{"id":32928,"date":"2018-07-03T17:52:17","date_gmt":"2018-07-03T15:52:17","guid":{"rendered":"http:\/\/www.area-press.eu\/comunicatistampa\/?p=32928"},"modified":"2018-07-03T17:52:17","modified_gmt":"2018-07-03T15:52:17","slug":"per-raggiungere-il-nostro-obiettivo-non-ci-servono-file-ecco-rozena-il-malware-fileless","status":"publish","type":"post","link":"https:\/\/www.area-press.eu\/comunicatistampa\/2018\/07\/03\/per-raggiungere-il-nostro-obiettivo-non-ci-servono-file-ecco-rozena-il-malware-fileless\/","title":{"rendered":"Per raggiungere il nostro obiettivo non ci servono file: ecco Rozena, il malware \u201cfileless\u201d"},"content":{"rendered":"

\"\"<\/a>Un nuovo approccio per una vecchia tecnica <\/em><\/p>\n

Bochum (Germania), 3 luglio 2018<\/p>\n

I malware privi di file fanno leva su vulnerabilit\u00e0 per avviare comandi malevoli o lanciare script direttamente dalla memoria utilizzando strumenti di sistema legittimi come Windows PowerShell. Code Red e SQL Slammer sono stati pionieri dei malware \u201cfileless\u201d, il cui utilizzo risale all\u2019inizio del 2000. Un approccio che sta nuovamente prendendo piede.<\/strong><\/p>\n

\"\"<\/a><\/p>\n

Nella prima met\u00e0 dell\u2019anno il termine attacco \u201cfileless\u201d \u00e8 stato sulla bocca di tutti all\u2019interno della comunit\u00e0 di Cyber Security. \u00c8 una tecnica di attacco nota da quasi vent\u2019anni, che non prevede lo scaricamento o il deposito di file malevoli sul disco fisso per eseguire comandi o script illeciti, bens\u00ec li lancia direttamente dalla memoria sfruttando strumenti legittimi.<\/p>\n

Tuttavia, oggi \u00e8 necessario differenziare: il termine \u201cfileless\u201d pu\u00f2 essere una denominazione impropria se pensiamo che ci sono attacchi che possono coinvolgere la presenza di file nel computer, come un allegato di una mail di spam. Una volta eseguito, il malware potrebbe comunque salvare un file nel disco e successivamente usare la tecnica \u201cfileless\u201d per raccogliere informazioni sul sistema e diffondere l\u2019infezione attraverso la rete tramite exploit o iniezioni di codice che lanciano comandi illeciti \u00a0direttamente dalla memoria tramite strumenti di sistema legittimi. Nel solo 2017, il 13% dei malware che abbiamo registrato si avvaleva di PowerShell per compromettere i sistemi.<\/p>\n

Da quando PowerShell e Windows Management Instrumentation sono stati integrati come strumenti del sistema operativo Windows, se ne abusa largamente per attivit\u00e0 fraudolente. Un noto malware che utilizza PowerShell per scaricare ed eseguire codici malevoli \u00e8 il downloader Emotet.<\/p>\n

Rozena<\/strong><\/h3>\n

Ci sono anche vecchi malware mutati in attacchi \u201cfileless\u201d. Questi malware hanno l\u2019obiettivo di essere pi\u00f9 efficienti nell\u2019infettare le macchine e di evitare di essere localizzati: un esempio \u00e8 Rozena.<\/p>\n

Rozena \u00e8 un malware che crea una backdoor in grado di stabilire una connessione shell remota con l\u2019autore. Una connessione andata a buon fine \u00e8 preoccupante in termini di sicurezza, sia per la macchina infetta, sia per gli altri comuputer collegati alla stessa rete.<\/p>\n

Visto per la prima volta nel 2015 Rozena ha fatto il suo ritorno nel marzo 2018. Il nuovo Rozena, come la sua versione precedente, mira ancora al sistema operativo Microsoft Windows, ma ci\u00f2 che fa la differenza \u00e8 il suo adattamento alla tecnica \u201cfileless\u201d e allo sfruttamento di script PowerShell per raggiungere il proprio obiettivo.<\/p>\n

Nello specifico, dato che una delle funzioni standard di Windows \u00e8 quella di non mostrare l\u2019estensione dei file, \u00e8 semplice per l\u2019autore del malware camuffarlo in modo da farlo apparire innocuo. Rozena ad esempio usa l\u2019icona di Microsoft Word ma \u00e8 in realt\u00e0 un eseguibile di Windows.\u00a0 Essere infettati con un malware che pu\u00f2 letteralmente fare quello che vuole con macchina compromessa, i documenti archiviativi e la rete a cui \u00e8 collegata \u00e8 terrificante, per il congruo numero di minacce che trovano accesso al sistema e per l\u2019alto potenziale dannoso (l\u2019analisi tecnica completa \u00e8 reperibile sul Blog di G DATA<\/a>). Ora che Rozena segue la via del \u201cfileless\u201d per insediarsi ed eseguire i propri codici, la sua attivit\u00e0 malevola si intensifica.<\/p>\n

Secondo un recente studio condotto da Barkly in collaborazione con l\u2019Istituto Ponemon, che ha visto coinvolti 665 responsabili IT, \u00e8 emerso che gli attacchi \u201cfileless\u201d sono 10 volte pi\u00f9 efficaci rispetto ai \u201cfile-based\u201d.<\/p>\n

Prevenzione<\/strong><\/h3>\n

Il malware si adatta con il cambiare del mondo, non stupisce quindi l\u2019uso di strumenti legittimi integrati per sferrare attacchi lasciando gli utenti indifesi. Fortunatamente per\u00f2 c\u2019\u00e8 ancora un modo per proteggersi da questi tipi di attacchi:<\/p>\n

    \n
  1. Mantenere i sistemi operativi e i programmi sempre aggiornati, inclusa l\u2019installazione delle patch di sicurezza. Questo perch\u00e9 \u00e8 noto come i sistemi pi\u00f9 datati abbiano molte vulnerabilit\u00e0 che possono essere sfruttate per attacchi informatici.<\/li>\n
  2. \u00c8 fortemente sconsigliato scaricare, salvare ed eseguire file di provenienza ignota. Gli autori di malware usano ancora i canali tradizionali per spingere gli utenti ad eseguire file malevoli. Se disabilitare gli strumenti di sistema, soprattutto PowerShell non \u00e8 un\u2019opzione, si pu\u00f2 configurare PowerShell in modo da prevenire l\u2019esecuzione di script sospetti.<\/li>\n
  3. Impostare la modalit\u00e0 Constrained Language di PowerShell \u2013 questo limiter\u00e0 le capacit\u00e0 di PowerShell, rimuovendo funzionalit\u00e0 avanzate come chiamate .Net e Windows Api, la maggior parte degli script PowerShell infatti si avvalgono di questi parametri e metodi.<\/li>\n
  4. Abbinare PowerShell con AppLocker \u2013 questo impedir\u00e0 l\u2019esecuzione di binari non autorizzati.<\/li>\n<\/ol>\n","protected":false},"excerpt":{"rendered":"

    Un nuovo approccio per una vecchia tecnica Bochum (Germania), 3 luglio 2018 I malware privi di file fanno leva su vulnerabilit\u00e0 per avviare comandi malevoli o lanciare script direttamente dalla memoria utilizzando strumenti di sistema legittimi come Windows PowerShell. Code Red e SQL Slammer sono stati pionieri dei malware \u201cfileless\u201d, il cui utilizzo risale all\u2019inizio […]<\/p>\n","protected":false},"author":5240,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[29,10],"tags":[20611,20612,3153,3455,20614,20613],"class_list":["post-32928","post","type-post","status-publish","format-standard","hentry","category-comunicati","category-informatica","tag-cybersicurezza","tag-fileless","tag-g-data","tag-malware","tag-powershell","tag-rozena"],"_links":{"self":[{"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/posts\/32928","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/users\/5240"}],"replies":[{"embeddable":true,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/comments?post=32928"}],"version-history":[{"count":2,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/posts\/32928\/revisions"}],"predecessor-version":[{"id":32930,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/posts\/32928\/revisions\/32930"}],"wp:attachment":[{"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/media?parent=32928"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/categories?post=32928"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.area-press.eu\/comunicatistampa\/wp-json\/wp\/v2\/tags?post=32928"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}