CHECK POINT SECURITY REPORT

Transcript

1 CHECK POINT SECURITY REPORT 2014

2 02 THREATS TO YOUR ORGANIZATION 02

3 Check point 2014 Security report 01 INTRODUZIONE E METODOLOGIA L ESPLOSIONE DEI MALWARE SCONOSCIUTI IL NEMICO CHE CONOSCI- Malware in azienda APP(ETITO) PER LA DISTRUZIONE Applicazioni ad alto rischio in azienda DATA LOSS PREVENTION Il grande ritorno L ARCHITETTURA DI SICUREZZA PER LE MINACCE DI DOMANI La Software-defined Protection PROFILO Check Point Software Technologies

4 02

5 01 INTRODUZIONE E METODOLOGIA 03

6 01 introduction and methodology 04

7 01 INTRODUZIONE E METODOLOGIA "ANALIZZANDO IL SISTEMA, VEDEVO L HACKER AGGIRARSI ALL INTERNO DELLA RETE MILITARE. UNO PER UNO HA TENTATO DI ACCEDERE A QUINDICI COMPUTER DELLE FORZE AEREE PRESSO LE BASI MILITARI DI EGLIN, KIRTLAND E BOLLING. NIENTE. SI CONNETTEVA AL COMPUTER, FACEVA UNO O DUE TENTATIVI PER PASSARE POI AL SISTEMA SUCCESSIVO. FINO A CHE NON HA CERCATO DI VIOLARE L AIR FORCE SYSTEMS COMMAND SPACE DIVISION. PRIMA HA PROVATO A ENTRARE NEL SOLO ACCOUNT DI SISTEMA CON LA PASSWORD MANAGER. NULLA. POI GUEST, CON LA PASSWORD GUEST. NESSUN RISULTATO. POI FIELD, PASSWORD SERVICE. [ ] SHAZAM: LA PORTA SI E SPALANCATA. SI E REGISTRATO COME FIELD SERVICE. NON COME UN SEMPLICE UTENTE. MA CON UN ACCOUNT PRIVILEGIATO. [ ] DA QUALCHE PARTE NELLA CALIFORNIA MERIDIONALE, A EL SEGUNDO, UN GRANDE COMPUTER VAX VENIVA VIOLATO DA UN HACKER DALL ALTRA PARTE DEL MONDO." Clifford Stoll, The Cuckoo s Egg 1 Oltre venticinque anni fa, un amministratore UNIX ha seguito la traccia di un errore di fatturazione del valore di 75 cent fino ad arrivare a un gruppo di spie dell Est che stava tentando di trafugare segreti dal governo e dalle forze armate statunitensi. Il racconto di come segue il percorso dagli allarmi iniziali fino alla scoperta della violazione su larga scala e la sua battaglia contro i malviventi è narrato nel libro The Cuckoo s Egg ed è tutt oggi un modello delle sfide legate alla cyber difesa. Le tecnologie coinvolte, i mezzi di connessione e i metodi di intrusione si sono evoluti in maniera significativa dalla fine degli anni 80, tuttavia l identificazione dei sistemi compromessi, la risposta agli incidenti e la protezione di sistemi e dati da attacchi futuri continuano a rappresentare le sfide principali che le organizzazioni di tutto il mondo devono affrontare, indipendentemente dalle dimensioni e dal mercato in cui operano. 05

8 01 introduction introduzione e and metodologia methodology Nel 2013, l information security si è guadagnata massima visibilità presso il pubblico, guidata dall alto profilo dei data breach registrati. Il furto e la pubblicazione di informazioni di intelligence statunitensi ha dominato le prime pagine per gran parte dell anno e ha scosso le relazioni diplomatiche tra i paesi di tutto il mondo. Breach su larga scala di dati di carte di credito sono esplosi e hanno rovinato le ferie di molti retailer e utenti finali. Cyber warfare e hacktivism hanno ridisegnato la natura dei conflitti tra individui e nazioni, anche grazie al trend Internet of Things che ha portato in rete molti aspetti della vita di tutti i giorni e li ha resi vulnerabili. All interno della comunità della security un esplosione di malware sconosciuti non solo nuove minacce ma nuove modalità di creare e implementare minacce non individuabili su grande sala ha fatto emergere la questione sulla validità di strategie e tecnologie esistenti. Anche forme di malware più note si sono rivelate estremamente resistenti alle difese in essere, mentre mobilità, consumerizzazione e shadow IT hanno aumentato in modo significativo la complessità della sfida. 5 DOMANDE CHE OGNI AZIENDA DEVE PORSI 1. COME HA INFLUITO SULL ORGANIZZAZIONE L ATTUALE SCENARIO DELLA SICUREZZA? 2. QUALI MINACCE AVETE AFFRONTATO E QUALI RISCHI EMERGENTI VI PREOCCUPANO DI PIU? 3. RITENETE DI AVERE LA GIUSTA STRATEGIA E GLI STRUMENTI ADEGUATI PER AFFRONTARE LA SFIDA O VI SENTITE IMPOTENTI DI FRONTE ALLE CONTINUE ONDATE DI EVENTI NEGATIVI? 4. QUALI NUOVE MISURE ADOTTERETE nel prossimo ANNO? 5. COME PENSATE DI AIUTARE LA VOSTRA ORGANIZZAZIONE A RAFFORZARE LE DIFESE? Il team di ricercatori Check Point ha analizzato un anno di dati di oltre organizzazioni per identificare i trend critici relativi a malware e information security del 2013 che le aziende dovranno affrontare nel 2014 e oltre. Il Check Point 2014 Security Report presenta i risultati di questa ricerca. Questa dettagliata analisi delle minacce e dei trend della sicurezza nel 2013 aiuterà i responsabili della sicurezza e i manager a comprendere la gamma di rischi a cui le loro aziende sono sottoposte. I Trend del Malware Viruses Viruses Worms Adwares & Spywares DDoS APTs Ransomware Hacktivism Next Gen APTs (Mass APT Tools) Utilizing Web Infrastructures (DNS) State Sponsored Industrial Espionage

9 01 introduction 01 introduzione and methodology e metodologia UN GIORNO QUALSIASI IN UN AZIENDA Ogni minuto un host accede a un sito malevolo Ogni 3minuti un bot comunica con il suo command and control center Ogni 9minuti viene utilizzata un applicazione ad alto rischio Ogni 10 minuti viene scaricato un malware noto 24 H 49 mins 27 mins 10 mins 9 mins 3 mins 1 min Ogni 27minuti viene scaricato un malware sconosciuto Ogni 49minuti dati sensibili vengono inviati al di fuori dell organizzazione Ogni 24ore un host viene infettato da un bot Grafico 1-1 Fonte: Check Point Software Technologies 07

10 IL PANORAMA COMPLETO DELLE MINACCE Utenti, dati e sistemi dell ambiente IT Obiettivi di businesss Malware panorama delle minacce COMPRENDERE LA SICUREZZA Il report comprende inoltre suggerimenti sul modo in cui difendersi da queste e minacce future. I punti salienti della ricerca: L utilizzo di malware sconosciuto è esploso a seguito del trend noto come malware mass customization 4 in media 2,2 malware sconosciuti (mai visti prima) colpiscono le aziende ogni ora. L esposizione a malware e le infezioni sono saliti complessivamente e riflettono il crescente successo di campagne malware mirate nel 2013 il 73% delle organizzazioni ha identificato almeno un bot rispetto al 63% del Ogni categoria di applicazioni ad alto rischio ha incrementato la sua presenza nelle aziende globali per esempio il 63% delle organizzazioni ha registrato l uso di BitTorrent rispetto al 40% del Gli incidenti di data loss sono aumentati per mercati e tipologie di dati l 88% delle imprese ha sperimentato almeno un potenziale incidente di data loss rispetto al 54% del Le fonti di dati per questo report Il Check Point 2014 Security Report si basa su una ricerca e un analisi collaborativa degli eventi di sicurezza raccolti dai report sulle minacce dei security gateway Check Point (Security Checkup) 5, i sensori Check PointThreat Emulation 6, Check Point ThreatCloud 7, e i report Check Point Endpoint Security 8 Una meta-analisi degli eventi di sicurezza di rete presso 996 aziende è stata condotta avvalendosi di dati raccolti dalle attività Check Point Security Checkup che hanno scansito in tempo reale il traffico di rete in ingresso e in uscita. Questo traffico è stato valutato dalla tecnologia Check Point Software Blades 9 per identificare una vasta gamma di applicazioni ad alto rischio, tentativi di intrusione, virus, bot, perdita di dati sensibili e altre minacce alla sicurezza. Il traffico di rete è stato monitorato in tempo reale tramite l implementazione della modalità Check Point Security Gateway 10 inline or in monitor (tap). 08

11 01 introduction 01 introduzione and methodology e metodologia In media è stato il monitorato il traffico di ogni azienda per 216 ore. Le imprese coinvolte abbracciano diversi settori industriali in differenti aree geografiche, vedi Grafico 1-2. Americhe EMEA* Geografie APAC** Inoltre, sono stati analizzati gli eventi di security gateway utilizzando dati generati da Check PointThreatCloud, un enorme database aggiornato in tempo e popolato con i dati raccolti da una vasta gamma di sensori globali situati in modo strategico in tutto il mondo. ThreatCloud colleziona informazioni su attacchi malware e minacce e consente l identificazione di trend e rischi di sicurezza, dando luogo a una rete collaborativa per combattere il cyber crime. Per la nostra ricerca, i dati ThreatCloud raccolti nel corso del 2013 sono stati consolidati e analizzati. I dati relativi alle minacce per malware sconosciuti sono stati raccolti dai sensori Check Point Threat Emulation nel periodo giugno-dicembre Check Point Threat Emulation agisce come sandboxing cloud-based e l analisi dinamica di file sospetti viene identificata dai gateway Check Point. I dati di Threat Emulation anonimizzati da 848 security gateway sono stati integrati in ThreatCloud per l aggregazione, correlazione e analisi avanzata. Infine, è stata condotta una meta-analisi di Endpoint Security report in diverse aziende. Queste analisi ha effettuato la scansione di ogni host per validare il rischio di data loss, intrusione e malware. La valutazione è stata effettuata con lo strumento di reporting di Check Point Endpoint Security che verifica se la soluzione antivirus è attiva sull host, se è aggiornata, se il software era della versione più recente, ecc. Questo strumento è gratuito e disponibile al pubblico e può essere scaricato dal sito Check Point. 24% 47% 29% 12% 1% Consulenza 4% Telco Pubblica Amministrazione Finanza 15% Altro 22% * EMEA Europa, Medio Oriente e Africa ** APAC Asia Pacific e Giappone. Mercati 46% Fonte: Check Point Software Technologies Industria Grafico 1-2 Security Report è corredata da esempi di incidenti che illustrano la natura delle minacce odierne, il loro impatto sulle imprese colpite e le loro implicazioni per la comunità della sicurezza. I suggerimenti degli esperti forniscono indicazioni per garantire che le strategie e le soluzioni di sicurezza in essere siano rilevanti ed efficaci per gli attuali rischi. Il report è diviso in capitoli dedicati al malware sconosciuto, al malware noto, alle applicazioni ad alto rischio e alla data loss. La maggior parte dei dati del Check Point

12 02 The Explosion of Unknown Malware 10

13 2014 CHECK POINT ANNUAL SECURITY REPORT 02 L ESPLOSIONE DEI MALWARE SCONOSCIUTI 11

14 12

15 02 L ESPLOSIONE DEI MALWARE SCONOSCIUTI La minaccia dei malware sconosciuti Le tradizionali tecnologie di sicurezza, quali antivirus e sistemi di prevenzione delle intrusioni, sono molto efficaci nel rilevare i tentativi di sfruttamento di vulnerabilità software e di configurazione noti e in alcuni casi possono prevenire anche exploit sconosciuti. Gli hacker lo sanno bene e si possono quindi permettere il lusso di testare i loro nuovi malware o exploit su queste tecnologie e verificarne il grado di rilevabilità. La guerra tecnologica tra fornitori di sicurezza e pirati informatici ha portato ad una rapida evoluzione nelle tecniche utilizzate dagli hacker che tentano di sfruttare sia vulnerabilità sconosciute (note anche come zero-day exploit perché occorrono ore o giorni per rilevarle e fornire le adeguate protezioni) sia altri metodi di infezione ignoti al fine di aggirare le difese. CIÒ CHE È NOTO È finito, CIÒ CHE È IGNOTO È infinito. Thomas Henry Huxley 11 Alla fine del 2013, i ricercatori di Check Point, in collaborazione con il nostro servizio di Threat Emulation, hanno scoperto e analizzato una nuova variante di malware che impiega una sofisticata combinazione di tecniche per eludere i proxy e le soluzioni antimalware. Denominata HIMAN 12 dai ricercatori del settore, questa minaccia racchiude le caratteristiche degli attacchi mirati che stanno sfidando aziende e professionisti della sicurezza IT in tutto il mondo. Un Security Gateway utilizzato da un cliente di Check Point abbonato al servizio Threat Emulation, ha effettuato la scansione di un documento Microsoft Word allegato ad una proveniente dall indirizzo 83,000, % L'AUMENTO DEL NUOVO MALWARE DAL 2012 AL ,000, ,500, ,000, ,000, Fonte: AV-Test.org Grafico

16 2.2 MALWARE SCONOSCIUTI ATTACCANO LE AZIENDE OGNI ORA con oggetto Invito al ricevimento. Quando il documento è stato aperto in ambiente sandbox ha sfruttato una nota vulnerabilità (CVE ) al fine di installare un file denominato kav.exe nella cartella Impostazioni locali\temp del computer preso di mira. Il nome del file assomiglia all eseguibile dell antivirus 13 di Kaspersky, e il malware stesso sembra correlato a precedenti campagne di malware che i ricercatori attribuiscono ad uno o più gruppi di APT (Advanced Persistent Threat) cinesi. L analisi rivelerà che il file è un dropper a due fasi che si auto-rinomina quando è in procinto di installarsi sul sistema di destinazione e poi aggancia il processo explorer.exe per caricare un DLL malevolo. I ricercatori Check Point hanno condotto un indagine sulle banche dati di malware noti e hanno scoperto che nessun vendor di antivirus era in grado di rilevare questa minaccia nel momento in cui è stata individuata. Il malware ha iniettato una library malevola (mswins64. dll) utilizzando una serie di chiamate Windows e l esclusione reciproca, assicurandosi di installare il malware nel sistema client in maniera tale da evitare l individuazione da parte delle soluzioni anti-malware esistenti. Una volta installato, il malware scriveva una voce nel Registro di sistema utilizzando un percorso diverso da quelli comunemente utilizzati da processi malware che sono quindi più attentamente monitorati dai software preposti. Questa combinazione di chiamate API (Application Programming Interface) e percorsi di registro meno diffusi consente al malware di aumentare le sue possibilità di eludere il rilevamento. HIMAN dimostra come gli autori dei malware stiano sfruttando la propria esperienza nelle chiamate API di Windows, il comportamento del sistema operativo e il funzionamento di strumenti anti-malware per evitare il rilevamento, senza dover affrontare spese per lo sviluppo o l acquisto di vere e proprie vulnerabilità zero-day. Questa sofisticazione si estende alle comunicazioni command and control (C&C) e ai processi di exfiltration: HIMAN può forzare i proxy in uscita utilizzando le credenziali archiviate, crittografare i dati raccolti utilizzando AES 14, e impiegare tecniche di offuscamento durante l exfiltration per eludere il filtering in uscita. Una volta installato correttamente, e dopo aver stabilito una connessione verificata a un server C&C funzionante, HIMAN compone ed esegue dinamicamente uno script che raccoglie dati sui servizi in esecuzione, sugli account locali con diritti di Administrator e altre informazioni sulla configurazione del sistema e sulla rete locale visibili alla macchina infetta. Provvisto di queste informazioni, l utente malintenzionato possiede una mappa completa della rete locale, nonché un trampolino di lancio per penetrare ulteriormente nell azienda presa di mira ed effettuare ulteriori ricognizioni, movimenti laterali, esfiltrazione ed esecuzione di attacchi su server, sistemi e processi aziendali. Utilizzando una combinazione di tecniche note e MENO DEL 10% DEI MOTORI ANTIVIRUS HA RILEVATO MALWARE SCONOSCIUTI ALLA LORO PRIMA APPARIZIONE 14

17 02 The Explosion of Unknown Malware 02 l'esplosione dei MALWARE sconosciuti CREARE SCONOSCIUTI È COSÌ FACILE CHE POTREBBE FARLO ANCHE UN BAMBINO sconosciute per trovare un appiglio nella rete aziendale e trafugare informazioni sensibili, il malware HIMAN mette in evidenza sia la flessibilità di autori e pirati, sia le sfide che i professionisti della sicurezza hanno dovuto affrontare nel Come siamo arrivati fin qui? L evoluzione del malware sconosciuto Per diversi anni, i pericoli di attacchi mirati e di minacce avanzate persistenti (APT) hanno catalizzato gran parte dell attenzione nel mondo della sicurezza IT. Le APT irrompono sulla scena nel 2010 con gli attacchi mirati Stuxnet 15, in cui un malware appositamente sviluppato e altamente specializzato ha destabilizzato il sistema di controllo di una centrifuga nucleare iraniana come parte di un attacco cinetico e cyber combinato sponsorizzato da uno stato. 33% DELLE Questa nuova generazione di malware ha messo alla prova molte delle difese tradizionali in tre modi principali. In primo luogo, Stuxnet era particolarmente mirato poiché studiato e progettato per un sistema specifico, in un ambiente specifico, e con obiettivi specifici in mente. In secondo luogo era decisamente raro, il che vuol dire che non era mai stato esposto alle reti di raccolta e analisi che i produttori di antivirus avevano sviluppato per tenere il passo con virus e bot mass market che hanno caratterizzato il panorama del malware per un decennio. In questo contesto ha potuto quindi agire indisturbato e inosservato per un periodo imprecisato, forse per anni. Infine, Stuxnet era nettamente differente dall approccio di alto profilo point-scoring che ha caratterizzato i virus e la maggior parte dei worm quali Code Red 16 e Sasser 17, che sono venuti dopo. Per questi motivi, era chiaro che chiunque si celasse dietro a Stuxnet sarebbe stato persistente. In breve, Stuxnet ha rappresentato un nuovo tipo di malware mirato, raro e motivato - contro il quale le tecnologie esistenti antivirus e di prevenzione delle intrusioni nulla hanno potuto. In questo senso ha rappresentato l avanguardia di un ondata di malware personalizzati che hanno poi richiesto una nuova serie di strumenti e strategie per contrastarli. L emergenza HIMAN evidenzia la continua evoluzione di questa tendenza e la minaccia che rappresenta. ORGANIZZAZIONI HA SCARICATO ALMENO UN FILE INFETTO DA MALWARE SCONOSCIUTI 15

18 ATTACCO MIRATO, CAMPAGNA GLOBALE Il 22 ottobre 2013, una media company ha ricevuto sei sospette che sono state successivamente analizzate dal servizio Check Point Threat Emulation. Da: Oggetto: UPS Delivery Notification Allegato: invoicebqw8oy.doc (MD5 ad0ef249b1524f4293e6c76a9d2ac10d) Durante la simulazione automatizzata in un sandbox virtuale di un utente che apre un file potenzialmente dannoso, sono stati rilevati diversi comportamenti anomali: Microsoft Word si è chiuso e si è ricaricato con un documento vuoto E stata impostata una chiave di registro E stato avviato un nuovo processo sul dispositivo Check Point Threat Emulation ha quindi stabilito che il file era malevolo. Ulteriori analisi da parte dei ricercatori di sicurezza Check Point hanno evidenziato inoltre che i documenti di tutti e 6 i messaggi di posta elettronica erano identici e sfruttavano la vulnerabilità CVE di Microsoft Word. Questa vulnerabilità, conosciuta anche come MSCOMCTL.OCX RCE 18, consente l esecuzione di codice remoto sul dispositivo finale. L analisi ha identificato il payload maligno come una variante personalizzata del Trojan Zbot 19 che trafuga le informazioni con attacchi man-in-the-browser, keystroke logging, form grabbing e altri metodi. La registrazione di questi esempi su VirusTotal 20 ha rivelato un tasso di rilevamento ridotto (< 10 percento) sia per l allegato malevolo che per la variante ZBOT al momento della submission. I ricercatori Check Point hanno analizzato i diversi URL da cui il documento malevolo è stato scaricato e hanno determinato che un elenco di parametri unici passati ai server infetti era in realtà un designatore cifrato di target base64, contenente l indirizzo di destinazione. Questi URL univoci rappresentavano gli indirizzi di utenti in grandi organizzazioni, tra cui istituzioni finanziarie, produttori internazionali di automobili, aziende di telecomunicazioni, agenzie governative ed enti statali nordamericane, prese di mira da questo attacco. Tali obiettivi indicano che gli attacchi sono parte di una campagna mirata pensata per catturare credenziali utente, informazioni bancarie e altri elementi che potrebbero essere utilizzati per accedere ai dati più sensibili delle organizzazioni colpite. IL35% DEI FILE INFETTI DA MALWARE SCONOSCIUTI SONO PDF 16

19 02 The Explosion of Unknown Malware 02 l'esplosione dei MALWARE sconosciuti 2013: Inizio promettente, finale deludente Gli amministratori della sicurezza stanno acquisendo sempre maggiore familiarità sia con gli attacchi mirati, che con i nuovi strumenti necessari per combatterli. Le tecnologie di malware sandboxing automatizzate e network-based sono strumenti ben noti ai team di sicurezza di grandi aziende ed enti pubblici che li hanno adottati come strati aggiuntivi sulla loro infrastruttura esistente per poter rilevare i malware che altrimenti eluderebbero le difese signature e reputation-based a livello di gateway ed endpoint. Tuttavia il 2013 ha visto un drammatico aumento nella frequenza degli attacchi da parte di malware sconosciuti che hanno applicato tecniche di offuscamento e di evasione degli APT ai malware noti in campagne mirate di portata globale (Box: Attacco Mirato, Campagna Globale). Se da un lato gli attacchi mirati altamente specializzati rimangono una sfida, le personalizzazioni di massa fanno sì che per campagne più ampie, motivate anche dal cospicuo guadagno finanziario, la disponibilità di malware mirato ad elevata efficacia sia maggiore. Sconosciuto o zero -day E importante evidenziare le differenze tra malware sconosciuti ed exploit zero-day. Gli zero-day sfruttano una vulnerabilità sconosciuta e mai rilevata per la quale non esiste alcuna patch. Malware sconosciuto fa riferimento a codice maligno che sfrutta una vulnerabilità o debolezza nota, ma che non può essere rilevato al momento della sua scoperta neppure da soluzioni antivirus, anti-bot o sistemi IPS aggiornati. La finestra di efficacia dei malware sconosciuti ha spesso la durata di soli 2-3 giorni, il tempo necessario ai vendor di antivirus per rilevarli sui network globali e sviluppare signature per contrastarli. Questa è una distinzione importante perché ci permette di comprendere la vera natura dei tipi di malware che hanno monopolizzato la scena nel Rendere noto l ignoto Nel 2013 i motori di emulazione di Check Point, una forma avanzata di malware sandboxing automatizzato utilizzato in tutto il mondo, hanno rilevato che 2,2 unità di malware sconosciuti colpiscono le aziende ogni ora, pari a una media di 53 al giorno. La ricerca Check Point ha evidenziato che due fattori principali hanno caratterizzato questo improvviso aumento della frequenza: 1. Gli aggressori hanno impiegato meccanismi automatizzati per la creazione di malware sconosciuti evasivi su grande scala destinati a organizzazioni di tutto il mondo attraverso campagne coordinate al fine di massimizzarne l efficacia. 2. L investigazione e i processi di risposta manuali utilizzati per mitigare gli attacchi mirati non sarebbero in grado di tenere il passo con questo nuovo e incrementato volume di incidenti. Come funziona il Sandboxing File Sconosciuto Sandbox Virtuale Inspection Service File OK File ricevuto come allegato o scaricato Grafico 2-2 I file sospetti vengono inviati ad un sandbox virtuale locale o off-box Si apre e si esegue il file sconosciuto in un OS virtuale. Si verifica l'esecuzione di azioni dannose: Registro File system Servizi Presa di rete Se pulito, si invia a destinazione. Se dannoso, possibili azioni: Si invia a destinazione con un alert Si blocca 17

20 02 The l'esplosione Explosion dei of MALWARE Unknown sconosciuti Malware L analisi delle rilevazioni effettuate nel 2013 ha mostrato che la maggior parte dei malware sconosciuti è stata inviata agli utenti via , spesso integrati in allegati. Nel 2013, il PDF è stato il formato più utilizzato per ospitare malware sconosciuti - pari a circa il 35% dei file rilevati dall emulazione - e sfruttare le versioni non aggiornate di Adobe Reader (Grafico 2-3). La ricerca mostra che anche i formati EXE e di archiviazione sono abbastanza comuni, attestandosi rispettivamente al 33 ed al 27% dei file dannosi analizzati. Tra i formati di file Microsoft Office, il più popolare è Word (.doc), anche se i dati della nostra analisi di sandboxing malware hanno riportato che gli aggressori diffondono i loro attacchi anche attraverso altri formati. In tutto, sono stati rilevati malware sconosciuti in 15 diversi tipi di file di Office, compresi i template per Word e PowerPoint, e diversi formati di Excel. Sebbene la maggior parte dei file di archivio maligni si presentino in formato ZIP - presumibilmente perché tutti i sistemi Windows hanno la possibilità di aprire gli archivi ZIP l analisi di Check Point ha comunque rilevato malware in tutti gli altri principali tipi di file di archivio, quali TAR, RAR, 7z e CAB. Un diluvio di nuovi malware L analisi di Check Point sui dati malware del 2013 mette in evidenza l elevata frequenza con cui il malware sconosciuto è stato rilevato presso i gateway di tutto il mondo. Dati provenienti da fonti esterne hanno confermato questi risultati. AV-TEST21, un Istituto di ricerca indipendente su sicurezza IT e antivirus, registra oltre nuovi programmi malevoli ogni giorno. Nel 2013 AV-TEST ha identificato oltre 80 milioni di nuovi malware, più del doppio rispetto al Tipologie di Malware Sconosciuti 5% Microsoft Office Archive 27% EXE 33% PDF 35% Grafico 2-3 Fonte: Check Point Software Technologies 2.2 MALWARE SCONOSCIUTI COLPISCONO LE AZIENDE OGNI ORA, PARI A UNA MEDIA DI 53 AL GIORNO La nostra ricerca sui dati malware nel 2013 offre molte informazioni su questa tendenza e sul suo significativo impatto. Come rilevato dal campione analizzato, un terzo delle organizzazioni ha scaricato almeno un file infetto da malware sconosciuto. 18

21 RACCONTI DEL CRYPTER Al fine di bypassare il rilevamento da parte degli antimalware, i moderni autori di software malevoli mantengono e utilizzano strumenti di offuscamento specializzati denominati Crypter. Per accertarsi che le loro varianti non vengano identificate, gli autori di malware evitano le piattaforme di scansione antivirus come VirusTotal e altre che condividono i campioni con i fornitori di anti-malware, optando per servizi privati quali razorscanner, vscan (aka NoVirusThanks) e chk4me. I crypter sono classificati dalle comunità di hacker come UD (UnDetectable) o FUD (Fully UnDetectable) in base alla loro capacità di eludere il rilevamento antivirus. Nel 2013, Check Point Threat Emulation ha rilevato una variante di malware criptata e precedentemente sconosciuta, progettata per inviare DarkComet, un noto Remote Administration Tool (RAT) 23.Nel caso del campione, una stringa PDB integrata ha rivelato di essere un prodotto del crypter ijuan, disponibile online sia come versione gratuita (UD), che a pagamento (FUD). Tecnicamente classificato come Portable Executable (PE) 24 Packer, da non confondere con ransomware di cifratura come CryptoLocker 25,i crypter di questo tipo camuffano gli eseguibili grazie a vari schemi di crittografia e di codifica, abilmente combinati e ricombinati, spesso anche più di una volta. Il campione preso in esame, che è stato in grado di eludere la maggior parte delle soluzioni antivirus, è stato confrontato con un rilevamento simile effettuato in un paese diverso, ed è stato confermato che si trattava di una versione diversamente offuscata dello stesso payload DarkComet, che comunicava con lo stesso server C&C. Questi due fattori hanno rivelato che entrambe le rilevazioni - una effettuata in Europa e l altra in America Latina - erano in realtà parte della stessa campagna. Queste identificazioni hanno evidenziato i meccanismi interni della famiglia di attacchi avanzati che stanno modificando sia il panorama delle minacce che la gamma di soluzioni di cui dovrebbero munirsi i manager della sicurezza per difendere reti e dati. Questa esplosione di malware sconosciuti è stata in parte guidata dalla accessibilità di tecniche di offuscamento che in passato richiedevano competenze e strumenti specializzati, o entrambi (vedi box: Racconti del Crypter) 22. I casi studiati in questo capitolo dimostrano che le modalità con cui i malware attualmente vengono inviati ha raggiunto un grado di sofisticazione ancora maggiore, spesso associato a mere varianti. Questa raffinatezza rende ancor più difficile la sfida che pongono perché richiede funzionalità di rilevamento e analisi più intelligenti e sottili da adottare ben al di là delle risorse di management, di risposta agli incidenti e di monitoraggio oggi disponibili in molte organizzazioni. Raccomandazioni L esplosione di malware sconosciuti del 2013 comporterà una revisione degli strumenti e dei processi finora implementati dalle organizzazioni quasi esclusivamente per rilevare e rispondere ad attacchi mirati di lieve entità. Le funzionalità detection-only - che richiedono mitigazione manuale e a cui manca il blocco automatico - lasciano i team di sicurezza scoperti mentre cercano di tenere il passo con l ondata di malware sconosciuti che colpisce le loro reti. Attualmente l emulazione, o sandboxing automatizzato e avanzato del malware, rappresenta una soluzione necessaria per ogni organizzazione. Anche le più reattive tra le soluzioni antivirus, anti- bot e IPS si troveranno a fare i conti con una finestra di 2-3 giorni durante i quali il malware sconosciuto rimarrà inosservato - un 19

22 02 The l'esplosione Explosion dei of MALWARE Unknown sconosciuti Malware Ciclo di Vita di un Malware Kit fai da te/malware Tookit SpyEye Zeus Builder Citadel Builder Crypter/Packer UPX GUI PFE CX Indectables.net Identificazione Malware Noto Creazione Toolkit DIY Packer/Crypter Binder/Joiner Validazione QA Malware Malware QA Multi-AV Scan NoVirusGrazie Joiner/Binder File Joiner EXEBundle Sconosciuto Lanciato intervallo di tempo più che sufficiente affinché i pirati informatici entrino all interno dell organizzazione. Queste soluzioni dovrebbero essere parte integrante dell infrastruttura di sicurezza di un organizzazione piuttosto che un semplice livello aggiuntivo. Le aziende dovrebbero in definitiva cercare soluzioni di emulazione in grado di fornire: Integrazione Un integrazione con le infrastrutture gateway, mail ed endpoint esistenti rappresenta l unico modo per scalare e implementare senza aumentare complessità e costi. L integrazione della mail è particolarmente critica poiché la posta elettronica è il vettore di attacco primario dei client, dentro e fuori dalla rete. Prevenzione L approccio detection-only non è più sufficiente per elevati volumi di malware L EMULAZIONE, O SANDBOXING AUTOMATIZZATO E AVANZATO DEL MALWARE, È OGGI UNA SOLUZIONE NECESSARIA PER OGNI ORGANIZZAZIONE sconosciuti. Le organizzazioni devono cercare soluzioni di prevenzione che offrano la possibilità di rilevare e bloccare automaticamente il malware sconosciuto prima che possa raggiungere la sua destinazione. Automazione La riduzione dei processi manuali per analisi e mitigazione consente alle organizzazioni di tenere il passo con questi attacchi, rispondendo anche ad altri obiettivi di sicurezza e business. La prevenzione automatizzata è fondamentale, così come integrazione di reporting e workflow per notifiche e risposte efficienti. Il rapido aumento di malware sconosciuto cambia nettamente il panorama della sicurezza, richiedendo nuove strategie e tecnologie, nonché un approccio in grado di fornire una protezione efficace senza sovraccaricare le risorse dell organizzazione. L adattamento a questi nuovi requisiti dovrebbe essere visto come una priorità assoluta, nonché di notevole urgenza per ogni azienda. Al tempo stesso, tipologie di attacchi più noti e ormai consolidati continuano a rappresentare una seria minaccia e richiedono costante vigilanza e contromisure proattive. Le ultime tendenze del malware noto verranno esplorate nel prossimo capitolo. 20