In che modo il malware penetra all’interno del sistema

L’obiettivo di molti autori di virus informatici e cybercriminali è quello di distribuire virus, worm o programmi trojan sul maggior numero possibile di computer o telefoni cellulari, in maniera tale da massimizzare la penetrazione del malware. Questo obiettivo può essere sostanzialmente raggiunto in vari modi, i quali possono essere tuttavia raggruppati in due categorie principali:

  • tecniche di social engineering;
  • utilizzo di apposite tecnologie malevole per l’introduzione di codice dannoso nel sistema, all’insaputa dell’utente.

Tali metodi vengono di frequente utilizzati in combinazione tra di loro. Inoltre, i creatori di programmi malware prendono spesso delle precauzioni per impedire che l’infezione venga rilevata dai programmi antivirus.

Social Engineering

I malintenzionati utilizzano le tecniche di ingegneria sociale per cercare di indurre gli utenti più sprovveduti a lanciare l’esecuzione di un file infetto, oppure ad aprire un collegamento malevolo destinato a condurre verso un sito web compromesso dal malware. Si servono dei metodi di social engineering non solo numerosi e-mail worm, ma anche altri tipi di programmi maligni.

Nella circostanza, hacker e virus writer tentano di attirare l’attenzione dell’utente nei confronti di un determinato file infetto (oppure di un particolare link HTTP in grado di condurre verso tale file infetto), per poi spingere la vittima a cliccare sul file maligno (o sul collegamento nocivo che porta ad esso). Un classico esempio di tale genere di attacco è rappresentato dal worm di posta elettronica LoveLetter, il quale, nel mese di maggio dell’anno 2000, ha creato una vera e propria devastazione in termini finanziari. Secondo i dati resi noti da Computer Economics, il worm LoveLetter detiene tuttora il primato riguardo all’entità complessiva dei danni economici arrecati. Come si può vedere qui sotto, le vittime ricevevano un’e-mail che invitava ad aprire la “lettera d’amore” allegata:

loveletter

All’inattesa dichiarazione “I LOVE YOU”, riportata nell’oggetto dell’e-mail, avevano reagito in tantissimi, per cui i server di posta elettronica di un gran numero di aziende, anche di primaria importanza, sono risultati letteralmente sovraccarichi; in effetti, ad ogni apertura del file VBS allegato, il worm si duplicava in maniera incontrollata, attraverso tutti gli indirizzi custoditi nell’elenco dei contatti dell’utente-vittima.

L’e-mail worm Mydoom, apparso su Internet nel mese di gennaio 2004, utilizzava invece, da parte sua, testi che imitavano i messaggi “di servizio” generati dai server di posta.

Vale la pena menzionare anche il worm Swen, il quale si spacciava per un messaggio inviato da Microsoft, mascherandosi in forma di patch in grado di eliminare una serie di nuove vulnerabilità individuate in Windows. Non sorprende il fatto che molte persone abbiano creduto a tale affermazione e abbiano quindi tentato di installare la finta “patch”, anche se in realtà si trattava di un temibile worm.

Talvolta accadono cose incredibili; in tal senso, uno dei casi più eclatanti risale al mese di novembre 2005. Una versione del worm Sober informava gli utenti-vittima che la polizia criminale tedesca stava investigando riguardo a certe persone colte a visitare siti web illegali. Nella circostanza, il messaggio di posta è giunto anche nell’e-mail box di un uomo che aveva la malsana abitudine di frequentare siti con contenuti pedopornografici. Questa persona ha ritenuto che il messaggio ricevuto fosse del tutto autentico e si è pertanto docilmente costituita alla polizia, in maniera volontaria.

Negli ultimi tempi hanno acquisito particolare popolarità, presso i cybercriminali, non tanto i file nocivi in veste di allegato al messaggio, bensì i link malevoli preposti a condurre gli utenti verso il download di file dannosi custoditi all’interno di siti web infetti. Nella fattispecie, alla potenziale vittima viene recapitato un messaggio di posta elettronica, oppure un messaggio tramite ICQ o altri sistemi di instant messaging; i malintenzionati ricorrono inoltre, anche se più di rado, alle chat room IRC (Internet Relay Chat). Per quel che riguarda il malware mobile, invece, l’abituale metodo di distribuzione è rappresentato dai messaggi SMS. Indipendentemente dalle modalità di distribuzione adottate, in genere il messaggio contiene parole che catturano l’interesse dell’ignaro utente e inducono quest’ultimo a cliccare sul link malevolo. Questo metodo di penetrazione del malware all’interno dei computer-vittima è attualmente il più diffuso ed efficace, in quanto consente di bypassare agevolmente i filtri antivirus del server di posta.

Per distribuire il malware vengono spesso utilizzate anche le reti di file sharing (reti Peer-to-Peer). Un worm o un programma trojan apparirà in una rete P2P con un nome tale da attirare inequivocabilmente l’attenzione, come:

  • AIM & AOL Password Hacker.exe
  • Microsoft CD Key Generator.exe
  • PornStar3D.exe
  • Play Station emulator crack.exe

Quando ricercano nuovi programmi, gli utenti delle reti P2P si imbattono in questi nomi allettanti, scaricano i relativi file e li eseguono sul proprio computer.

Un ulteriore trucco utilizzato dai malintenzionati è quello di offrire alla vittima un’utility gratuita, oppure una guida per ottenere l’accesso non autorizzato a vari sistemi di pagamento online. Viene ad esempio proposto l’accesso gratuito ad Internet o alle comunicazioni di telefonia mobile; si offre la possibilità di scaricare un generatore di numeri di carte di credito, oppure si suggerisce un metodo per aumentare il saldo del proprio conto online. Ovviamente, la vittima di un simile raggiro potrà difficilmente rivolgersi, poi, alle forze dell’ordine, visto che, a sua volta, ha cercato di ottenere profitti e vantaggi in maniera illecita. I cybercriminali, da parte loro, non esitano minimamente ad approfittarsi di tale circostanza, a loro favorevole.

Uno sconosciuto malfattore russo, nel corso degli anni 2005-2006, aveva sperimentato qualcosa di davvero inusuale. Nella circostanza, veniva inviato un trojan ad indirizzi e-mail recuperati attraverso il sito web , specializzato nella ricerca di personale e nel fornire opportunità per occupazioni lavorative di vario genere. Alcune persone, dopo aver inserito il proprio curriculum vitae su tale sito, ricevevano quindi generose “offerte di lavoro”, le quali includevano, tuttavia, il suddetto trojan, mascherato sotto forma di file allegato al messaggio di posta elettronica; nell’occasione, il destinatario dell’e-mail veniva invitato, come al solito, ad aprire il file, per venire subito a conoscenza del contenuto dello stesso. È di particolare interesse rilevare come l’attacco fosse mirato soprattutto a indirizzi e-mail aziendali. Il cybercriminale contava sul fatto che i dipendenti, dopo aver ricevuto il trojan, non avrebbero certo voluto informare i propri datori di lavoro riguardo alla fonte dell’infezione informatica di cui erano rimasti vittima mentre erano in cerca di un’altra occupazione. La strategia adottata dal malintenzionato si è rivelata particolarmente astuta; agli esperti di Kaspersky Lab sono difatti occorsi più di sei mesi per definire le dinamiche attraverso le quali il programma trojan riusciva a penetrare nei computer degli utenti.

Si sono ugualmente verificati alcuni casi al limite dell’inverosimile; citiamo, ad esempio, il singolare caso in cui i clienti di una banca, dopo aver ricevuto un’e-mail fasulla, contenente un file, venivano invitati a confermare (o per meglio dire — comunicare) il proprio codice di accesso, stampando il documento allegato al messaggio, riempiendo l’apposito modulo ed inviando poi quest’ultimo via fax al numero telefonico indicato nell’e-mail.

Un altro caso insolito è avvenuto in Giappone nell’autunno del 2005, quando i cybercriminali utilizzarono un servizio di consegne a domicilio per distribuire CD infetti, contenenti un trojan spyware. I dischi furono consegnati ai clienti di una banca giapponese, i cui indirizzi (numero civico, via, città) erano stati precedentemente rubati dal database di tale istituto bancario.

Tecniche di implementazione del malware

Queste tecnologie vengono utilizzate dai malintenzionati per introdurre in maniera furtiva del codice nocivo all’interno del sistema, facendo in modo di non attirare l’attenzione del proprietario del computer. Ciò viene realizzato sfruttando le vulnerabilità presenti nel sistema operativo o nelle applicazioni in esecuzione sul computer sottoposto ad attacco. La presenza di vulnerabilità consente al worm di rete o al programma trojan confezionato dal cybercriminale di poter penetrare nella macchina dell’utente-vittima e di avviarsi poi in maniera del tutto autonoma.

Una vulnerabilità è, di fatto, un errore nel codice o nella logica di funzionamento del sistema operativo o di un’applicazione. Poiché le applicazioni e i sistemi operativi odierni sono molto complessi e comprendono molte funzionalità, è difficile per il team di sviluppo di un fornitore creare dei software che non contengano errori. Purtroppo, invece, i virus writer e i cybercriminali non mancano, e sono pronti a dedicare molti sforzi allo studio delle vulnerabilità, per sfruttarle prima che vengano corrette dalle patch distribuite dal produttore.

I noti worm di posta elettronica Nimda e Aliz, ad esempio, sfruttavano le vulnerabilità individuate in Microsoft Outlook. Per avviare l’esecuzione del file del worm era sufficiente aprire l’e-mail infetta, oppure semplicemente posizionare il cursore sul messaggio nella finestra di anteprima.

I programmi maligni utilizzano attivamente anche le vulnerabilità rilevate nei componenti di rete dei sistemi operativi. Per realizzare il processo di auto-diffusione hanno ad esempio sfruttato tali vulnerabilità i worm CodeRed, Sasser, Slammer, Lovesan (Blaster), così come molti altri worm in grado di agire nell’ambito del sistema operativo Windows. È stato ugualmente colpito l’OS Linux; i worm Ramen e Slapper penetravano nei computer proprio attraverso le vulnerabilità di tale sistema operativo e di alcune sue applicazioni.

La distribuzione di codice nocivo attraverso le pagine web è divenuta, in questi ultimi anni, una delle tecniche di implementazione del malware più popolari. Essa sfrutta, spesso, le vulnerabilità individuate nei programmi utilizzati per la navigazione in Internet. In pratica, i malintenzionati inseriscono in una pagina web un file infetto e un apposito programma di script, preposti ad attaccare le vulnerabilità dei browser. Quando un utente visita la pagina infetta, il programma di script, attraverso l’eventuale vulnerabilità presente nel browser, provvede a scaricare il file nocivo sul computer-vittima, e ne lancia poi l’esecuzione. Per infettare il maggior numero possibile di computer, il creatore del malware si servirà di svariati metodi per attirare un elevato numero di utenti-vittima verso la pagina web malevola. I malintenzionati ricorrono, ad esempio, all’invio di messaggi di spam contenenti l’indirizzo della pagina infetta, oppure inviano messaggi analoghi tramite i sistemi di messaggistica istantanea; talvolta, per raggiungere lo scopo, vengono utilizzati persino i motori di ricerca. II testo posizionato sulla pagina infetta viene elaborato dai search engine, ed il collegamento alla pagina malevola viene così incluso negli elenchi dei risultati restituiti dai motori di ricerca.

Un’ulteriore tipologia di malware specializzati in tale genere di funzionalità nocive è rappresentata dai trojan di piccole dimensioni appositamente progettati per generare il download e l’esecuzione di programmi trojan di dimensioni maggiori. Il trojan più piccolo, in un modo o nell’altro, si insinua nel computer dell’utente, ad esempio attraverso una particolare vulnerabilità rilevata nel sistema, per poi scaricare ed installare ulteriori componenti nocivi tramite Internet. Questi trojan cambiano spesso le impostazioni del browser, configurando l’opzione di sicurezza più bassa, nel tentativo di spianare la “strada” agli altri trojan “maggiori”.

Una volta scoperte, le vulnerabilità vengono rapidamente “patchate” dagli sviluppatori di software; tuttavia, le vulnerabilità corrette vengono in pratica immediatamente rimpiazzate da nuove vulnerabilità, quasi subito sfruttate da una moltitudine di hacker e virus writer. Per aumentare il proprio numero, molti trojan “bot” utilizzano proprio le nuove vulnerabilità, non appena le stesse vengono individuate; inoltre, i malintenzionati, per introdurre ulteriori programmi trojan nei computer-vitttima, hanno iniziato a sfruttare nuovi bug rilevati in Microsoft Office. Purtroppo il periodo che intercorre tra l’emergere di una nuova vulnerabilità e il suo sfruttamento da parte di worm e trojan tende a diventare sempre più breve. Ne consegue che i vendor di software vulnerabili ed i produttori di programmi antivirus si trovano spesso a combattere contro il tempo. I fornitori di applicazioni o di sistemi operativi devono rettificare l’errore quanto prima possibile, sviluppando un’apposita patch, testandola e distribuendola agli utenti. I fornitori di antivirus, da parte loro, devono lavorare rapidamente per distribuire una soluzione in grado di rilevare e bloccare i file, i pacchetti di rete o gli altri elementi utilizzati per sfruttare la vulnerabilità.

Combinazione di social engineering e tecniche di implementazione del malware

Per massimizzare le probabilità di infettare i computer degli utenti, i cybercriminali si avvalgono, piuttosto di frequente, di una combinazione di metodi di ingegneria sociale e tecniche di implementazione del malware. I metodi di social engineering vengono utilizzati per attirare l’attenzione della potenziale vittima, mentre le suddette tecniche aumentano le probabilità che l’oggetto infetto riesca a penetrare nel sistema sottoposto ad attacco.

Il worm di posta elettronica denominato Mimail, ad esempio, è stato distribuito dai malfattori come allegato ad un messaggio e-mail. Per far sì che tale messaggio potesse catturare l’attenzione della vittima, i malintenzionati avevano inserito un testo elaborato in maniera piuttosto originale ed accattivante; per avviare poi una copia del worm dall’archivio ZIP allegato all’e-mail, gli autori del malware sfruttavano una vulnerabilità rilevata nel browser Internet Explorer. Quando il file nocivo contenuto nell’archivio veniva aperto, il worm creava una copia di se stesso sul disco della vittima, quindi si avviava senza alcun avviso di sistema o la necessità di ulteriori azioni da parte dell’utente. Mimail è stato uno dei primi worm appositamente progettati per carpire i dati personali degli utenti dei portafogli elettronici forniti nell’ambito del sistema e-Gold.

Un ulteriore esempio dell’utilizzo simultaneo di ingegneria sociale e tecniche di implementazione malevole è rappresentato da una particolare campagna di spam composta da messaggi e-mail con la parola “Hello” nel campo riservato all’oggetto, mentre il testo del messaggio recitava “Look what they say about you” (Guarda cosa dicono di te). Il testo era poi seguito da un link preposto a condurre verso una determinata pagina web. La successiva analisi ha evidenziato come tale pagina contenesse uno script nocivo il quale, sfruttando una vulnerabilità nel browser Internet Explorer, generava il download del programma trojan LdPinch sul computer dell’utente, un software dannoso appositamente progettato per realizzare il furto di password di vario genere.

Perché i cybercriminali tentano di combattere i software antivirus

Come abbiamo visto, lo scopo dei cybercriminali è quello di introdurre codice maligno all’interno dei computer-vittima. Per raggiungere tale obiettivo i malintenzionati debbono non soltanto indurre l’utente ad eseguire un file infetto – o riuscire a penetrare nel sistema mediante l’utilizzo di una determinata vulnerabilità – ma anche eludere l’azione protettiva svolta dal filtro antivirus installato nella macchina sottoposta ad attacco. Non costituisce quindi motivo di particolare sorpresa il fatto che i cybercriminali cerchino di combattere ostinatamente le attività eseguite dai software antivirus. Per far ciò, essi utilizzano le tecniche più diverse; quelle praticate con maggiore frequenza sono le seguenti:

  • Code packing e crittografia. Una significativa parte – se non la maggior parte – dei worm e dei programmi trojan attualmente in circolazione risulta essere “packed” (nascosta all’interno di pacchetti), oppure viene codificata in vario modo. Negli ambienti cybercriminali, di fatto, vengono progettate e create speciali utility per il packing e la crittografia. È ad esempio risultato nocivo ogni file Internet elaborato con le utility CryptExe, Exeref, PolyCrypt ed altre ancora.

    Per poter rilevare i worm ed i trojan inseriti in pacchetti e crittografati, si rivela necessario aggiungere al programma antivirus nuovi metodi di decompressione e decodifica, oppure dotare lo stesso di nuove firme per ogni sample di programma dannoso. Questo produce, inevitabilmente, una diminuzione dei valori relativi al tasso di rilevamento, visto che le società produttrici di antivirus non sempre dispongono di tutti i possibili sample di codice nocivo modificato.

  • Mutazione del codice. Si ottiene “diluendo” il codice di un trojan con apposite istruzioni “spazzatura”. Vengono in tal modo mantenute le funzionalità nocive proprie del programma trojan, ma il suo “aspetto esteriore” risulta sensibilmente modificato. Di tanto in tanto si incontrano dei casi in cui la mutazione del codice avviene in tempo reale, ogni volta che il trojan viene scaricato dal sito web infetto. Ciò significa che tutti – o quasi tutti – i trojan che giungeranno sui computer degli utenti, provenendo da tale sito compromesso dal malware, risulteranno in pratica diversi tra loro. Un significativo esempio dell’utilizzo di questa specifica tecnologia malevola è rappresentato dall’e-mail worm Warezov; nella seconda metà del 2006, alcune versioni dello stesso hanno causato gravi epidemie.
  • Occultamento della propria presenza nel sistema. Le cosiddette tecnologie rootkit, abitualmente impiegate dai trojan, permettono di intercettare e sostituire alcune funzioni di sistema, allo scopo di rendere invisibile il file infetto al sistema operativo e ai programmi antivirus. A volte vengono nascosti persino i rami del registro di sistema in cui si annida la copia del trojan, oltre ad ulteriori file di sistema. Il trojan backdoor HacDef costituisce un rilevante esempio di codice nocivo che si avvale di queste tecniche.
  • Blocco dei programmi antivirus e degli aggiornamenti dei database antivirus. Numerosi trojan e worm di rete intraprendono specifiche attività per contrastare l’azione svolta dai programmi antivirus; ricercano attivamente questi ultimi nell’elenco delle applicazioni attive, tentando poi di bloccare il loro funzionamento, danneggiare i database antivirus ed impedire i processi di aggiornamento del software antivirus. Per sconfiggere il malware, il programma antivirus deve difendersi in maniera adeguata, controllando l’integrità dei propri database e nascondendo i propri processi ai trojan.
  • Occultamento del proprio codice sui siti web. Le società produttrici di soluzioni antivirus vengono piuttosto rapidamente a conoscenza degli indirizzi delle pagine web contenenti file di trojan. Gli analisti di virus possono quindi studiare attentamente il contenuto di tali siti dannosi e aggiungere, così, nuove versioni di programmi trojan ai loro database. Tuttavia, per contrastare la scansione antivirus, una pagina web può essere modificata, in modo che, quando le richieste sopraggiungono da un produttore di antivirus, venga di fatto scaricato un file non trojan, anziché il programma trojan originariamente previsto.
  • Attacchi “in massa”. Nel corso di un attacco in massa vengono distribuite su Internet grosse quantità di nuove versioni di programmi trojan, in un lasso di tempo molto breve. Di conseguenza, i produttori di soluzioni antivirus ricevono una quantità enorme di nuovi sample di malware da analizzare. Il cybercriminale spera che il tempo impiegato per analizzare ogni campione dia al proprio codice nocivo maggiori possibilità di penetrare nei computer degli utenti.

I metodi qui sopra descritti, al pari di ulteriori tecniche malevole, vengono ampiamente utilizzati dai criminali informatici per contrastare l’azione svolta dai programmi antivirus. L’attività dei cybercriminali si intensifica anno dopo anno; è addirittura possibile parlare di una vera e propria “corsa agli armamenti tecnologici” tra l’industria antivirus e l’industria dei virus. Allo stesso tempo aumenta in maniera considerevole sia il numero degli hacker che agiscono in maniera individuale, sia il numero dei gruppi di malintenzionati dediti a pericolose attività legate alla criminalità informatica; si registra ugualmente, poi, un costante innalzamento del livello di “professionalità” dimostrato da tali malfattori. Tutti questi elementi, combinati tra loro, rendono sempre più complesso e voluminoso il lavoro che le società produttrici di antivirus debbono costantemente compiere per elaborare soluzioni di sicurezza IT solide ed efficaci.