Queste tecnologie vengono utilizzate dai malintenzionati per introdurre in maniera furtiva del codice nocivo all’interno del sistema, facendo in modo di non attirare l’attenzione del proprietario del computer. Ciò viene realizzato sfruttando le vulnerabilità presenti nel sistema operativo o nelle applicazioni in esecuzione sul computer sottoposto ad attacco. La presenza di vulnerabilità consente al worm di rete o al programma trojan confezionato dal cybercriminale di poter penetrare nella macchina dell’utente-vittima e di avviarsi poi in maniera del tutto autonoma.
Una vulnerabilità è, di fatto, un errore nel codice o nella logica di funzionamento del sistema operativo o di un’applicazione. Poiché le applicazioni e i sistemi operativi odierni sono molto complessi e comprendono molte funzionalità, è difficile per il team di sviluppo di un fornitore creare dei software che non contengano errori. Purtroppo, invece, i virus writer e i cybercriminali non mancano, e sono pronti a dedicare molti sforzi allo studio delle vulnerabilità, per sfruttarle prima che vengano corrette dalle patch distribuite dal produttore.
I noti worm di posta elettronica Nimda e Aliz, ad esempio, sfruttavano le vulnerabilità individuate in Microsoft Outlook. Per avviare l’esecuzione del file del worm era sufficiente aprire l’e-mail infetta, oppure semplicemente posizionare il cursore sul messaggio nella finestra di anteprima.
I programmi maligni utilizzano attivamente anche le vulnerabilità rilevate nei componenti di rete dei sistemi operativi. Per realizzare il processo di auto-diffusione hanno ad esempio sfruttato tali vulnerabilità i worm CodeRed, Sasser, Slammer, Lovesan (Blaster), così come molti altri worm in grado di agire nell’ambito del sistema operativo Windows. È stato ugualmente colpito l’OS Linux; i worm Ramen e Slapper penetravano nei computer proprio attraverso le vulnerabilità di tale sistema operativo e di alcune sue applicazioni.
La distribuzione di codice nocivo attraverso le pagine web è divenuta, in questi ultimi anni, una delle tecniche di implementazione del malware più popolari. Essa sfrutta, spesso, le vulnerabilità individuate nei programmi utilizzati per la navigazione in Internet. In pratica, i malintenzionati inseriscono in una pagina web un file infetto e un apposito programma di script, preposti ad attaccare le vulnerabilità dei browser. Quando un utente visita la pagina infetta, il programma di script, attraverso l’eventuale vulnerabilità presente nel browser, provvede a scaricare il file nocivo sul computer-vittima, e ne lancia poi l’esecuzione. Per infettare il maggior numero possibile di computer, il creatore del malware si servirà di svariati metodi per attirare un elevato numero di utenti-vittima verso la pagina web malevola. I malintenzionati ricorrono, ad esempio, all’invio di messaggi di spam contenenti l’indirizzo della pagina infetta, oppure inviano messaggi analoghi tramite i sistemi di messaggistica istantanea; talvolta, per raggiungere lo scopo, vengono utilizzati persino i motori di ricerca. II testo posizionato sulla pagina infetta viene elaborato dai search engine, ed il collegamento alla pagina malevola viene così incluso negli elenchi dei risultati restituiti dai motori di ricerca.
Un’ulteriore tipologia di malware specializzati in tale genere di funzionalità nocive è rappresentata dai trojan di piccole dimensioni appositamente progettati per generare il download e l’esecuzione di programmi trojan di dimensioni maggiori. Il trojan più piccolo, in un modo o nell’altro, si insinua nel computer dell’utente, ad esempio attraverso una particolare vulnerabilità rilevata nel sistema, per poi scaricare ed installare ulteriori componenti nocivi tramite Internet. Questi trojan cambiano spesso le impostazioni del browser, configurando l’opzione di sicurezza più bassa, nel tentativo di spianare la “strada” agli altri trojan “maggiori”.
Una volta scoperte, le vulnerabilità vengono rapidamente “patchate” dagli sviluppatori di software; tuttavia, le vulnerabilità corrette vengono in pratica immediatamente rimpiazzate da nuove vulnerabilità, quasi subito sfruttate da una moltitudine di hacker e virus writer. Per aumentare il proprio numero, molti trojan “bot” utilizzano proprio le nuove vulnerabilità, non appena le stesse vengono individuate; inoltre, i malintenzionati, per introdurre ulteriori programmi trojan nei computer-vitttima, hanno iniziato a sfruttare nuovi bug rilevati in Microsoft Office. Purtroppo il periodo che intercorre tra l’emergere di una nuova vulnerabilità e il suo sfruttamento da parte di worm e trojan tende a diventare sempre più breve. Ne consegue che i vendor di software vulnerabili ed i produttori di programmi antivirus si trovano spesso a combattere contro il tempo. I fornitori di applicazioni o di sistemi operativi devono rettificare l’errore quanto prima possibile, sviluppando un’apposita patch, testandola e distribuendola agli utenti. I fornitori di antivirus, da parte loro, devono lavorare rapidamente per distribuire una soluzione in grado di rilevare e bloccare i file, i pacchetti di rete o gli altri elementi utilizzati per sfruttare la vulnerabilità.
Combinazione di social engineering e tecniche di implementazione del malware
Per massimizzare le probabilità di infettare i computer degli utenti, i cybercriminali si avvalgono, piuttosto di frequente, di una combinazione di metodi di ingegneria sociale e tecniche di implementazione del malware. I metodi di social engineering vengono utilizzati per attirare l’attenzione della potenziale vittima, mentre le suddette tecniche aumentano le probabilità che l’oggetto infetto riesca a penetrare nel sistema sottoposto ad attacco.
Il worm di posta elettronica denominato Mimail, ad esempio, è stato distribuito dai malfattori come allegato ad un messaggio e-mail. Per far sì che tale messaggio potesse catturare l’attenzione della vittima, i malintenzionati avevano inserito un testo elaborato in maniera piuttosto originale ed accattivante; per avviare poi una copia del worm dall’archivio ZIP allegato all’e-mail, gli autori del malware sfruttavano una vulnerabilità rilevata nel browser Internet Explorer. Quando il file nocivo contenuto nell’archivio veniva aperto, il worm creava una copia di se stesso sul disco della vittima, quindi si avviava senza alcun avviso di sistema o la necessità di ulteriori azioni da parte dell’utente. Mimail è stato uno dei primi worm appositamente progettati per carpire i dati personali degli utenti dei portafogli elettronici forniti nell’ambito del sistema e-Gold.
Un ulteriore esempio dell’utilizzo simultaneo di ingegneria sociale e tecniche di implementazione malevole è rappresentato da una particolare campagna di spam composta da messaggi e-mail con la parola “Hello” nel campo riservato all’oggetto, mentre il testo del messaggio recitava “Look what they say about you” (Guarda cosa dicono di te). Il testo era poi seguito da un link preposto a condurre verso una determinata pagina web. La successiva analisi ha evidenziato come tale pagina contenesse uno script nocivo il quale, sfruttando una vulnerabilità nel browser Internet Explorer, generava il download del programma trojan LdPinch sul computer dell’utente, un software dannoso appositamente progettato per realizzare il furto di password di vario genere.
Perché i cybercriminali tentano di combattere i software antivirus
Come abbiamo visto, lo scopo dei cybercriminali è quello di introdurre codice maligno all’interno dei computer-vittima. Per raggiungere tale obiettivo i malintenzionati debbono non soltanto indurre l’utente ad eseguire un file infetto – o riuscire a penetrare nel sistema mediante l’utilizzo di una determinata vulnerabilità – ma anche eludere l’azione protettiva svolta dal filtro antivirus installato nella macchina sottoposta ad attacco. Non costituisce quindi motivo di particolare sorpresa il fatto che i cybercriminali cerchino di combattere ostinatamente le attività eseguite dai software antivirus. Per far ciò, essi utilizzano le tecniche più diverse; quelle praticate con maggiore frequenza sono le seguenti:
- Code packing e crittografia. Una significativa parte – se non la maggior parte – dei worm e dei programmi trojan attualmente in circolazione risulta essere “packed” (nascosta all’interno di pacchetti), oppure viene codificata in vario modo. Negli ambienti cybercriminali, di fatto, vengono progettate e create speciali utility per il packing e la crittografia. È ad esempio risultato nocivo ogni file Internet elaborato con le utility CryptExe, Exeref, PolyCrypt ed altre ancora.Per poter rilevare i worm ed i trojan inseriti in pacchetti e crittografati, si rivela necessario aggiungere al programma antivirus nuovi metodi di decompressione e decodifica, oppure dotare lo stesso di nuove firme per ogni sample di programma dannoso. Questo produce, inevitabilmente, una diminuzione dei valori relativi al tasso di rilevamento, visto che le società produttrici di antivirus non sempre dispongono di tutti i possibili sample di codice nocivo modificato.
- Mutazione del codice. Si ottiene “diluendo” il codice di un trojan con apposite istruzioni “spazzatura”. Vengono in tal modo mantenute le funzionalità nocive proprie del programma trojan, ma il suo “aspetto esteriore” risulta sensibilmente modificato. Di tanto in tanto si incontrano dei casi in cui la mutazione del codice avviene in tempo reale, ogni volta che il trojan viene scaricato dal sito web infetto. Ciò significa che tutti – o quasi tutti – i trojan che giungeranno sui computer degli utenti, provenendo da tale sito compromesso dal malware, risulteranno in pratica diversi tra loro. Un significativo esempio dell’utilizzo di questa specifica tecnologia malevola è rappresentato dall’e-mail worm Warezov; nella seconda metà del 2006, alcune versioni dello stesso hanno causato gravi epidemie.
- Occultamento della propria presenza nel sistema. Le cosiddette tecnologie rootkit, abitualmente impiegate dai trojan, permettono di intercettare e sostituire alcune funzioni di sistema, allo scopo di rendere invisibile il file infetto al sistema operativo e ai programmi antivirus. A volte vengono nascosti persino i rami del registro di sistema in cui si annida la copia del trojan, oltre ad ulteriori file di sistema. Il trojan backdoor HacDef costituisce un rilevante esempio di codice nocivo che si avvale di queste tecniche.
- Blocco dei programmi antivirus e degli aggiornamenti dei database antivirus. Numerosi trojan e worm di rete intraprendono specifiche attività per contrastare l’azione svolta dai programmi antivirus; ricercano attivamente questi ultimi nell’elenco delle applicazioni attive, tentando poi di bloccare il loro funzionamento, danneggiare i database antivirus ed impedire i processi di aggiornamento del software antivirus. Per sconfiggere il malware, il programma antivirus deve difendersi in maniera adeguata, controllando l’integrità dei propri database e nascondendo i propri processi ai trojan.
- Occultamento del proprio codice sui siti web. Le società produttrici di soluzioni antivirus vengono piuttosto rapidamente a conoscenza degli indirizzi delle pagine web contenenti file di trojan. Gli analisti di virus possono quindi studiare attentamente il contenuto di tali siti dannosi e aggiungere, così, nuove versioni di programmi trojan ai loro database. Tuttavia, per contrastare la scansione antivirus, una pagina web può essere modificata, in modo che, quando le richieste sopraggiungono da un produttore di antivirus, venga di fatto scaricato un file non trojan, anziché il programma trojan originariamente previsto.
- Attacchi “in massa”. Nel corso di un attacco in massa vengono distribuite su Internet grosse quantità di nuove versioni di programmi trojan, in un lasso di tempo molto breve. Di conseguenza, i produttori di soluzioni antivirus ricevono una quantità enorme di nuovi sample di malware da analizzare. Il cybercriminale spera che il tempo impiegato per analizzare ogni campione dia al proprio codice nocivo maggiori possibilità di penetrare nei computer degli utenti.
I metodi qui sopra descritti, al pari di ulteriori tecniche malevole, vengono ampiamente utilizzati dai criminali informatici per contrastare l’azione svolta dai programmi antivirus. L’attività dei cybercriminali si intensifica anno dopo anno; è addirittura possibile parlare di una vera e propria “corsa agli armamenti tecnologici” tra l’industria antivirus e l’industria dei virus. Allo stesso tempo aumenta in maniera considerevole sia il numero degli hacker che agiscono in maniera individuale, sia il numero dei gruppi di malintenzionati dediti a pericolose attività legate alla criminalità informatica; si registra ugualmente, poi, un costante innalzamento del livello di “professionalità” dimostrato da tali malfattori. Tutti questi elementi, combinati tra loro, rendono sempre più complesso e voluminoso il lavoro che le società produttrici di antivirus debbono costantemente compiere per elaborare soluzioni di sicurezza IT solide ed efficaci.
