Il primo malware classificato come “fileless” (ovvero privo di file) è apparso nel 2001 con il worm “Code Red”. Ai tempi almeno 359.000 server web subirono un crash dovuto a un misterioso virus, esplicitatosi tramite la notifica “Welcome to http://www.worm.com ! Hacked by Chinese!”, che non ha lasciato file o tracce permanenti sull’hard disk. L’indagine rivelò che il virus era stato lanciato attraverso la RAM del computer infetto.
Nei due decenni successivi, questo meccanismo è stato ampiamente sfruttato in ambiente Microsoft. Il worm SQL Slammer, il trojan bancario Lurk, il trojan Poweliks (un ulteriore sviluppo del fileless malware del 2014), il worm Duqu 2.0 (che è stato persino utilizzato come toolbox per lo spionaggio informatico) e il malware PowerSniff sono gli esempi più noti. È però dal 2017 che si parla più spesso di attacchi tramite malware privi di file, specie da quando una vulnerabilità nel framework per applicazioni web (Apache Struts) è stata utilizzata per carpire i dati di 150 milioni di clienti dell’azienda Equifax.
Lo sviluppo delle tecniche di fileless malware
Memory-only malware, non-malware attack, zero-footprint attack: tutti questi termini fanno capo ad attacchi tramite fileless malware, nel corso dei quali i codici malevoli vengono recuperati ed eseguiti da remoto senza richiedere file intermedi locali, come nel caso di stringhe richiamate da un server web e trasmesse come parametri a un interprete di script come PowerShell, con esecuzione del codice dannoso direttamente sulla sua memoria. Si tratta dunque di un attacco che non lascia tracce sul disco rigido e che presenta una grande varietà di tecniche per l’esecuzione dei codici malevoli: dall’abuso di programmi nativi necessari per il buon funzionamento del sistema operativo all’iniezione di codice dannoso nei processi esistenti, fino all’inserimento di malware nelle chiavi di registro di Windows. Esistono persino exploit già pronti, come gli strumenti PowerShell Empire, PowerSploit e Cobalt Strike.
I processi di attacco comunemente osservati prevedono tre fasi. Nella prima, i cybercriminali devono procurarsi un accesso iniziale, di solito attraverso campagne di phishing e spear phishing. Se questa prima fase dell’attacco viene eseguita solo in memoria, la seconda consiste nel rendere l’accesso permanente tramite il riavvio del computer. Questo comporta la lettura di chiavi di registro legittime da parte delle applicazioni e la loro manipolazione, in modo che contengano un codice per scaricare ed eseguire un payload come parametro di PowerShell. In questo modo i cybercriminali ottengono un accesso permanente al computer, che consente di introdurre ulteriori malware. Tutto ciò comporta che non sono presenti file, e che l’aggressore può aggiornare il suo malware in tempo reale. Tuttavia, nonostante questo attacco sia privo di file, una traccia che lascia dietro di sé c’è: l’URL del payload. Questo URL deve dunque essere mascherato in modo che non venga riconosciuto quale indicatore di compromissione. Il terzo e ultimo passo consiste infine nel perpetrare l’effettivo furto di credenziali, l’esfiltrazione di dati o la creazione di una backdoor.
Un’altra importante tendenza osservata è la sostituzione di un programma legittimo: il malware si presenta come una utility presente nei sistemi operativi e viene quindi riconosciuto come legittimo. Ne sono un esempio certutil.exe, mavinject.exe, cmdl.exe, msixec o WMI (“Windows Management Interface”), nonché gli interpreti PowerShell e bash. Questi diversi programmi legittimi possono amplificare l’efficienza dell’attacco, poiché alcuni di essi includono intrinsecamente funzioni quali il download di file o la creazione di una connessione a un computer remoto.
Nel 2018, la piattaforma ransomware-as-a-service Grand Crab incluse il fileless malware tra le sue tecniche di attacco infettando oltre 50.000 computer in tutto il mondo.
Come proteggersi da un malware non rilevabile?
Dato che questi attacchi non sfruttano file caricati sul disco rigido, non possono essere rilevati da antivirus basati su meccanismi di rilevamento delle impronte dei file. La forza di questo attacco sta proprio nel fatto che prende di mira elementi solitamente non monitorati dall’antivirus, che quindi lascia le porte aperte sui computer delle vittime.
Per contrastare il fileless malware sono stati introdotte nuove metodologie di rilevamento degli attacchi. La più comune si basa sul meccanismo di firma dei file eseguibili di Windows. Questo procedimento rende più difficile sostituire il file in memoria (dopo che la firma è stata validata), approfittare quindi della finalità di tale file facendo credere al sistema operativo che il file sostituito sia l’eseguibile originale o modificare l’applicazione alla fonte. Questa strategia rappresenta un modo abbastanza semplice per proteggersi da attacchi tramite fileless malware meno avanzati.
Una seconda strategia consiste nel perfezionare l’uso delle black list. Queste ultime devono entrare ancora più nel dettaglio degli elementi da bloccare, e contenere anche i pattern utilizzati, ad esempio stringhe di caratteri o comandi riconoscibili quali parte di un processo dannoso. In questo caso si parla di indicatori di attacco („Indicators of Attack”, IOA).
Una terza strategia è l’analisi comportamentale. Impiegata da alcune soluzioni di protezione degli endpoint, essa consente di monitorare le attività sospette, come ad esempio la connessione a un server command and control o a un IP con cattiva reputazione. Durante l’analisi si effettua anche la correlazione di azioni sequenziali, come l’uso di un motore di scripting da una riga di comando sospetta e la successiva lettura ed esecuzione di file. Anche la scoperta di incongruenze nell’uso delle utility di sistema è un forte segnale di compromissione. Tali meccanismi di analisi comportamentale consentono di rilevare se un programma sta subendo un buffer overflow o l’iniezione di codici, o se l’utilizzo di un’applicazione avviene da parte di un utente che non dispone dei necessari privilegi.
Anno dopo anno, i cybercriminali si dimostrano sempre più abili nell’attuazione di strategie di camuffamento che consentono loro di operare fuori dal radar degli strumenti di sicurezza. E l’emergere di attori specializzati nella fornitura di accesso iniziale (IAB, initial access brokers) suggerisce purtroppo che gli attacchi tramite fileless malware saranno sempre più diffusi in futuro. Oggi più che mai, le aziende devono implementare strumenti per rilevare gli indicatori di attacco, lavorando al contempo sulla sensibilizzazione dei dipendenti verso l’importanza dell’igiene digitale.
A cura di Stormshield