I dati relativi alle analisi da noi effettuate nei primi mesi del 2017 hanno confermato i trend relativi alle nuove evoluzioni delle minacce APT (Advanced Persistent Threat), ovvero quel tipo di attacchi avanzati, storicamente legati ad azioni sponsorizzate da governi, ma che sempre più spesso vengono utilizzate anche da cyber criminali che attaccano spinti da interessi economici.

In particolare durante il 2015 ed il 2016 sono state identificate diverse azioni ai danni d’istituti finanziari, vere e proprie rapine portate a segno attraverso attacchi APT aventi come obiettivo il furto di denaro tramite la compromissione della intranet aziendale e la modifica del normale comportamento dei sistemi informatici per la gestione delle transazioni quali, ad esempio, i server dedicati alla gestione del circuito SWIFT. Attualmente stiamo monitorando più di 100 gruppi criminali specializzati in attacchi avanzati ed i dati in nostro possesso mostrano che le loro attività sono in costante aumento, gli attacchi sono sempre più specializzati e che gli aggressori continuano a migliorare costantemente i loro strumenti e le loro TTP (tattiche, tecniche e procedure). Per un criminale, uno degli obiettivi più importanti è il non farsi trovare, rimanere nascosto e talvolta complicare le analisi portando gli investigatori su false piste. Le ultime evoluzioni confermano l’importanza di questi obiettivi e mostrano come i cyber criminali tentino di raggiungerli attraverso l’utilizzo di sistemi anti analisi forense e l’utilizzo di tecniche di depistaggio.

Risulta sempre più frequente l’utilizzo di malware residenti in memoria, ovvero minacce informatiche che non utilizzano file presenti sul “file system”, ma riescono a svolgere le loro attività lavorando nella sola RAM, aggirando molti sistemi di controllo. Inoltre la realizzazione di questi strumenti non necessità lunghe e costose attività di sviluppo in quanto, al giorno d’oggi, gli attaccanti possono sfruttare diversi framework pubblici, progettati per attività di “penetration testing” ed utilizzati solitamente per migliorare la sicurezza delle aziende. Alcuni di questi strumenti sono, ad esempio, Metasploit, Nishang, Powercat, Powersploit, etc. Alcuni di questi sono open-source, pubblici, altri sono software proprietari, ma hanno in comune la capacità di fornire, in pochi minuti, script in grado di mantenere il controllo di un sistema infetto, acquisire informazioni ed effettuare movimenti laterali.

Nonostante questa nuova tendenza presenti alcuni limiti, quali una maggior difficoltà nel mantenere la persistenza senza l’ausilio di una connessione remota, l’utilizzo degli strumenti sopracitati porta anche diversi vantaggi.

L’analisi forense tradizionale, basata sull’analisi del“file system”, risulta molto più complessa data l’assenza di artefatti; l’evasione dagli strumenti di sicurezza quali gli anti-virus è più semplice e gli approcci di identificazione basati sull’utilizzo di IOC (indicatori di compromissione) tradizionali quali gli hash dei file, o basati su “application whitelisting”, risultano molto meno efficaci. Inoltre gli attaccanti, spesso, utilizzano minacce “monouso” che vengono personalizzate in base alla vittima e che quindi non forniscono dati utilizzabili per identificare altri attacchi.

Inoltre l’uso di strumenti pubblici rende molto più difficile l’identificazione dell’attaccante. L’attribuzione degli attacchi è uno dei compiti più complessi in quanto i criminali hanno tutti gli interessi a nascondere la propria identità e spendono molte energie per raggiungere questo obiettivo. Spesso gli autori di queste azioni sono spinti da motivazioni politiche, gli attacchi avanzati hanno un ruolo sempre più importante nelle relazioni internazionali e quindi gli attaccanti hanno ancora maggior interesse a fuorviare gli analisti. Il depistaggio viene attuato fornendo false informazioni per confondere le acque, vengono inseriti, all’interno dei codici malevoli, degli indizi sbagliati, dei “False Flag” che portano ad attribuire gli attacchi a soggetti terzi ed allontanare i sospetti dai reali autori.

L’evoluzione delle minacce porta gli addetti ai lavori della security davanti a nuove sfide sempre più complesse che per essere affrontate necessitano di tecnologie di difesa sempre più avanzate, di personale esperto e di collaborazione. Per affrontare questo tipo di minacce sarà sempre più importante il ruolo delle attività di “Incident Response” e della loro pianificazione. L’estrema volatilità delle informazioni presenti sulla memoria RAM necessità di tempi di intervento ancora più rapidi e di personale formato per gestire non solo analisi “tradizionali”, ma anche analisi su memoria volatile.

Risulta fondamentale anche l’utilizzo di nuovi sistemi di sicurezza in grado di analizzare i dati presenti sulla RAM e di effettuare azioni di “pattern matching” con strumenti quali, ad esempio, Yara. Di particolare importanza anche l’utilizzo di soluzioni in grado di identificare anomalie non ancora note, comportamenti sospetti attraverso l’analisi comportamentale dei file e dei processi.

Infine, last but not least, lo scambio di informazioni e l’utilizzo di dati di intelligence è uno degli aspetti chiave per affrontare gli attacchi avanzati. I criminali cercheranno di migliorare sempre più le loro TTP, lasceranno sempre meno artefatti, evidenze e pertanto la condivisione dei dati e delle conoscenze con governi, forze dell’ordine e organizzazioni private e l’utilizzo di dati di intelligence avrà un ruolo fondamentale nella difesa dei sistemi informatici.

Giampaolo Dedola ( Security Researcher – GReAT – Kaspersky Lab )

Giampaolo Dedola

Twitter
Visit Us
LinkedIn
Share
YOUTUBE