Trend Micro valuta l’evoluzione dei codici maligni

firewallSicurezza

L’allarme sicurezza rigurda Worm bot come Zotob. Ma nel mirino sono anche i sistemi RSS Feed

I worm bot rappresentano la parte più pericolosa dei codici maligni attualmente in circolazione, come ha dimostrato Zotob, il worm che questo agosto ha paralizzato i computer di numerose aziende, anche famose come la CNN, il Campidoglio degli Stati Uniti e il New York Times.Trend Micro si propone di mettere in luce le possibili evoluzioni dei futuri attacchi, anche per aumentare la consapevolezza degli utenti nei confronti delle minacce emergenti che si servono di metodi sempre più sofisticati per sfruttare le nuove tecnologie. Oggi tutti i worm bot sono costruiti in maniera modulare. Questo significa che chi crea il programma può scegliere tra un numero differente di metodi d’attacco, incluso lo sfruttamento delle vulnerabilità, gli invii massicci di posta elettronica, la propagazione punto-punto come anche tutti i parametri per ogni modalità: il risultato è un worm ad hoc. La modularità in questi tipi di worm è stata confermata con WORM_RBOT.CBQ e WORM_ZOTOB, due network worm che sono stati al centro dell’attenzione in queste settimane.Si è ridotto drasticamente il tempo trascorso prima dello sfruttamento delle vulnerabilità per alcuni dei principali worm: dai 366 giorni di Nimda ai soli 4 dì di Zotob. Le possibili misure per combatterle sono: installare immediatamente le patch sui PC di casa non appena Microsoft rilascia gli aggiornamenti sul proprio sito; in azienda applicare sistemi software e hardware che difendono specificamente da queste minacce. Nell’immediato futuro i creatori di worm potrebbero prendere di mira i seguenti sistemi: RSS Feed hijacking. Questa tecnologia in espansione è un metodo per ricevere “Real Simple Syndication.” Le pagine Web possono aggiornare i loro contenuti e gli abbonati al servizio RSS li ricevono non appena pubblicati grazie al client di alimentazione RSS. Per i malintenzionati, il modo più facile per trarre vantaggio da questa tecnologia è dirottare il client di alimentazione RSS esistente per scaricare automaticamente nuove copie di worm e altre minacce. Ciò si ottiene puntando i client già configurati a diversi siti Web con contenuti maligni. Il meccanismo è quello di verificare se il sistema ha configurato un aggiornamento automatico, in tal caso questo potrebbe essere modificato per puntare a siti web maligni. Va però considerato che al momento non esiste uno standard per questi programmi RSS. Ciò limita la pericolosità di tale minaccia, tuttavia la situazione potrà cambiare quando il nuovo Internet Explorer 7 sarà finalmente rilasciato. Per fronteggiare questo problema le aziende dovrebbero applicare, se non l’hanno già fatto, un metodo di scansione per il traffico HTTP, poiché verosimilmente questo sarà un sistema molto usato per diffondere codici maligni nel prossimo futuro. Infine un’altra insidia arriva dagli attacchi

polimorfi che sfruttano le shellcode. Alcuni ricercatori credono che gli autori di questi bot siano in grado di creare un modulo che cambia il codice di exploit, cioè di attacco, così che esso vari ogni volta, ma sempre con lo stesso risultato di provocare danni. Poiché la maggior parte degli IDS e rilevatori di vulnerabilità si basano sul fatto che il codice maligno usa esattamente lo stesso exploit in continuazione, se “l’impronta digitale” cambia ogni volta, esso sarebbe in grado di attraversare lo scanner e avere effetti devastanti. Tutto ciò sembra essere in contrasto con la suddetta tendenza di incorporare il nuovo exploit il prima possibile, perché questo altro metodo rallenterebbe la creazione del worm. Nell’attesa di nuovi sviluppi nei prossimi mesi, Trend Micro sta già lavorando su un motore di scansione in grado di individuare esempi di compressione. Il rilascio del motore di scansione 7.7 di Trend Micro è atteso per l’inizio del prossimo anno ed è progettato per individuare i worm bot non appena sono rilasciati, grazie a questa nuova tecnologia di rilevazione.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore