Autopropagazione, il crimeware, c’è poco da star tranquilli e…
In questa seconda parte dedicata alle infezioni di codice malevolo, dedichiamo maggiore attenzione a famosi virus che si diffondono in autonomia, per essere più chiari: “codice malevolo non necesariamente eseguito da parte dell’utente”, negli ultimi anni sempre più diffusi, raffinati e letali!
Motori di ricerca
“Bot” deriva dalla parola “robot” ed è un processo automatizzato che interagisce con altri servizi di rete. I robot spesso automatizzano le attività e forniscono informazioni o servizi che sarebbero altrimenti condotti da un essere umano. Un uso tipico dei robot è la raccolta di informazioni, come i crawler Web, o l’interazione automatica con Instant Messaging (IM), Internet Relay Chat (IRC) o altre interfacce Web. Possono anche essere utilizzati per interagire in modo dinamico con i siti Web.
I robot possono essere utilizzati per scopi buoni o dannosi. Un bot dannoso è un malware auto-propagante progettato per infettare un host e riconnettersi a un server centrale o server che fungono da centro di comando e controllo (C&C) per un’intera rete di dispositivi compromessi o “botnet”. Con una botnet, gli aggressori possono lanciare attacchi di tipo “flooding” su larga scala contro i loro bersagli.
Autopropagazione
Oltre alla capacità simile a un worm di auto-propagarsi, i robot possono includere la possibilità di registrare sequenze di tasti, raccogliere password, acquisire e analizzare pacchetti, raccogliere informazioni finanziarie, lanciare attacchi Denial of Service (DOS), inoltrare spam e aprire backdoor su l’host infetto. I robot hanno tutti i vantaggi dei worm, ma sono generalmente molto più versatili nel loro vettore di infezione e sono spesso modificati entro poche ore dalla pubblicazione di un nuovo exploit. Sono noti per sfruttare backdoor aperte da worm e virus, che consente loro di accedere a reti che hanno un buon controllo perimetrale. I robot raramente annunciano la loro presenza con elevate velocità di scansione che danneggiano l’infrastruttura di rete; invece, infettano le reti in un modo che sfugge alla comunicazione immediata.
Le botnet avanzate possono sfruttare i comuni dispositivi Internet of Things (IOT) come l’elettronica di casa o gli elettrodomestici per aumentare gli attacchi automatici. Il mining di criptovalute è un uso comune di questi bot per scopi nefasti.
Canali di distribuzione per malware
Il malware arriva in genere a un computer o una rete:
Download drive-by: download non intenzionale di software da Internet
E-mail indesiderata: allegati indesiderati o collegamenti incorporati nella posta elettronica
Supporti fisici: supporti integrati o rimovibili come unità USB
Propagazione automatica: capacità del malware di spostarsi da un computer all’altro o da una rete all’altra, diffondendosi così da solo
Per un elenco completo delle tattiche malware dall’accesso iniziale al comando e al controllo, consultare MITRE Tattiche, tecniche e conoscenze comuni di MITER.
Advanced Persistent Threats (APT)
Un insieme di processi di pirateria informatica furtivi e continui, spesso orchestrati da una o più persone che prendono di mira un’entità specifica. Un APT di solito prende di mira organizzazioni private, stati o entrambi per motivi commerciali o politici. I processi APT richiedono un alto grado di copertura per un lungo periodo di tempo. Il processo “avanzato” indica tecniche sofisticate che utilizzano malware per sfruttare le vulnerabilità nei sistemi. Il processo “persistente” suggerisce che un sistema esterno di comando e controllo sta monitorando ed estraendo continuamente dati da un obiettivo specifico. Il processo di “minaccia” indica il coinvolgimento umano nell’orchestrazione dell’attacco.
Adware
Software che genera entrate per il suo sviluppatore generando automaticamente annunci pubblicitari online nell’interfaccia utente del software o su una schermata presentata all’utente durante il processo di installazione. Il software può generare due tipi di entrate: una è per la visualizzazione dell’annuncio e l’altra su una base “pay-per-click” se l’utente fa clic sull’annuncio.
Uno strumento potente e raffinato backdoor (la porta dietro)
Un modo non documentato per accedere a un sistema, bypassando i normali meccanismi di autenticazione. Alcune backdoor vengono inserite nel software dal programmatore originale e altre vengono inserite nei sistemi attraverso un compromesso del sistema, come un virus o un worm. Di solito, gli attaccanti usano backdoor per un accesso più facile e continuo a un sistema dopo che è stato compromesso.
Bootkit
Una variante di malware che modifica i settori di avvio di un disco rigido, inclusi Master Boot Record (MBR) e Volume Boot Record (VBR). Gli avversari possono usare bootkit per persistere su sistemi a un livello inferiore al sistema operativo, il che può rendere difficile eseguire la riparazione completa a meno che un’organizzazione sospetti che ne sia stato utilizzato uno e possa agire di conseguenza.
Browser Hijacker
Software che modifica le impostazioni di un browser Web senza l’autorizzazione dell’utente a iniettare pubblicità indesiderata nel browser dell’utente. Un browser hijacker può sostituire la home page, la pagina di errore o il motore di ricerca esistenti con i propri. Questi sono generalmente utilizzati per forzare hit su un determinato sito Web, aumentando le sue entrate pubblicitarie. Questo software si presenta spesso sotto forma di una barra degli strumenti del browser e viene ricevuto tramite un allegato e-mail o il download di file.
Crimeware
Una classe di malware progettata specificamente per automatizzare il crimine informatico. Il crimine (distinto da spyware e adware) è progettato per perpetrare il furto di identità attraverso l’ingegneria sociale o la furtività tecnica al fine di accedere agli account finanziari e al dettaglio di un utente di computer allo scopo di prelevare fondi da tali account o completare transazioni non autorizzate che arricchiscono il ladro informatico. In alternativa, il crimeware può rubare informazioni aziendali riservate o sensibili.
Attacchi Denial of Service (DOS)
Tentativi dannosi da parte di una o più persone di indurre la vittima, il sito o il nodo a negare il servizio ai propri clienti.
File eseguibile
Un file di computer che contiene una sequenza di istruzioni per eseguire un’attività automatica quando l’utente fa clic sull’icona del file o quando viene avviato tramite un comando.
Exploit
Un software, un comando o una metodologia che attacca una particolare vulnerabilità di sicurezza. Gli exploit non sono sempre dannosi nelle intenzioni: a volte vengono utilizzati solo come modo per dimostrare l’esistenza di una vulnerabilità. Tuttavia, sono un componente comune del malware.
Messaggistica istantanea
Applicazioni per la comunicazione personale o aziendale basate sul concetto di rilevamento della presenza online per determinare quando un’entità può comunicare. Queste applicazioni consentono la collaborazione tramite chat di testo, audio, video o trasferimento di file.
Chat di inoltro Internet
Un sistema di chat che coinvolge un insieme di regole e convenzioni e software client / server.
Keylogger
L’azione di registrare (registrare) i tasti premuti su una tastiera, in genere di nascosto, in modo che la persona che utilizza la tastiera non sia a conoscenza del fatto che le loro azioni vengono monitorate. I dati possono quindi essere recuperati dalla persona che gestisce il programma di registrazione. Un keylogger può essere software o hardware.
Malicious Crypto Miners
Software che utilizza risorse di sistema per risolvere calcoli matematici di grandi dimensioni che comportano l’assegnazione di una certa quantità di criptovaluta ai solutori. Esistono due modi in cui è possibile eseguire il mining: con un minatore autonomo o sfruttando i pool di mining. Il software di mining si basa sia sulle risorse della CPU che sull’elettricità. Una volta che un sistema ha lasciato cadere un minatore e inizia l’estrazione, non è necessario altro dal punto di vista avversario. Il minatore genera entrate costantemente fino a quando non viene rimosso.
Malicious Mobile Code
Software con intenzioni dannose che viene trasmesso da un host remoto a un host locale e quindi eseguito sull’host locale, in genere senza le istruzioni esplicite dell’utente. Le lingue popolari per il codice mobile dannoso includono Java, ActiveX, JavaScript e VBScript.
Payload
La parte della trasmissione di dati che potrebbe contenere anche malware come worm o virus che eseguono azioni dannose: eliminazione di dati, invio di spam o crittografia dei dati. Mentre le intestazioni dei pacchetti indicano l’origine e la destinazione, i dati dei pacchetti effettivi vengono definiti “payload”.
Point of Sale (POS) Malware
Un tipo di software dannoso che viene utilizzato dai criminali informatici per colpire terminali POS (punti vendita) con l’intento di ottenere informazioni sulla carta di credito e di debito leggendo la memoria del dispositivo dal sistema di punti vendita al dettaglio. Il malware POS viene rilasciato dagli hacker per elaborare e rubare i dati di pagamento delle transazioni. Le informazioni sulla carta, che di solito sono crittografate e inviate all’autorizzazione di pagamento, non sono crittografate dal malware POS ma inviate al criminale informatico.
Programmi o applicazioni potenzialmente indesiderati
Software che un utente può percepire come indesiderato. Ciò può includere adware, spyware o dirottatori del browser. Tale software può utilizzare un’implementazione che può compromettere la privacy o indebolire la sicurezza del computer. Le aziende spesso raggruppano il download di un programma desiderato con un’applicazione wrapper e possono offrire di installare un’applicazione indesiderata, in alcuni casi senza fornire un chiaro metodo di opt-out.
Rootkit
Programmi che nascondono l’esistenza di malware intercettando (ovvero “Hooking”) e modificando le chiamate API del sistema operativo che forniscono informazioni di sistema. I rootkit o le funzionalità di abilitazione rootkit possono risiedere a livello di utente o kernel nel sistema operativo o inferiore per includere un hypervisor, un record di avvio principale o il firmware di sistema. Gli avversari possono usare i rootkit per nascondere la presenza di programmi, file, connessioni di rete, servizi, driver e altri componenti di sistema. I rootkit sono stati visti per i sistemi Windows, Linux e Mac OS X.
Social Engineering
Ogni volta che la fiducia percepita viene utilizzata per ottenere informazioni da gruppi o individui, viene definita “ingegneria sociale”. Esempi includono persone che chiamano o inviano un’e-mail a un’azienda per ottenere accesso non autorizzato a sistemi o informazioni.
Spyware
Software che mira a raccogliere informazioni su una persona o organizzazione a loro insaputa, che può inviare tali informazioni a un’altra entità senza il consenso del consumatore o che afferma il controllo su un dispositivo a sua insaputa.
Web Crawler
Programmi che navigano sistematicamente in Internet e indicizzano i dati, inclusi contenuti della pagina e collegamenti. Questi crawler Web aiutano a convalidare il codice HTML e le query del motore di ricerca per identificare nuove pagine Web o collegamenti non funzionanti.
Wipers
Un tipo di malware distruttivo che contiene un meccanismo di cancellazione del disco come la possibilità di infettare il record di avvio principale con un payload che crittografa la tabella dei file interni. I tergicristalli rendono il processo o il componente attaccato inutili per l’utente finale.
Risorse utili dove puoi approfondire la tua conoscenza di sicurezza informatica:
http://www.sans.org/resources/glossary.php
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-83r1.pdf