Visto che a quanto pare i miei 4 lettori non son d’accordo con la chiusura di questo spazio, presumo di doverci scrivere qualcosa, di tanto in tanto.
E sia…
Periodicamente, quando mi capita di tenere presentazioni riguardo a spam, phishing, trojan etc, arriva la considerazione da parte degli auditori: “Nella mia rete gira $ANTIVIRUS, non dovrei essere sicuro?”
Ovviamente, la mia risposta è: “No!”
Chiunque sappia come funziona un AV ha plausibilmente presente anche il fatto che questi in sostanza riescono ad intercettare quello che conoscono, ma poco o nulla possono riguardo a ciò che non conoscono. La conseguenza abbastanza ovvia è che è “sufficiente”, per i cattivoni, produrre nuove versioni di trojan abbastanza velocemente, e avranno la certezza pressoché matematica di riuscire a transitare indenni attraverso le difese del 90% delle loro vittime…
Ma scrivere un trojan “nuovo”, che non sia identificato dagli AV, è davvero così difficile? In pratica, non molto…
Invito chi fosse interessato ad approfondire a leggere questa ricerca riguardo ai meccanismi sottostanti la distribuzione di molto del malware in circolazione, ma per i pigri mi limito a quotare questo estratto:
Zlob affiliate downloader repacking. Unlike for the malware that their clients provide, PPI providers typically repack affiliate downloader binaries on a periodic basis and notify their affiliates to switch to the fresh downloader [29]. We found that the Zlob service has incorporated a twist on this approach. They provide a web service for affiliates to request a fresh binary, which, interestingly, apparently repacks the affiliate binaries onthe-fly. We requested the downloader for a single affiliate 27 consecutive times, resulting in 27 distinct, working Zlob binaries with identical sizes but differing MD5 hashes. Attackers could likewise apply such on-the-fly packing to other areas, such as drive-by-downloads, to create unique malware for each compromised host.
Se è troppo criptico, traduco: già da tempo sono a disposizione dei cattivoni strumenti che permettono loro di generare, a partire da un binario, un nuovo eseguibile diverso dall’originale in quanto ad “aspetto” ma del tutto equivalente in quanto a funzionalità, e farlo all’infinito, tutte le volte che vogliono, con l’ovvio obiettivo di rendere ardua l’identificazione del singolo binario per quel che è.
Il diretto risultato è che, di media, solo il 20-25% degli antivirus è in grado di intercettare questi malware nel momento in cui essi vengono “distribuiti”; e poiché di norma sul singolo PC può girare solamente un AV per volta, ciò implica che 4 volte su 5 il client è del tutto indifeso da trojan “appena rinnovati”.
Come migliorare questa situazione, quindi?
Un primo suggerimento viene dall’articolo di Brian Krebs linkato qui sopra: se per le attività critiche (come l’accesso alle funzionalità di home-banking) utilizzate una macchina dedicata, magari virtuale, linux-based ed “effimera”, è possibile limitare i danni: dato che questa macchina avrebbe una esposizione estremamente limitata ai “pericoli”, sarà difficilmente compromessa, e poiché essa riparte da uno stato “sicuro” ad ogni reboot, qualsiasi schifezza ci finisca dentro sparisce al primo riavvio. Ovviamente, se l’accesso a tale macchina avviene a partire da un client compromesso ciò non vi mette comunque al riparo da keylogger che stiano girando su quest’ultimo, quindi abbiate la percezione esatta di quali sono i limiti di questo approccio…
Nelle successive parti di questo articolo, invece, vedremo come poter limitare l’esposizione dei client agli “agenti infettivi” attraverso l’uso di strumenti come DNS, BGP e firme virali “ad-hoc”.
Skull's blog 