Non-malware attack: perché fanno paura!

Se pensiamo a un attacco informatico, diamo quasi sempre per scontato che alla base vi sia l’infezione di un file, sia esso l’eseguibile di un’applicazione, una libreria di sistema, un documento specifico (XLSX, PDF, ecc.), un elemento quindi con una chiara e ben definita impronta digitale permanente. In realtà esistono malware in grado di infettare un sistema senza necessariamente sfruttare file intermediari, sono in gergo conosciuti come fileless malware e sono ben noti agli esperti di sicurezza informatica da oltre un ventennio. Non lasciando specifiche tracce da rilevare all’interno di un file, questo tipo di malware risulta particolarmente subdolo perché difficilmente scovabile dagli antivirus. In questo articolo, oltre ad esaminare alcune delle metodologie di rilevamento più all’avanguardia, vedremo anche quali sono i fileless malware più noti e come agiscono per portare a termine gli attacchi per cui sono stati programmati.

Come funzionano?

Un malware che non sfrutta i file si affida a ogni altra componente della macchina vulnerabile, o resa tale, per annidarsi e sferrare l’attacco: memoria, firmware (di dispositivi di storage, schede di rete…), BIOS, protocolli e finanche la CPU; una volta annidati, tali malware compiono quelle che tecnicamente sono chiamate operazioni di memory code injection, ovvero l’injection di codice malevolo nella memoria di una specifica applicazione o processo in esecuzione, senza quindi sfruttare nessun file e in modo del tutto trasparente all’utente. L’attacco iniziale avviene proponendo all’utente il download di software malevolo, inviando e-mail di phishing o link a pagine web infette. I malware sono tutti progettati per scaricare in memoria del PC codice infetto (payload) in grado di caricare da remoto script malevoli che generalmente dialogano con applicazioni sicure già installate nel proprio PC e che quindi vengono eseguiti a insaputa dell’utente durante la normale esecuzione di script legittimi (infiltrazione laterale). Tra le applicazioni più utilizzate dagli hacker si segnalano Microsoft PowerShell e Windows Management Instrumentation.

I fileless malware che conosciamo

Il 13 luglio del 2001 venne individuato il primo malware di tipo fileless, attaccava i computer con installato Internet Information Services di Microsoft mostrando sulla homepage dei siti gestiti da IIS la scritta “Welcome to http://www.worm.com ! Hacked by Chinese!”. L’infezione, avvenuta sfruttando un buffer overflow di IIS, si propagò fino a raggiungere ben 359mila server. Il malware venne scoperto da Marc Maiffret e Ryan Permeh, dipendenti in forza alla eEye Digital Security. Fu battezzato Code Red per via della bibita, la Mountain Dew Code Red, che i due stavano sorseggiando durante la scoperta. Negli anni successivi la stessa tecnica di attacco è stata impiegata per colpire altri sistemi, nel 2003 il worm SQL Slammer prese di mira Microsoft SQL Server per lanciare attacchi di tipo denial-of-service, nel 2013 il trojan Lurk seminò il panico tra le banche sottraendo diverso denaro. Anche il registro di configurazione di sistema di Windows viene spesso impiegato come tramite per sferrare attacchi di tipo fileless e passare inosservato ai controlli, è il caso del trojan Poweliks, scovato nel 2014. Il malware, divulgato come allegato di posta elettronica di tipo Microsoft Word, salva uno script malevolo codificato nel Registro di Windows (impiegando Microsoft Powershell). Il payload progettato dagli hacker consente di scaricare ed eseguire da remoto altro codice malevolo.
A metà del 2015, nel corso di una conferenza stampa tenutasi a Londra, Kaspersky Labs rivelò di essere stata attaccata da un malware denominato Duqu 2.0. Gli hacker avrebbero agito indisturbati per mesi sulle reti di Kaspersky; l’ipotesi è che stessero facendo un’operazione di ricognizione e ricerca, nella speranza di saperne di più sulle tecnologie di sicurezza messe inm atto dall’azienda. Anche Duqu 2.0 svolge i suoi attacchi malevoli quasi esclusivamente nella memoria della macchina attaccata. Nel 2016, Josh Grunzweig e Brandon Levene della Palo Alto Networks – multinazionale americana di sicurezza informatica con sede a Santa Clara, in California – documentarono l’escalation del malware PowerSniff; distribuito alle vittime tramite e-mail con allegato un documento Microsoft Word, l’attivazione della macro in esso contenuta scarica nel sistema uno script PowerShell in grado di decodificare ed eseguire ulteriori payload dannosi, tutto questo operando esclusivamente in memoria e salvando temporaneamente una DLL dannosa nel file system. Quasi contemporaneamente, Mike Sconzo e Rico Valdez ricercatori della Carbon Black individuarono il ransomware PowerWare operante, grosso modo, alla stessa maniera di PowerSniff. Negli ultimi anni i malware di tipo fileless si sono evoluti sfruttando nuove tecniche e diventando uno degli attacchi informatici più utilizzati dai cybercriminali.

I tool usati dai cybercriminali e come proteggersi

Così come esistono in circolazione applicazioni che consentono agli hacker di sviluppare agevolmente software malevoli, per i malintenzionati sono disponibili anche tool che permettono di sviluppare malware di tipo fileless. Tra i toolkit più impiegati dai cybercriminali: PowerSploit, PowerShell Empire e Cobalt Strike, nato come software di cyber security e diventato uno dei tool preferiti dai cyber criminali per sferrare attacchi malevoli. La protezione da malware di tipo fileless non può passare dai soli software antivirus, che cercano “impronte” del virus nei file, sono necessarie applicazioni in grado di agire a più ampio raggio, per tale motivo nel tempo sono state introdotte specifiche tecniche, ad esempio basate sulla firma dei file eseguibili del sistema operativo. A tale metodologia – soprattutto in ambito aziendale – si affiancano sistemi di endpoint protection e di monitoraggio in tempo reale del traffico di rete.