusione malware in cui un cybercriminale sfrutta una vulnerabilità software o hardware rilasciando quindi un malware prima che un programma anti-virus applichi una patch.
Malware fileless
Si tratta di un metodo più recente per eseguire malware su un computer che non richiede di archiviare nulla nel computer attaccato. Il malware fileless opera interamente nella memoria del computer, consentendo di bypassare gli scanner anti-virus. Visitare una pagina Web infetta non implica direttamente la distribuzione del malware. Piuttosto, utilizza una vulnerabilità precedentemente nota in un programma correlato per fare in modo che il computer scarichi il malware in una regione della memoria e che da lì venga eseguito. Quello che rende così pericoloso il malware fileless è che una volta che il malware ha svolto il proprio lavoro o che il computer viene reimpostato, la memoria viene cancellata e non ci sono prove che un criminale abbia installato un malware.
Phishing
Il phishing è una delle tecniche più comuni che i cybercriminali utilizzano per sottrarre informazioni. In un attacco di phishing, l'utente malintenzionato inganna le sue vittime spacciandosi per una fonte nota o attendibile. Se gli utenti fanno clic su un link dannoso o scaricano un file infetto, gli autori dell'attacco possono accedere alla rete per sottrarre informazioni sensibili. Il software anti-virus può rilevare solo minacce conosciute e non è affidabile ed efficace contro le nuove varianti.
Attacchi basati sul browser
Il software anti-virus non ha accesso ai sistemi operativi che consentono agli attacchi basati sul browser di bypassarli. Questi attacchi infettano il dispositivo utilizzando codice e script nocivi. Per impedire questo tipo di attacchi, alcuni browser includono strumenti di difesa integrati ma devono essere utilizzati in modo corretto e coerente per risultare efficaci.
Codifica del payload
Un'altra tecnica attraverso cui il malware bypassa gli scanner anti-virus è tramite la codifica del payload. Spesso i cybercriminali ricorrono a strumenti per farlo manualmente e quando il malware viene distribuito e attivato, viene decodificato e causa danni. Di solito questo accade tramite un programma header di dimensioni ridotte agganciato al virus codificato. Gli scanner anti-virus non percepiscono questo programma come una minaccia e il virus codificato viene visto semplicemente come una stringa di dati. Pertanto quando l'header viene attivato (ad esempio, incorporato in un eseguibile esistente), decodificherà il malware in una regione di memoria e quindi indirizzerà il contatore del programma in quella regione ed eseguirà il malware.
Come proteggersi dalle tecniche di elusione malware
L'uso di un software anti-virus dovrebbe essere parte integrante di una più vasta strategia di cybersecurity ma, come dimostra questo articolo, le aziende non dovrebbero fare affidamento solo su questo per proteggersi dalle minacce informatiche. Per garantire una sicurezza ottimale, è consigliabile investire in un approccio multi-livello alla cybersecurity. Tra gli ulteriori strumenti utilizzabili per tenere lontani i cybercriminali dalla rete rientrano:
Criptaggio dei dispositivi
Il criptaggio dei dispositivi garantisce che nessuno possa accedere ai dati in essi contenuti senza la password o la chiave corretta. Anche se un dispositivo viene rubato o infettato dal malware, un corretto criptaggio può prevenire l'accesso non autorizzato.
Autenticazione a più fattori
L'autenticazione a più fattori (MFA) richiede che gli utenti specifichino più informazioni per accedere agli account, come un codice con una scadenza. Ciò assicura una maggiore sicurezza rispetto a una semplice password. Questo è particolarmente importante se nei dispositivi o negli account sono presenti informazioni personali o sensibili.
Programmi di gestione delle password
Le password sono importanti per tenere al sicuro account e reti ma è fondamentale utilizzare password complesse, univoche per ogni account. Una password complessa è di almeno 15 caratteri (idealmente di più) ed è costituita da lettere maiuscole e minuscole, numeri e simboli. I programmi di gestione delle password costituiscono un archivio sicuro per password univoche, consentendo di tenerle al riparo dagli hacker.
Programmi di formazione sulla cybersecurity
Con la crescente diffusione del cybercrimine, le aziende dovrebbero formare il personale sui rischi associati agli attacchi informatici, nonché su come gestirli nel caso in cui si verifichino. Opportunamente formati sul panorama delle minacce informatiche, gli utenti saranno così in grado di riconoscere attività sospette come e-mail di phishing e così via.
Endpoint Detection and Response
Una soluzione EDR monitora il comportamento della rete e degli endpoint e archivia i log. Le tecnologie EDR possono fornire allo staff responsabile della sicurezza i dati necessari per comprendere la natura di un attacco informatico, fornendo avvisi automatizzati e correzioni per gli endpoint.
Di solito i cybercriminali non utilizzano una tecnica sola per eludere l'anti-virus. Anzi, il malware viene progettato per affrontare situazioni diverse in modo da massimizzare le possibilità di successo. La buona notizia è che la community della sicurezza è sempre all'erta e a conoscenza delle nuove tecniche di elusione anti-virus e malware e mette a punto nuove modalità di prevenzione.
Articoli correlati:
- Cos'è la protezione degli endpoint e come funziona?
- In che modo il malware penetra nei sistemi
- Social engineering
- Classificazione del malware
- Scelta di una soluzione anti-virus
Prodotti correlati: