I cattivi si difendono

Sicurezza

Partendo dai risultati della ricerca ?Evoluzione delle tecniche di autodifesa
dei malware? promossa da Kaspersky, Vnunet analizza le strategie usate dal
malware per garantirsi la sopravvivenza

La ricerca è stata commissionata dalla società specializzata in soluzioni per la sicurezza informatica Kaspersky Lab alla Senior Analyst Alisa Shevchenko e analizza le contromosse attuate dai produttori di malware, per rispondere all’evoluzione delle tecniche di difesa. Non appena viene rilasciato una nuova versione di un software antivirus, i creatori di virus sono costretti a trovare nuovi metodi per proteggere le loro ?creature?. I meccanismi di autodifesa dei malware possono prevedere diversi utilizzi come ad esempio nascondere l’utilizzo di firme digitali, nascondere l’analisi del codice sorgente ai programmi antivirus, nascondere la notifica del rilevamento di un programma sospetto o addirittura nascondere le funzioni dei programmi antivirus. Nella sua analisi, Alisa Shevchenko spiega l’evoluzione delle tecniche di autodifesa in relazione ai progressi tecnologici delle aziende antivirus, e prova a illustrare quali di queste tecniche saranno maggiormente sviluppate e utilizzate in futuro.

La storia

Fino ad oggi, le soluzioni antivirus analizzavano esclusivamente il codice sorgente di ogni file e proprio per questa ragione una prima tecnica di autodifesa è stata la modifica continua del codice del file infetto. Questo ha portato ai cosiddetti ?Polimorfismo? e ?Metamorfismo?, ovvero tecniche che permettono ad un programma maligno di cambiare il suo codice sorgente ad ogni copia, mantenendone inalterate le caratteristiche. Scendendo un po’ più in dettaglio, un virus polimorfico è un virus cangiante, nel senso che ha la capacità di mutare forma (nel senso del codice che lo costituisce), pur rimanendo operativo. Il grado di polimorfismo può essere molto ampio e vario. In ogni caso, non ci sono più molte persone in grado di scrivere codice assembly di alto livello tecnico, che in genere è necessario quando si scrivono dei virus parassiti polimorfi e che richiede una notevole abilità da parte degli autori di virus. Ecco perchè questa tecnica di difesa da parte dei virus sta diminuendo. Impiegare sforzi eccessivi e lunghi tempi di sviluppo, per creare qualcosa che ormai in breve tempo può essere intercettato dai nuovi antivirus e reso inoffensivo, non è economicamente remunerativo. L’analisi di Alisa Shevchenko naturalmente comprende anche una panoramica di altre tecniche di autodifesa un po’ più recenti, come la crittografia e l’offuscamento; queste tecniche sono utilizzate per nascondere l’analisi del codice e, se utilizzate in modo appropriato, possono essere considerate come un diverso tipo di polimorfismo. Un altro approccio per nascondere il rilevamento di file infetti è l’utilizzo dei cosiddetti ?packer?: programmi dedicati alla compressione e all’archiviazione dei file. I packer sono utilizzati abbastanza frequentemente e il loro livello di complessità continua a crescere. Molti packer moderni, oltre a comprimere il file sorgente, utilizzano poi altre tecniche per evitare che il file venga ?spacchettato? utilizzando un debugger. I packer a volte vengono combinati con una tecnica detta binder. In pratica il file eseguibile infettato viene unito, o per meglio dire nascosto, dietro file con altre estensioni come per esempio .jpg, in modo da non rivelare la pericolosità del malware agli occhi degli utenti. Questa tecnica si sta diffondendo molto negli ultimi tempi visto che, con il diffondersi del PC e dell’istruzione informatica, la maggior parte degli utenti non apre quasi mai file con estensione .exe. Cercando quindi di aprire un’ipotetica immagine con estensione .jpg il file .exe viene estratto ed eseguito, infettando il sistema. Alcuni programmi maligni possono invece difendersi nascondendo la propria presenza al sistema. Questa tecnica è stata usata per la prima volta per il DOS nel 1990 e oggi è chiamata ?stealth technology?. All’inizio del 2000, questa tecnica si è evoluta per essere utilizzata con i sistemi operativi Windows e prende oggi il nome di ?rootkit?. Sebbene questa tecnica sembri avere un futuro promettente, è improbabile che si evolva di molto nel prossimo futuro.

Conclusioni

Altre tecniche finalizzate a nascondere l’analisi del codice di un file (ad esempio il cosiddetto offuscamento), continuano ad essere regolarmente implementate, a differenza di quanto accade per il polimorfismo. Comunque, anche questo tipo di tecniche è quasi impotente contro l’analisi del comportamento del file. Per questa ragione Alisa Shevchenko è convinta che le prossime tecnologie sviluppate dai creatori di virus saranno finalizzate a contrastare o a nascondere i file infetti dell’analisi del comportamento del file. L’analisi si conclude con alcune considerazioni, inclusa una previsione su quali tecniche saranno maggiormente utilizzate nel prossimo futuro:

1. I Rootkits svilupperanno sempre più funzioni finalizzate a sfruttare exploit e punteranno di più sulla virtualizzazione. Questi metodi comunque non hanno ancor raggiunto il loro massimo dell’efficacia né saranno usati molto in un prossimo futuro.

2. Tecnologie che bloccano e rendono inutilizzabili i file sul disco fisso: ci sono diverse proof-of-concept di questo tipo di programmi, c’è da aspettarsi che questa tecnica si sviluppi molto in futuro.

3. L’utilizzo di tecnologie che individuano e bloccano i programmi antivirus è molto comune; tale tecnica si prevede che sia utilizzata anche in futuro.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore