Trust aWare, dispositivi intelligenti per combattere le minacce più insidiose
Nello spazio blog del sito ufficiale del progetto europeo Trust aWare è online un nuovo contributo di Broderick Aquilino, capo della ricerca in WithSecure, partner del progetto.
L’articolo descrive la complessità degli attacchi LOLBin e senza file allegati e presenta una soluzione avanzata, l’Activity Monitor, progettata per contrastare efficacemente queste minacce.
Gli attacchi LOLBin (Living off the land binaries) camuffano le proprie intenzioni sfruttando processi di sistema già presenti sul computer bersaglio (come, ad esempio, i programmi word o altri nativi del sistema Windows) e quindi ritenuti per forza “buoni” dagli antivirus. Le misure di sicurezza tradizioni hanno difficoltà a rilevare la minaccia camuffata e gli aggressori riescono a lavorare indisturbati.
Gli attacchi senza file, invece, rappresentano un allontanamento dalle tattiche di malware convenzionali. A differenza degli attacchi tradizionali che prevedono l'installazione di file dannosi sul disco di un sistema, gli attacchi senza file operano interamente nella memoria, senza lasciare alcuna traccia sul disco che possa essere rilevata dalle misure di sicurezza.
Quando i LOLBin e gli attacchi senza file uniscono le forze, creano una potente sinergia che rappresenta una seria minaccia per la sicurezza informatica. “Per migliorare ulteriormente le loro tattiche di evasione, gli aggressori spesso impiegano tecniche come le iniezioni di processo. Ciò comporta l'iniezione di codice dannoso in processi legittimi, come explorer.exe. Questo metodo consente loro di sfruttare la legittimità del processo host mentre eseguono azioni dannose, come la crittografia dei file utente.
La tecnologia Activity Monitor, nata inizialmente solo per monitorare le applicazioni sconosciute, ora consente agli utenti di ripristinare senza problemi anche le impostazioni originali dei loro dispositivi in seguito a un attacco malware. Nell'articolo è contenuto un video che mostra la simulazione di un attacco con iniezione di codice dannoso e come Activity Monitor sia in grado non solo di identificare e fermare le attività dannose, ma anche di distinguere i file originali creati dagli utenti dalle modifiche apportate dal ransomware.
“Questo livello di intelligenza è fondamentale per prevenire la perdita di dati e la compromissione del sistema”, spiega Aquilino. “Con Activity Monitor, le organizzazioni possono rafforzare le loro difese, fornendo uno scudo proattivo e intelligente anche contro gli avversari più sofisticati”, conclude il ricercatore.
La ricerca è realizzata nell’ambito del progetto europeo TRUST aWARE, finanziato dal programma di ricerca e innovazione Horizon 2020 dell'Unione Europea con il Grant Agreement No. 101021377.
