newsSicurezza Informatica

Advanced Evasion Techniques: Bellissime e pericolose!

AETs

Advanced Evasion Techniques – Le notizie di attacchi informatici “mirati” a grandi aziende , purtroppo sono all’ordine del giorno. Si sono verificate violazioni in aziende quali RSA , nel network Sony … solo per citarne alcune e tantissimi altri ad aziende con bassa visibilità sono innumerevoli.
I “pirati informatici” purtroppo divengono sempre più scaltri e la maggiorparte dei firewall e dei sistemi di Intrusion Prevention ormai possono essere definiti “ciechi” e non più in  grado di garantire una adeguata protezione contro la nuova minaccia delle AET (Advanced Evasion Techniques).

 

Advanced Evasion Techniques BandaBassotti
Advanced Evasion Techniques BandaBassotti

 

Ormai non abbiamo più a che fare con gruppi tipo Banda Bassotti !

Le Advanced Evasion Techniques (AETs) sono tecniche sofisticate utilizzate dagli hacker per eludere i sistemi di sicurezza e le rilevazioni degli attacchi informatici. Queste tecniche sono progettate per mascherare o modificare il traffico malevolo in modo che possa passare inosservato dai dispositivi di sicurezza tradizionali.

 

 

Aet-Apt
Tecniche di evasione avanzata

Gli “attaccanti” utilizzano sempre le stesse armi, ma il modo in cui farle entrare in contatto con la “vittima” è radicalmente cambiato.

In poche parole, il pacco regalo (il malware) e’ sempre lo stesso ma la metodica di consegna bypasserà tutti i sistemi di sicurezza che non hanno caratteristiche specifiche per contrastare l AET.

Prima il malware si tentava di introdurlo oltre il firewall mediante attachment , inglobato in video e foto o cercando di far attuare un download forzato dalla vittima.

In questi casi, il pacco regalo era ben chiuso ed identificabile, e un buon analizzatore come un robusto antivirus poteva bloccare il regalo in maniera sicura e veloce.

Ma ora con le AET , il pacco regalo (playloads) viene scomposto prima dell’invio , vengono utilizzati vari protocolli per inviarli al destinatario, per poi riassemblarli dopo la consegna per permettere un attacco APT (Advanced Persistent Threat).

In questo caso non vi e’ antivirus che tenga, il pacco regalo anche con un fiocco gigantesco, non verrà mai identificato.

Quali sono le tecniche più comuni ?

Il Framing

Il “framing” è una tecnica utilizzata dagli hacker per ingannare i sistemi di sicurezza informatica. In questa tecnica, il traffico malevolo viene suddiviso in frammenti più piccoli prima di essere inviato attraverso la rete. Questi frammenti possono essere pacchetti di dati di dimensioni ridotte o segmenti separati. Questo rende più difficile rilevare il payload malevolo, poiché il traffico sembra apparentemente inoffensivo quando è diviso in piccoli pezzi.

Una volta che questi frammenti raggiungono la destinazione, vengono ricomposti per formare il malware originale. Questo processo di ricomposizione può verificarsi prima che il traffico raggiunga i dispositivi di sicurezza, rendendo ancora più complicato rilevare l’attacco.

Per difendersi dal framing, è essenziale utilizzare dispositivi di sicurezza avanzati in grado di rilevare e ricomporre i frammenti di traffico, consentendo un’analisi completa. Inoltre, è importante implementare soluzioni di analisi comportamentale che possano identificare comportamenti anomali nel traffico di rete, anche se il traffico è stato frammentato. Mantenere sempre aggiornati i dispositivi di sicurezza e sensibilizzare gli utenti sulla sicurezza informatica sono ulteriori passi importanti per proteggersi da questa minaccia.

Polymorphic Malware

Il “Polymorphic Malware” è un tipo di malware (software dannoso) che si distingue per la sua abilità di mutare o cambiare la sua firma ogni volta che viene eseguito. Questo significa che ogni istanza del malware ha una firma diversa, il che rende estremamente difficile rilevarlo utilizzando le tradizionali firme di riconoscimento antivirus.

Questa capacità di mutazione rende il Polymorphic Malware una minaccia molto insidiosa. Gli hacker possono creare varianti multiple dello stesso malware, ognuna con una firma diversa, per eludere la rilevazione degli antivirus. Questo tipo di malware può modificare il proprio codice o la sua struttura interna ad ogni nuova esecuzione, garantendo così di passare inosservato attraverso le difese di sicurezza.

La difesa contro il Polymorphic Malware richiede l’adozione di approcci più avanzati nella sicurezza informatica. Le soluzioni basate sul riconoscimento delle firme tradizionali spesso non sono sufficienti, poiché il malware cambia costantemente aspetto. Invece, è necessario utilizzare sistemi di sicurezza basati sull’analisi comportamentale.

Questi sistemi osservano il comportamento dei programmi in esecuzione e identificano le azioni sospette o dannose, indipendentemente dalla firma specifica del malware. Inoltre, l’uso di soluzioni di sicurezza avanzate come il sandboxing (ambiente di esecuzione sicura) può aiutare a isolare il malware e analizzarlo in un ambiente controllato senza compromettere la sicurezza dell’intero sistema.

Traffic Fragmentation

La tecnica chiamata “Traffic Fragmentation” è una tecnica utilizzata dagli attori di minacce per cercar di eludere i sistemi di sicurezza. In questa tattica, il traffico malevolo viene diviso in frammenti più piccoli prima di essere trasmesso attraverso la rete. Questi frammenti possono essere pacchetti di dati di dimensioni ridotte o segmenti separati. L’obiettivo è mascherare o nascondere il payload dannoso suddividendolo in pezzi apparentemente innocui.

Una volta che questi frammenti raggiungono il loro punto di destinazione, vengono ricomposti per formare il malware originale. Questo processo di ricomposizione può avvenire prima che il traffico raggiunga i dispositivi di sicurezza, rendendo difficile la rilevazione dell’attacco.

Per difendersi efficacemente dalla tecnica di Traffic Fragmentation, è necessario , anche qui, utilizzare soluzioni di sicurezza avanzate in grado di rilevare e ricomporre i frammenti di traffico per un’analisi completa.

Evasive Payloads

Gli “Evasive Payloads” rappresentano una tecnica avanzata utilizzata dagli hacker per eludere i sistemi di sicurezza informatica. In questa tattica, il payload malevolo, cioè la parte dannosa di un attacco informatico, viene camuffato o modificato dinamicamente durante l’esecuzione. L’obiettivo principale è sfuggire alla rilevazione da parte dei dispositivi di sicurezza tradizionali.

La capacità di questi payload evasivi di cambiare la loro struttura o il loro comportamento durante l’attacco li rende molto difficili da identificare utilizzando firme di riconoscimento statiche o basate su modelli. Questa adattabilità permette loro di passare inosservati attraverso i filtri di sicurezza.

Steganografia

La “Steganografia” è una tecnica vecchia e altamente  sofisticata utilizzata per nascondere dati all’interno di altri dati, spesso sotto forma di immagini, file audio o video. A prima vista, i file steganografici sembrano essere normali e apparentemente innocui, ma contengono informazioni nascoste. Questo rende la steganografia una tecnica di occultamento molto efficace, che può essere utilizzata sia a fini legittimi che malevoli.

Per quanto riguarda la Steganografia , vi consiglio di leggere “Backdoor LightNeuron per server Exchange: Non è fantascienza.” . In questo io articolo, parlo di esperti di test di penetrazione che hanno affermato che un gruppo di spie cyber russe ha creato una delle backdoor più avanzate che si pensava potesse attaccare da un server di posta elettronica.

La backdoor si chiama LightNeuron. E’ stata sviluppata appositamente per attaccare i server di posta elettronica di Microsoft Exchange. Funziona come agente di trasferimento di posta (MTA), un metodo mai visto prima in una backdoor. “Probabilmente questo è il primo software dannoso progettato per mirare specificamente a Microsoft Exchange”, ha detto uno degli specialisti.

Il punto di forza di LightNeuron è il suo meccanismo di comando e controllo. Una volta che un server Microsoft Exchange è stato infettato e modificato con LightNeuron, gli hacker non si collegheranno mai direttamente ad esso, ma invieranno e-mail con allegati PDF o JPG che includeranno le operazioni e comandi da svolgere.