Come i Cybercriminali Bypassano gli Antivirus

Torna al Blog

Nel mondo odierno, gli antivirus sono un aspetto cruciale della sicurezza per i dispositivi finali, compresi computer e server, che vanno dagli utenti individuali alle grandi organizzazioni. Il software antivirus fornisce una difesa chiave contro le minacce informatiche, ma non è infallibile. Esistono varie tecniche che i criminali informatici utilizzano per eludere gli antivirus e sfuggire al malware.

Come funzionano gli antivirus?

L'obiettivo del software antivirus è determinare se un file è dannoso, e deve farlo rapidamente per evitare di influire sull'esperienza dell'utente. Due metodi ampiamente utilizzati dalle soluzioni antivirus per cercare software dannoso sono le scansioni basate su euristica e su firma:

  • La scansione basata su euristica esamina la funzione di un file, utilizzando algoritmi e modelli per stabilire se il software sta compiendo qualcosa di sospetto.
  • La scansione basata su firma esamina la forma di un file, cercando stringhe e modelli che corrispondano a campioni noti di malware.

I creatori di malware possono scegliere di interagire in due modi con l'antivirus:
uno è su disco e l'altro è in memoria. Su disco, un esempio tipico sarebbe un semplice file eseguibile (.exe), in questo caso l'antivirus ha più tempo per eseguire la scansione e analizzare il file. Viceversa, Se caricato in memoria, un antivirus ha meno tempo per interagire e generalmente il malware ha più probabilità di eseguirsi con successo.

Anche gli antivirus hanno dei limiti

Sebbene gli antivirus siano un modo consigliato per mantenere sicuri i sistemi, alla fine non rendono i dispositivi invulnerabili. Un tipico programma antivirus utilizza un database di firme di malware costituito da malware identificati in precedenza.
Ogni volta che viene scoperto un nuovo campione di malware, ne viene creata una firma digitale e aggiunta ai database. Ciò significa che c'è un periodo vulnerabile tra la circolazione di un nuovo malware e l'aggiornamento dei database dei programmi antivirus.

In quel periodo, il malware ha il potenziale per causare danni. Quindi, sebbene il software antivirus fornisca uno strato aggiuntivo di sicurezza, non elimina completamente le minacce.

Inoltre, il numero di linguaggi indipendenti dal sistema operativo (OS) che possono essere utilizzati per scrivere malware sta aumentando, il che significa che un singolo programma malware ha il potenziale per colpire un pubblico più ampio. Con l'aumentare della sofisticatezza delle minacce informatiche, i programmi antivirus devono evolversi per tenerne il passo. A causa dell'evoluzione continua delle tecniche degli hacker per eludere i programmi antivirus e della complessità dell'attuale panorama della sicurezza, questa è una sfida.

Tecniche di elusione degli antivirus

Per raggiungere i loro obiettivi, i criminali informatici hanno sviluppato una serie di tecniche di elusione. Queste includono:

Confezionamento e crittografia del codice

La maggior parte dei worm e dei trojan sono confezionati e crittografati. Gli hacker progettano anche utility speciali per il confezionamento e la crittografia. Ad esempio, ogni file Internet che è stato elaborato utilizzando CryptExe, Exeref, PolyCrypt risulta essere dannoso per gli antivirus, di conseguenza viene rilevato facilmente. Per rilevare worm e trojan confezionati e crittografati, il programma antivirus deve aggiungere nuovi metodi di spacchettamento e decodifica o aggiungere nuove firme per ciascun nuovo campione di un programma dannoso.

Mutazione del codice

i criminali informatici cercano di mascherare i loro software dannosi mischiando il codice di un virus ad esempio trojan con delle istruzioni di spam, in modo che il codice assuma un aspetto diverso nonostante il trojan mantenga la sua funzionalità originale. A volte la mutazione del codice avviene in tempo reale, in tutte o quasi tutte le occasioni in cui il trojan viene scaricato da un sito web infetto. Ne è un esempio, Il worm mail Warezov che ha utilizzato questa tecnica causando seri problemi agli utenti.

Tecniche stealth

Le tecnologie rootkit, generalmente impiegate dai trojan, possono intercettare e sostituire le funzioni di sistema per rendere il file infetto invisibile al sistema operativo e ai programmi antivirus. A volte, sono nascosti persino i rami del registro –dove è registrato il trojan –e altri file di sistema.

Blocco dei programmi antivirus e degli aggiornamenti del database antivirus

Molti trojan e worm di rete, durante l'esecuzione iniziale, cercano attivamente programmi antivirus nell'elenco delle applicazioni attive sul computer della vittima. Il malware cercherà quindi di:

  • Bloccare il software antivirus
  • Danneggiare i database antivirus
  • Impedire il corretto funzionamento dei processi di aggiornamento dell' antivirus

Detto questo, appare evidente che per sconfiggere i malware, l' antivirus deve difendersi controllando l'integrità dei suoi database e nascondendo i suoi processi ai trojan.

Mascherare il codice su un sito web

I provider di antivirus apprendono rapidamente gli indirizzi dei siti web che contengono file di virus trojan, e i loro analisti, studiano il contenuto di questi siti aggiungendo di volta i volta i nuovi malware ai loro database. Tuttavia, nel tentativo di eludere la scansione antivirus, una pagina web può essere modificata in modo che, quando vengono inviate richieste da parte di aziene antivirus, venga scaricato un file non trojan al posto di un trojan.

Attacchi quantici

Durante un attacco quantico, grandi quantità di nuove versioni di trojan vengono distribuite su Internet nel giro di breve tempo. Di conseguenza, le aziende antivirus ricevono un gran numero di nuovi campioni da analizzare. Il criminale informatico spera che il tempo impiegato per analizzare ciascun campione dia al suo codice dannoso l'opportunità di penetrare nei computer degli utenti.

Minacce zero-day

Il tuo programma antivirus viene aggiornato regolarmente, di solito in risposta a una minaccia zero-day. Questa è una tecnica di elusione del malware in cui un criminale informatico sfrutta una vulnerabilità del software o dell'hardware e rilascia il malware prima che un programma antivirus possa correggerla.

Fileless Malware

Questo è un metodo più recente per eseguire malware su una macchina che non richiede che nulla venga memorizzato sulla macchina di destinazione.
Il malware "senza file" opera esclusivamente nella memoria del sistema, permettendogli di eludere con successo gli scanner antivirus. La visita a una pagina web infetta non comporta immediatamente la consegna del malware. Al contrario, sfrutta una vulnerabilità già nota in un programma correlato per indirizzare il sistema al download del malware in una specifica area di memoria, da cui viene poi eseguito. Quello che rende il malware "senza file" così pericoloso è che una volta che il malware ha svolto il suo compito, la memoria viene cancellata e non c'è alcuna prova che un criminale abbia installato malware.

Phishing

Il phishing è una delle tecniche più comuni che i criminali informatici utilizzano per rubare informazioni. In un attacco di phishing, l'attaccante inganna le vittime fingendo di essere una fonte affidabile o conosciuta. Se gli utenti fanno clic su un link maligno o scaricano un file infetto, gli attaccanti possono ottenere l'accesso alla loro rete e quindi rubare informazioni sensibili. Gli antivirus possono rilevare solo minacce conosciute e non è affidabile contro nuove varianti.
Siete curiosi di capire come avviene un attacco di Phishing? Date un occhiata a questo video sul nostro canale Youtube!

Attacchi basati su browser

Gli antivirus non hanno accesso ai sistemi operativi, quindi consentono agli attacchi basati su browser di eludere le difese facilmente. Questi attacchi infettano il dispositivo utilizzando script e codici maligni. Per prevenire questi attacchi, alcuni browser includono strumenti difensivi built in, ma devono essere utilizzati in modo coerente e corretto per essere efficaci.

Codifica del payload

Un'altra tecnica attraverso la quale il malware elude gli scanner antivirus è codificare la payload. I criminali informatici spesso usano strumenti per farlo manualmente e quando il malware viene consegnato e attivato, viene decodificato e compie i suoi danni. Questo avviene di solito tramite un piccolo programma di header inserito all'inizio del virus codificato.
Così facendo, gli scanner antivirus non percepiscono il programma come una minaccia e il virus codificato è semplicemente visto come dati. A questo punto, quando l'header si attiva (ad esempio, incorporandola in un eseguibile esistente), decodificherà il malware in una regione di memoria, successivamente indirizzerà la funzione "jump" al contatore del programma a quella specifica regione, ed infine eseguirà il malware.

Come proteggersi dalle tecniche di elusione del malware

L'utilizzo di un software antivirus dovrebbe costituire una parte fondamentale della vostra strategia complessiva di sicurezza informatica. Tuttavia, come mostra questo articolo, le aziende non dovrebbero fare affidamento esclusivamente su di esso per la protezione cibernetica. Per garantire una sicurezza ottimale, è meglio investire in un approccio multilivello alla sicurezza informatica. Strumenti aggiuntivi che è possibile utilizzare per mantenere i criminali informatici lontani dalla vostra rete includono:

Crittografia dei dispositivi

La crittografia dei dispositivi garantisce che nessuno possa accedere ai file di un computer senza la password o la chiave corretta. Anche se un dispositivo viene rubato o infettato da malware, una crittografia adeguata può prevenire l'accesso non autorizzato.

Autenticazione multi-fattore (MFA)

La MFA richiede agli utenti di inserire più di un elemento di informazione per accedere agli account, come un codice sensibile al tempo. Questo offre una maggiore sicurezza rispetto al semplice utilizzo di una password, particolarmente importante se si hanno informazioni sensibili o personali su dispositivi o account da proteggere.

Gestori di password

Le password sono importanti per mantenere sicuri gli account e le reti, ma è fondamentale utilizzare password robuste e uniche per ciascun account. Una password forte è composta da almeno 15 caratteri (ideali sarebbero di più) e include una combinazione di lettere maiuscole e minuscole, numeri e simboli. I gestori di password possono aiutarti, sono una cassaforte sicura per le password e inoltre le proteggono dagli hacker.

Formazione al personale sulla consapevolezza della sicurezza informatica

Con l'aumento dei crimini informatici, le aziende dovrebbero insegnare ai propri dipendenti i rischi associati agli attacchi informatici e come gestirli in caso di necessità. Educando gli utenti sul panorama delle minacce informatiche, è possibile aiutarli a riconoscere attività sospette come email di phishing e altro.

Rilevamento e risposta degli endpoint (EDR)

Una soluzione EDR monitora il comportamento della rete e degli endpoint e memorizza questi log. Le tecnologie EDR possono fornire al personale di cybersicurezzai i dati necessari per comprendere la natura di un attacco informatico, fornendo avvisi automatizzati e facilitando la correzione degli endpoint.
I criminali informatici di solito non utilizzano una singola tecnica di elusione degli antivirus. Al contrario: il malware è progettato per affrontare diverse situazioni per massimizzare le probabilità di successo. La buona notizia è che la comunità della sicurezza è vigile, apprende costantemente nuove tecniche di elusione degli antivirus e malware e sviluppa nuovi metodi di prevenzione.

 

 

 

 

 

Contatta

Via Rebaglia, 1 - 21019 Somma Lombardo (VA)    
Youtube Channel

Contatti...

 

 

 

fortinet e fortigate
sophos
tenable
tenable
tenable
tenable



Emergenza?