Fileless Malware Analisi della Minaccia - aprile 2021 - Csirt
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Fileless Malware
Analisi della Minaccia
aprile 2021
TLP – WHITE
1 INDICE
1. INTRODUZIONE ..................................................................................................... 1
2. ORIGINI ................................................................................................................... 2
3. CLASSIFICAZIONE .................................................................................................. 3
Tipo I: nessuna attività di scrittura su file ...............................................................................................5
Tipo II: attività indiretta sui file ...................................................................................................................5
Tipo III: presenza di file necessari per operare la persistenza ........................................................6
4. TECNICHE COMUNI ............................................................................................... 7
File based (Tipo III) ..........................................................................................................................................7
Mitigazione e rilevamento ...........................................................................................................................7
Macro-based (Tipo III) ...................................................................................................................................7
Mitigazione e rilevamento ...........................................................................................................................8
WMI Repository (Tipo II) ...............................................................................................................................9
Mitigazione e rilevamento ...........................................................................................................................9
Windows Task Scheduler (Tipo II) .............................................................................................................9
Mitigazione e rilevamento ...........................................................................................................................9
Windows System Registry (Tipo II) ........................................................................................................ 10
Mitigazione e rilevamento ........................................................................................................................ 10
Firmware/BIOS Based (Tipo I) .................................................................................................................. 10
Mitigazione e rilevamento ........................................................................................................................ 10
CPU Based (Tipo I) ........................................................................................................................................ 11
Mitigazione e rilevamento ........................................................................................................................ 11
Exploit based .................................................................................................................................................. 12
Mitigazione e rilevamento ........................................................................................................................ 12
Script based .................................................................................................................................................... 12
Binary based ................................................................................................................................................... 13
Mitigazione e rilevamento ........................................................................................................................ 13
5. CASI NOTI ............................................................................................................. 14
6. ANALISI DI RISCHIO E TREND ............................................................................ 16
7. RIFERIMENTI ........................................................................................................ 18
iiTLP – WHITE
INDICE DELLE FIGURE
FIGURA 1 - TASSONOMIA FILELESS THREAT (FONTE MICROSOFT)..............................................................4
FIGURA 2 - DISTRIBUZIONE FILELESS ATTACK PIMA METÀ DEL 2019. .................................................... 16
iiiTLP – WHITE
1. Introduzione
Con il termine fileless malware si intende un’intera categoria di software malevolo in
grado di ottenere l’esecuzione sul sistema infetto senza lasciare esplicita traccia di sé
o di artefatti specifici e file eseguibili sulle periferiche di archiviazione della macchina
stessa.
Sfruttando un vettore di attacco iniziale, l’esecuzione del malware tende a rimanere
esclusivamente in memoria senza alterare il file system della macchina ed evitando in
questo modo l’attivazione dei classici meccanismi di detection degli antivirus
tradizionali.
Lo scopo del report è quello di fornire una descrizione generale di tale minaccia,
suggerirne un livello di classificazione significativo, descrivere alcuni degli aspetti
tecnici più comuni nonché ipotizzarne una possibile evoluzione nel prossimo futuro.
Saranno inoltre condivisi suggerimenti e spunti per quanto concerne la fase di
identificazione e mitigazione e risposta alla minaccia.
1TLP – WHITE
2. Origini
Nonostante le tecniche utilizzate da questa categoria di malware si basino su idee e
modelli risalenti già agli anni ’90, questa classificazione ha ormai assunto una sua
propria identità dato il vasto utilizzo che se ne è osservato negli ultimi anni.
Entrando nello specifico dell’ecosistema Microsoft l’avvento di PowerShell è stato
determinante nel far crescere il trend a tal punto che il suo utilizzo viene ormai
integrato in numerosi framework open source di Post Exploitation, in grado di ottenere
in maniera automatizzata e fileless l’esecuzione del codice desiderato dall’attaccante.
Tra i vari tool che fanno uso di queste tecniche, per lo più utilizzati da specialisti del
settore per compiere attività di adversary simulation e security testing, figurano ad
esempio: Empire, PowerSploit, Metasploit, CobaltStrike.
2TLP – WHITE
3. Classificazione
A prescindere dal vettore iniziale di attacco utilizzato, la cui classificazione non è
dissimile da quella comune a tutti gli altri tipi di malware, è di interesse suddividere
questa classe in base ai metodi impiegati per ottenere il livello di persistenza desiderato
dal threat actor. La classificazione suggerita da Microsoft nella loro analisi della
minaccia [1], si suddivide in 3 tipi:
Tipo I: nessuna attività di scrittura su file;
Tipo II: attività indiretta sui file;
Tipo III: presenza di file necessari per operare la persistenza.
3TLP – WHITE
Figura 1 - Tassonomia fileless threat (fonte Microsoft).
Nonostante la seconda e la terza tipologia possano sembrare in antitesi con la
definizione precedentemente data, la differenza risiede nel fatto che il codice effettivo
del malware che ne contiene la logica non è di fatto mai riconducibile ad un singolo
file eseguibile o ad uno specifico processo. Non è quindi possibile individuare un
singolo artefatto presente sul file system la cui analisi puntuale possa di per sé risultare
esaustiva per comprendere il comportamento della minaccia.
4TLP – WHITE
3.1. Tipologie
Tipo I: nessuna attività di scrittura su file
In questa categoria non viene compiuta alcuna interazione con il file system della
macchina vittima. Esempi classici sono quelli in cui un servizio attivo vulnerabile viene
utilizzato come vettore di compromissione iniziale (e.g. tramite l’utilizzo di un exploit
mirato) e il malware si limita ad eseguire in memoria (user o kernel space) senza mai
salvarsi sul disco. Altri esempi possono riguardare l’utilizzo di periferiche interne
compromesse il cui firmware venga alterato con del codice malevolo rendendo la
detection difficile e la persistenza resistente alla reinstallazione del sistema operativo o,
qualora il firmware non sia quello del disco fisico, alla sostituzione dello stesso.
Un altro esempio largamente osservato negli ultimi anni, anche se appartenente ad un
livello di minaccia non più considerata avanzata, è quello dell’utilizzo di attacchi
BadUSB (periferiche USB con firmware modificati che simulano, ad esempio, l’utilizzo
di una tastiera). In questo contesto, un dispositivo collegato e mantenuto attivo sulla
macchina vittima consentirebbe, oltre che la persistenza, l’esecuzione di payload mirati
senza mai di fatto registrare alcuna interazione con il file system.
Tipo II: attività indiretta sui file
In questo scenario il codice malevolo non viene salvato su di un file preciso, bensì
nascosto in componenti specifici del sistema operativo che indirettamente ne
consentono l’esecuzione. Una delle tecniche più osservate, prevede l’utilizzo del
Windows Management Instrumentation (WMI) repository. Tramite una configurazione
ad-hoc di questo componente da parte del threat actor è possibile avviare l’esecuzione
automatica di codice Powershell malevolo che si limiterà d’ora in avanti a risiedere in
memoria.
Pur essendo il WMI repository effettivamente rappresentato da un file del sistema
operativo, essendo per lo più utile ad una moltitudine di servizi di sistema legittimi,
non si presta ad essere scansionato singolarmente come elemento di minaccia ed una
sua analisi approfondita richiede l’utilizzo di una logica di detection ad-hoc.
5TLP – WHITE
Tipo III: presenza di file necessari per operare la persistenza
In questa terza categoria vengono di fatto utilizzati dei file a supporto anche se non
direttamente contenenti l’intera logica di esecuzione del malware. Una semplice analisi
statica dei file “a supporto” potrebbe non individuare alcun indice di minaccia.
Un esempio classico, anche se il meno sofisticato appartenente alla categoria, è legato
ad alcuni dei malware osservati in questi ultimi anni, facenti utilizzo di macro presenti
all’interno di documenti della suite Microsoft Office sfruttati come primo stadio per il
download e l’esecuzione del vero e proprio codice malevolo che verrà caricato
direttamente in memoria.
6TLP – WHITE
4. Tecniche comuni
In questa sezione vengono analizzate alcune delle tecniche utilizzate da questa classe
di malware per implementare la persistenza nonché per l’esecuzione fileless del
payload.
4.1. Persistenza
File based (Tipo III)
In questa sottocategoria risiedono tutti quei malware che fanno utilizzo di file
eseguibili, e quindi abitualmente individuabili da un software antivirus (e.g. .exe e .Dll
nel contesto di Windows), ma utilizzati esclusivamente per “innescare” un secondo
stadio dell’infezione direttamente in memoria. Il secondo stadio può essere reperito
direttamente da una risorsa esterna alla macchina infettata lasciando quindi inalterato
il file system. La scansione dell’unico artefatto presente potrebbe generare un falso
negativo ed un’analisi post-mortem della macchina vittima potrebbe risultare non
sufficiente a comprendere il comportamento della minaccia.
Mitigazione e rilevamento
L’identificazione di questa sottocategoria di malware può essere in generale affidata
alle moderne soluzioni antivirus che, oltre a basarsi su firme (signatures), supportano
funzionalità di prevenzione euristica verificando le attività del file nell’interazione col
sistema operativo, in particolare per quelle operazioni che coinvolgono l’uso della
memoria. Per mitigare questo tipo di minaccia è inoltre opportuno identificare le
attività di rete innescate dal malware per il “secondo stadio”. Diverse famiglie di
prodotti di sicurezza sono in grado di verificare la reputazione delle risorse contattate,
interrompendo il traffico sospetto e la catena di infezione del malware.
Macro-based (Tipo III)
Nonostante il primo esempio di utilizzo di questa tecnica al fine di veicolare ed eseguire
malware risalga al lontano 1999, questo mezzo continua ad essere usato tutt’oggi [2].
L’utilizzo del linguaggio di scripting di Microsoft Visual Basic for Applications per
l’automazione e la gestione programmata dei documenti Office permette il controllo
pressoché completo della macchina che ne esegue il codice. Le API a disposizione
consentono l’interazione con il file system e i programmi dell’host (e.g.
7TLP – WHITE
Scripting.FileSystemObject e Wscript.Shell), con la GUI dell’applicazione, con risorse
remote (e.g. API HTTP) e si presta ad essere estesa tramite l’utilizzo di librerie. La
possibilità di associare l’esecuzione ad eventi applicativi specifici, come ad esempio la
semplice apertura del documento, contribuiscono ad aumentare la pericolosità della
minaccia. Il codice interpretato viene eseguito nel contesto del processo
dell’applicativo Office diminuendo quindi la possibilità di essere rapidamente
individuato. Oltre ai sistemi Windows che vengono maggiormente presi di mira da
questo tipo di minaccia, esistono evidenze che sia stata utilizzata anche su Mac OSX
[3].
Lo sfruttamento di file che possono non apparire inizialmente come veicolo di infezione
e il fatto che non sia identificabile un processo in memoria direttamente associato
all’attività del malware rendono questa categoria tra le prime classificabili come fileless.
Mitigazione e rilevamento
In questo specifico contesto assume un aspetto rilevante sia la formazione del
personale, sulla consapevolezza della sicurezza e sul corretto utilizzo degli strumenti
aziendali, sia la protezione contro i vettori più comuni come la posta elettronica
mediante, ad esempio l’adozione di filtri per le tipologie di allegati consentiti e l’analisi
di sicurezza degli stessi.
L'unica mitigazione veramente efficace è la disabilitazione delle macro che comporta,
però, per le organizzazioni che ancora necessitano di tali strumento, la predisposizione
di una strategia di sostituzione di questi file. Dove questo obiettivo non possa essere
raggiunto, andrebbero definiti dei criteri di sicurezza per l’esecuzione delle stesse, ad
esempio abilitando solo quelle associate a posizioni\persone\documenti attendibili o
aventi una firma digitale.
Nelle ultime versioni di Windows è possibile definire una serie di regole (ASR) per
ridurre la superficie attacco e bloccare le principali tecniche in uso da questa tipologia
di malware [4].
Utilizzare un prodotto antivirus compatibile con Antimalware Scan Interface (AMSI) di
Windows e migliorare la sicurezza contro gli attacchi che fanno uso di macro.
8TLP – WHITE
WMI Repository (Tipo II)
Windows Management Instrumentation (WMI) è un framework di amministrazione per
Windows in grado di compiere operazioni sui dati, sulle configurazioni e di
automatizzare un certo numero di task sul sistema operativo. Le classi WMI sono la
principale struttura del framework e possono contenere metodi e proprietà salvati
all’interno del repository dedicato. Tramite le WMI Permanent Subscription è possibile
associare un evento, un WMI Filter, ad un’azione specifica, detta WMI Consumer, come,
ad esempio, l’esecuzione di un comando specifico o di uno script. L’interazione con
WMI avviene o tramite API dedicate (e.g. per Powershell) o tramite l’utilizzo dello
strumento a riga di comando di configurazione WMI (wmic.exe). Lo strumento si presta
ad essere utilizzato per implementare la persistenza sulle macchine. Un esempio di
come questa tecnica venga utilizzata nell’ambito di un attacco fileless è POPSHY, un
malware associato ad APT29 [4].
Mitigazione e rilevamento
In questo ambito il piano di mitigazione deve essere tendenzialmente proattivo al fine
di monitorare le operazioni eseguite da Window Management Instrumentation (WMI).
Anche in questo caso è possibile intervenire nella riduzione della superficie d’attacco
[4] bloccando la creazione di processi provenienti da comandi PSExec e WMI e impedire
al malware di abusare di WMI per ottenere la persistenza su un dispositivo.
Windows Task Scheduler (Tipo II)
Un altro strumento di amministrazione per sistemi operativi Windows che consente di
associare specifiche operazioni (e.g. esecuzione di comandi Powershell) ad eventi
ricorrenti (e.g. ad ogni accesso dell’utente). Questo tipo di attacco è ampiamente
utilizzato in quanto permette di eludere, se configurato da un’utenza privilegiata, la
User Access Control (UAC) policy di Windows ed eseguire direttamente come “NT
authority/SYSTEM” i comandi desiderati garantendo persistenza sulla macchina target
[5].
Mitigazione e rilevamento
Gli avversari possono abusare della funzionalità di pianificazione delle attività per
l'esecuzione, anche ricorrente, di codice malevolo. Si tratta di una delle tecniche del
MITRE ATT&CK (T1053) che dovrebbero essere oggetto di monitoraggio, in particolare
l’emergere di nuove attività pianificate create da programmi non legittimi. Una
9TLP – WHITE
mitigazione risiede nel limitare i privilegi degli account utente, permettendo ai soli
amministratori di creare attività pianificate su sistemi remoti e di aumentare la priorità
di pianificazione. Inoltre è possibile configurare la forzatura dell'esecuzione delle
attività pianificate al contesto dell'account autenticato invece che consentire
l'esecuzione come “System”.
Windows System Registry (Tipo II)
Anche il registro di configurazione di sistema di Windows consente di salvare alcune
chiavi specifiche per automatizzare esecuzioni di task, prestandosi ad essere utilizzato
come strumento per ottenere la persistenza. Come per gli altri due metodi appena
descritti, se pure la modifica a questi strumenti corrisponde ad una serie di scritture sul
disco, la classica scansione del file system offerta dai software AV non è sufficiente ad
individuare facilmente questo tipo di infezioni ed è necessario ricorrere ad un’analisi
specifica. Poweliks, malware considerabile a tutti gli effetti fileless identificato già nel
2014 fa utilizzo di questo metodo, in combinazione con molteplici altri, per infettare in
modo persistente il target [6].
Mitigazione e rilevamento
Monitorare il registro di sistema per rilevare eventuali modifiche ed individuare chiavi
del registro di configurazione che non sono correlate a programmi in uso, cicli di patch
o altre attività note (MITRE ATT&CK T1547.001). Monitorare la cartella di avvio al fine
di rilevare nuovi elementi o modifiche.
Firmware/BIOS Based (Tipo I)
Si intendono le tecniche più avanzate in cui la persistenza e l’esecuzione del malware
avviene all’interno del firmware di singoli dispositivi collegati all’host vittima
dell’attacco. Oltre ad ottenere un livello privilegiato di esecuzione senza di fatto
scrivere un singolo byte sul file system principale, un tale impianto risulta di difficile
individuazione ed eradicazione. Un utilizzo esplicito di questo tipo di persistenza da
parte di malware è stato osservato concretamente già nel 2011 e attribuito al malware
Mebromi, in grado di attaccare il firmware specifico di un vendor di schede madri
nonché di nascondere parte del suo codice all’interno del Master Boot Record [7].
Mitigazione e rilevamento
Si tratta di tecniche (MITRE ATT&CK (T1542.001 e T1542.002) che per natura non è
facile mitigare se non con verifiche di integrità del firmware, con una gestione oculata
10TLP – WHITE
dei privilegi al fine di prevenire l'abuso di questa tecnica, il controllo periodico della
disponibilità quindi l’aggiornamento costante del software BIOS o EFI.
CPU Based (Tipo I)
È stato osservato come alcuni gruppi siano stati in grado di attaccare un target
utilizzando i sottosistemi di gestione inclusi nei chipset dei moderni processori (ad
esempio Intel Management Engine e Intel AMT stack). Di fatto rientra nella categoria
precedente basata sull’interazione con i componenti software e hardware di basso
livello dell’host. La differenza risiede in come questi moderni sistemi di gestione
interagiscano in maniera autonoma e privilegiata con tutte le periferiche della
macchina, interfacce di rete incluse (aprendo spazio a superfici di attacco da remoto),
ed in caso di vulnerabilità permettano di eludere le tecniche di mitigation poste in
essere e descritte nella sezione precedente [8].
Mitigazione e rilevamento
Aggiornamento periodico del software di gestione valutando se possibile la
disattivazione di tali componenti.
11TLP – WHITE
4.2. Esecuzione
In questa sezione si riassumono alcune delle tecniche utilizzate per avviare l’esecuzione
vera e propria del codice malevolo. Queste mirano a nascondere l’esecuzione ed
associarla a comportamenti e processi legittimi del sistema operativo.
Exploit based
Lo sfruttamento di specifiche vulnerabilità su servizi o applicazioni presenti su di un
sistema target possono permettere all’attaccante di aggirare il comportamento
originale del software vulnerabile ed eseguire il codice malevolo desiderato prestandosi
perfettamente allo scenario di utilizzo fileless. L’utilizzo di un exploit mirato sfruttato su
sistemi non aggiornati, consente all’attaccante di eseguire direttamente nel contesto
dell’applicazione vulnerabile, ereditandone il processo e i privilegi, consentendo in
alcuni casi anche il mantenimento della corretta funzione originale dello stesso. Questa
tecnica di esecuzione, se sfruttata su servizi esposti verso l’esterno, si presta ad essere
utilizzata come vettore iniziale di infezione. È di esempio il caso recente del malware
WannaCry, in grado di sfruttare una vulnerabilità di un protocollo di rete (SMB Share)
e proseguire la sua esecuzione fileless attraverso la persistenza in kernel space memory
[9].
Mitigazione e rilevamento
Provvedere regolarmente all’installazione degli aggiornamenti della versione corrente
del software in uso valutando, in ambiente Microsoft, l’attivazione di Enhanced
Mitigation Experience Toolkit (EMET) e successive evoluzioni per la protezione da
exploit.
Script based
L’utilizzo di linguaggi di scripting è sempre più comune tra i metodi di esecuzione di
questa classe di malware fileless. I vantaggi sono numerosi:
Possono essere utilizzati senza la presenza di un file. È sufficiente invocare gli
interpreti con la lista di argomenti desiderati, ad esempio salvando il comando tra
le “action” di uno Scheduled Task;
Se opportunamente utilizzati, l’esecuzione rimane nel contesto del processo
dell’interprete, di fatto considerato legittimo dai sistemi anti-malware e rendendo
difficile l’individuazione;
12TLP – WHITE
Molti interpreti sono preinstallati nelle varie versioni dei sistemi operativi: VBScript,
JavaScript, PowerShell in Microsoft Windows; Bash e spesso Python in molte
distribuzioni Linux-based o in MacOS.
Binary based
La tecnica consiste nell’utilizzare applicazioni già presenti sulla macchina target
dell’attacco per eseguire direttamente, o indirettamente il payload malevolo del
malware. Rispetto alla modalità precedente (che utilizza inizialmente un’applicazione
terza per eseguire del codice) le applicazioni utilizzate non sono esplicitamente
progettate per questo tipo di interazione e il loro abituale comportamento legittimo
può trarre in inganno alcuni meccanismi classici di detection.
Con il termine LOL Binaries (Living Off The Land Binaries o LOLBins) si considerano
più specificatamente quel gruppo di applicazioni legittime del sistema operativo,
spesso firmate digitalmente negli ambienti Windows e Mac OSX, il cui funzionamento
può essere sfruttato in modo inatteso per ottenere una serie di comportamenti
indesiderati e spesso non facilmente individuabili come ad esempio l’esecuzione di
codice arbitrario o l’ottenimento di una persistenza sull’host.
Numerosi malware utilizzano queste tecniche per mantenere la loro esecuzione fileless,
evitando di generare file eseguibili salvati sul disco ed ottenendo un discreto livello di
offuscamento delle loro operazioni [11].
Mitigazione e rilevamento
L’utilizzo illegittimo di questa categoria di binari leciti si presta ad essere rilevato
esclusivamente tramite un’analisi comportamentale della specifica invocazione
dell’applicativo monitorato. I moderni software antimalware che implementano
capacità di behavior analysis sono in grado di comprendere l’utilizzo comune di questi
software e quindi evidenziarne un eventuale anomalia.
13TLP – WHITE
5. Casi noti
Di seguito vengono riportarti alcuni casi reali, o Proof of Concept (PoC) sviluppate da
ricercatori, di utile riferimento al fine di mostrare la varietà di tecniche, spesso usate in
maniera complementare, implementate da questa categoria di malware.
Nome Anno OS Class. Persistenza Esecuzione
POSHPY1 2017 Windows Tipo II WMI Repository - Script based (PowerShell)
KovTer2 2017 Windows Tipo II Windows Registry - Script based (Batch)
- Binary based (LOL Bins:
mshta.exe)
Poweliks3 2017 Windows Tipo II Windows Registry - Binary based (LOL Bins:
rundll32.exe)
Divergent4 2019 Windows Tipo II Windows Registry - Script based (PowerShell)
- Binary based (LOL Bins:
mshta.exe)
PowerGhost5 2018 Windows Tipo II WMI Repository - Script based (PowerShell)
Lemon Duck6 2019 Windows Tipo II Windows - Script based (PowerShell)
Scheduled Tasks
Thunderstrike 2 2015 MacOS Tipo I Firmware based - Exploit based
(POC)7
LoJax8 2018 Windows Tipo I Firmware based - Binary based
(UEFI) - DLL injection
1
https://www.fireeye.com/blog/threat-research/2017/03/dissecting_one_ofap.html
2
https://labs.vipre.com/analysis-of-kovter-a-very-clever-piece-of-malware
3
https://www.vmray.com/cyber-security-blog/poweliks-fileless-malware-analysis/
4
https://blog.talosintelligence.com/2019/09/divergent-analysis.html
5
https://securelist.com/a-mining-multitool/86950/
6
https://www.bitdefender.com/files/News/CaseStudies/study/373/Bitdefender-PR-Whitepaper-
LemonDuck-creat4826-en-EN-GenericUse.pdf
7
https://www.trendmicro.com/vinfo/tr/security/news/vulnerabilities-and-exploits/thunderstrike-2-
rootkit-can-now-infect-macs-remotely
8
https://www.welivesecurity.com/wp-content/uploads/2018/09/ESET-LoJax.pdf
14TLP – WHITE 15
TLP – WHITE
6. Analisi di rischio e trend
Come specificato nelle precedenti sezioni, in generale un attacco fileless ben strutturato
possiede discrete capacità di evasione sia per quel che riguarda i più comuni filtri di
sicurezza implementati dai software antivirus, sia in associazione all’utilizzo di tecniche
di whitelisting legate ad applicazioni native, installate nella propria infrastruttura. Infatti,
come approfondito in [10], tale classe di malware può avere fino a dieci volte più
probabilità di successo rispetto alle altre di infettare un determinato sistema.
Secondo quanto riportato da ENISA nel Malware Threat Landscape 2020 [12], nella
prima metà del 2019 è stata osservata una crescita del 265% di questo fenomeno, la
cui distribuzione - rispetto al tipo di attacco effettuato- è riportata in Figura 2.
Figura 2 - Distribuzione fileless attack pima metà del 2019.
Le conseguenze di un attacco fileless sono spesso difficilmente valutabili e mitigabili
per l’organizzazione colpita. L’impatto potrebbe anche risultare alto: l’eventuale
compromissione, infatti, potrebbe essere rilevata quando essa si trova ormai in una
fase particolarmente avanzata, laddove rimettere in sicurezza l’infrastruttura colpita
potrebbe richiedere settimane o addirittura mesi
Volendo categorizzare i fattori di rischio cyber associati a questa minaccia, possiamo
individuare le seguenti classi [13]:
16TLP – WHITE
utilizzo di applicativi che permettono l’esecuzione di script o macro, il cui contenuto
è sovente acquisito da fonti esterne (e.g. Internet) e direttamente eseguito in
memoria senza lasciare alcuna traccia sul file system;
utilizzo di componenti di sistema, pertanto considerati “trusted”, in grado di
eseguire script con privilegi elevati (e.g., PowerShell, Windows Management
Instrumentation);
navigazione incondizionata e non supervisionata dei client verso Internet;
mancanza di adeguati sistemi di analisi della posta elettronica in ingresso (es.
Sandboxing e Analysis).
Date alcune recenti campagne individuate e trattate dagli analisti di sicurezza – quali
ad esempio quelle associate a Emotet, TrickBot, Ryuk e a specifiche varianti di Ursnif –
tale minaccia non sembra aver ancora raggiunto la sua fase di assestamento, pertanto
se ne prevede una fase crescente per il prossimo futuro.
17TLP – WHITE
7. Riferimenti
[1] Microsoft, "Fileless threats" 2020.
https://docs.microsoft.com/en-us/windows/security/threat-
protection/intelligence/fileless-threats.
[2] Trend Micro, "20 Years of Macro Malware: From Harmless Concept to Targeted
Attacks" 2013.
https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-
threats/20-years-of-macro-malware-from-harmless-concept-to-targeted-
attacks
[3] Fortinet, "Microsoft Word File Spreads Malware Targeting Both Apple Mac OS X
and Microsoft Windows" 2017.
https://www.fortinet.com/blog/threat-research/microsoft-word-file-spreads-
malware-targeting-both-apple-mac-os-x-and-microsoft-windows
[4] FireEye, "Dissecting One of APT29’s Fileless WMI and PowerShell Backdoors
(POSHSPY)" 2017.
https://www.fireeye.com/blog/threat-
research/2017/03/dissecting_one_ofap.html
[5] Malware Bytes, "Scheduled Task" 2016.
https://blog.malwarebytes.com/cybercrime/2015/03/scheduled-tasks/
[6] GData, "Poweliks: the persistent malware without a file" 2014.
https://www.gdatasoftware.com/blog/2014/07/23947-poweliks-the-persistent-
malware-without-a-file
[7] ESET, "UEFI malware: How to exploit a false sense of security" 2017.
https://www.welivesecurity.com/2017/10/19/malware-firmware-exploit-sense-
security
[8] M. Ermolov and M. Goryachy, "How to Hack a Turned-Off Computer, or Running
Unsigned Code inIntel Management Engine" 2017.
18TLP – WHITE
https://www.blackhat.com/docs/eu-17/materials/eu-17-Goryachy-How-To-
Hack-A-Turned-Off-Computer-Or-Running-Unsigned-Code-In-Intel-
Management-Engine.pdf
[9] Microsoft, "WannaCrypt ransomware worm targets out-of-date systems" 2017.
https://www.microsoft.com/security/blog/2017/05/12/wannacrypt-ransomware-
worm-targets-out-of-date-systems
[10] McAfee, "What is Fileless Malware?"
https://www.mcafee.com/enterprise/it-it/security-awareness/ransomware/what-
is-fileless-malware.html.
[11] "https://github.com/LOLBAS-Project/LOLBAS"
[12] ENISA
"https://www.enisa.europa.eu/publications/malware"
[13] NORTON
"https://us.norton.com/internetsecurity-malware-what-is-fileless-malware.html"
19Puoi anche leggere
