Protezione zero-day avanzata con APT Blocker
Transcript
Protezione zero-day avanzata con APT Blocker
Protezione zero-day avanzata con APT Blocker White Paper WatchGuard® Technologies, Inc. Data pubblicazione: Febbraio 2016 Patch, firme e altro ancora Nel 2003, il worm SQL Slammer ha causato un blocco totale del traffico Internet in molte parti del mondo che si è protratto per diverse ore.1 Questo famigerato worm intendeva colpire una vulnerabilità nota nel database Microsoft SQL per la quale era stata distribuita una patch sei mesi prima. Il segreto del successo e della proliferazione di questa minaccia sono state le sue dimensioni ridotte e la rapidità con cui si replicava e cercava casualmente nuovi obiettivi da infettare. Negli anni successivi all’attacco, i fornitori IT sono stati costretti a rispondere a molte altre minacce di questo tipo. Ogni mese Microsoft pubblica una serie di aggiornamenti volti a risolvere le vulnerabilità riscontrate nel proprio software. Adobe segue a ruota e distribuisce hotfix di sicurezza nello stesso “Patch Tuesday”. Anche Cisco fornisce una serie consistente di correzioni della sicurezza a cadenza trimestrale. Gli amministratori IT vengono invitati ad applicare regolarmente le patch ai loro sistemi per tenerli sempre aggiornati. Altre forme di difesa includono i sistemi di prevenzione delle intrusioni, detti anche IPS (Intrusion Prevention Systems), che eseguono un’analisi approfondita dei pacchetti per individuare i pattern conosciuti degli exploit delle vulnerabilità. I sistemi antivirus bloccano e mettono in quarantena il malware. Normative come gli standard PCI DSS obbligano le aziende ad aggiornare sempre il software antivirus con le firme più recenti. Le soluzioni di gestione centralizzate consentono di verificare che tutti gli utenti dispongano di soluzioni antivirus aggiornate sul proprio desktop, laptop e ora anche sui dispositivi mobili Android. Questo però non basta e in questo documento spieghiamo perché. Zero-day è il nuovo campo di battaglia Da tempo, nel settore delle scienze biomediche, ricercatori e medici hanno capito che microbi e batteri si evolvono nel tempo sviluppando una maggiore resistenza agli antibiotici. Per contrastarli, occorre sviluppare farmaci nuovi e più potenti. Analogamente, nel mondo della sicurezza informatica, sono emersi nuovi generi di malware che sono più avanzati e resistenti alle difese convenzionali. In passato, gli hacker prendevano di mira le grandi società, ma oggi anche le piccole e medie imprese vengono aggredite con lo stesso tipo di malware. Una tattica che accomuna gli hacker che implementano una APT (minaccia avanzata persistente) consiste nell’uso dello spear phishing. Si tratta di un messaggio e-mail inviato apparentemente da una persona o un’azienda nota al destinatario in cui vengono richiesti i dati della carta di credito, il nome della banca e altre informazioni sensibili. Figura 1 - Caratteristiche di una minaccia persistente evoluta 1 http://en.wikipedia.org/wiki/SQL_Slammer 2|Pagina WatchGuard Technologies Per superare le difese della rete, il malware moderno si avvale di tecniche evolute come i canali di comunicazione crittografati, i rootkit a livello di kernel e le funzionalità di elusione avanzate. L’aspetto più importante è che il malware sfrutta spesso le vulnerabilità zero-day, dei difetti i quali non sono ancora state sviluppate patch o firme. Nel 2012, il team di ricerca per la sicurezza di WatchGuard ha segnalato la presenza di quattro vulnerabilità zeroday sfruttate nel mondo reale. Nel 2013, abbiamo emesso avvisi relativi a circa tredici minacce zero-day in circolazione che venivano utilizzate nel mondo reale.2 Il malware moderno è spesso persistente e progettato per durare. È subdolo e capace di celare le proprie comunicazioni; vive nella rete della vittima il più a lungo possibile e spesso esegue una disinfezione prima di andarsene, eliminando i registri, utilizzando una crittografia avanzata e comunicando con il proprio controller solo mediante piccole notifiche occultate inviate a “raffica”. Molti attacchi sono ora una combinazione di tecniche diverse. Gruppi di criminali estremamente competenti, motivati e con le spalle finanziariamente coperte rappresentano una minaccia importante perché mirano a obiettivi e scopi specifici, in genere un guadagno economico derivante dal furto di carte di credito e altre utili informazioni sui conti bancari. Questi nuovi ceppi di malware avanzato vengono spesso definiti minacce persistenti evolute o APT (Advanced Persistent Threat). La figura 2 mostra una cronologia dei principali attacchi sferrati in questi ultimi anni. L’evoluzione che porta da Stuxnet a Duqu mette in evidenza come le tecniche avanzate utilizzate dai governi vengono ora adottate anche dagli hacker a scopo di lucro, per prendere di mira società Fortune 500, piccole e medie imprese, infrastrutture della pubblica amministrazione e il settore industriale. Le conseguenze delle violazioni sono notevoli per qualsiasi azienda. Forbes ha segnalato che le vendite del principale rivenditore al dettaglio USA, Target, sono scese quasi del 50% nel 4° trimestre del 20133 e la causa principale è stata la pubblicità negativa legata alla massiccia violazione della sicurezza dei dati subita durante le festività del 2013. Il prezzo delle azioni è diminuito del 9%. Il CIO è stato costretto a lasciare l’azienda e il 5-10% degli acquirenti di Target ha affermato di non voler più fare acquisti presso un negozio della catena.4 Nei mesi successivi alla violazione Target, molti altri rivenditori di spicco hanno segnalato episodi di perdita di dati. Con la fine Figura 2 - Evoluzione delle APT dal 2010 al 2015 2 Watchguardsecuritycenter.com 3 http://www.forbes.com/sites/maggiemcgrath/2014/02/26/target-profit-falls-46-on-credit-card-breach-and-says-the-hits-could-keep-on-coming/ 4 http://www.usatoday.com/story/money/business/2014/03/11/target-customer-traffic/6262059/ 3|Pagina WatchGuard Technologies di luglio 2014, il Dipartimento della Sicurezza Interna degli Stati Uniti d’America ha emesso un avviso con il quale comunicava che il malware Backoff Point-of-Sale e relative varianti aveva compromesso più di 1.000 reti. Il Dipartimento invitava le aziende a verificare la presenza di Backoff nelle proprie reti.5 Un’altra azienda screditata pubblicamente nel 2014 è stata Sony Pictures. Un gruppo di hacker noto come “Guardians of Peace” (GOP), non solo ha intimato a Sony di ritirare il proprio film “The Interview” ma ha dichiarato di avere sottratto all’azienda più di 100 terabyte di dati sensibili. I dati includevano film e copioni ancora inediti, codici di previdenza sociale dei dipendenti, scambi di e-mail tra i dipendenti, compensi della dirigenza e altre informazioni private. Il film in questione è una commedia che narra di un complotto per assassinare il leader della Corea del Nord Kim Jong-un; secondo l’opinione dei servizi segreti USA l’hack sarebbe stato finanziato dalla Corea del Nord, i cui vertici hanno tuttavia negato qualsiasi responsabilità. Tutto il 2014, e anche il 2015, è stato un continuo susseguirsi di attacchi informatici. Molte aziende hanno rivelato di essere state colpite, con danni causati a centinaia di milioni di dipendenti e clienti nell’amministrazione pubblica e nei settori finanziario, sanitario e dei trasporti. x x x x JPMorgan Chase, la più grande banca degli Stati Uniti, ha subito un attacco nel luglio 2014 che ha compromesso i dati dei conti di 76 milioni di clienti privati e di 7 milioni di piccole imprese. Gli hacker hanno sottratto nomi, indirizzi, numeri telefonici e indirizzi e-mail dei titolari dei conti. Premera ha scoperto che gli hacker avevano violato i suoi sistemi IT e rubato informazioni su richiedenti e iscritti come codici di previdenza sociale, numeri ID degli iscritti, informazioni su richieste di indennizzo, informazioni sui conti bancari e molto altro ancora. Circa 11 milioni di clienti sono stati coinvolti in questo attacco. Le indagini hanno rivelato che l’attacco iniziale è stato sferrato nel maggio 2014, ma non è stato scoperto fino a gennaio 2015. Secondo una stima fornita da Anthem, il secondo più importante assicuratore sanitario degli Stati Uniti, l’attacco informatico di febbraio 2015 ha compromesso le informazioni personali di circa 80 milioni di clienti. La violazione dei dati si è estesa a Blue Cross, Blue Cross and Blue Shield, Amerigroup, Caremore e UniCare. Sono state sottratte informazioni sui dipendenti, date di nascita e molto altro ancora. Gli hacker hanno attaccato lo United States Office of Personnel Management (OPM) e si sono impadroniti di informazioni sensibili su quei dipendenti che erano stati sottoposti a controlli dei precedenti penali per i nulla osta di sicurezza In totale, con la violazione del 2015 sono stati compromessi circa 21,5 milioni di record. L’antivirus non tiene il passo La lotta contro il codice dannoso è una vera e propria “corsa agli armamenti”. Non appena gli aggrediti introducono nuove tecniche di rilevamento, gli aggressori trovano nuovi sistemi per bypassarle. Le tradizionali aziende fornitrici di soluzioni antivirus impiegano tecnici e autori di firme per analizzare i file e monitorare l’esecuzione di programmi sconosciuti in un ambiente instrumentato. Oppure inoltrano i file a strumenti come Anubis, che analizza i file e segnala eventuali attività o comportamenti sospetti che indicano la presenza di un virus. Ciononostante, la compilazione di firme è una strategia perdente perché esiste l’88% di possibilità che il malware sia stato elaborato in una nuova variante in grado di eludere i controlli delle classiche tecniche di rilevamento. 5 http://bits.blogs.nytimes.com/2014/08/22/secret-service-warns-1000-businesses-on-hack-that-affected-target/?_php=true&_type=blogs&_r=0 4|Pagina WatchGuard Technologies Lastline Labs ha studiato la crescita del malware elusivo nel 2014. Grazie a questa ricerca, ha scoperto che il numero di tecniche elusive è in aumento e che la percentuale di malware è quasi triplicata in un solo anno. Figura 3 - Crescita del malware elusivo Lastline ha inoltre pubblicato la ricerca basata su centinaia di migliaia di elementi di malware che ha individuato in un anno, ossia da aprile 2014 a marzo 2015. Ogni campione di malware è stato testato a fronte delle soluzioni antivirus di decine di fornitori riportati in VirusTotal, un sito di terze parti che raggruppa e confronta varie soluzioni antivirus. L’obiettivo era determinare l’efficacia delle soluzioni antivirus, individuare i motori in grado di riconoscere i campioni di malware e registrare la velocità con cui individuano il nuovo malware. I risultati sono stati sorprendenti. Figura 3A - Probabilità di rilevamento del malware 5|Pagina WatchGuard Technologies Il grafico mostra due linee: quella blu rappresenta il malware comune e quella rossa rappresenta il malware meno rilevato in assoluto. Il malware che si trova nella categoria del primo percentile, ossia “minore probabilità di essere rilevato”, è passato inosservato con la maggior parte dei programmi antivirus. Un altro tipo di malware che ha danneggiato sensibilmente i clienti e le aziende è il ransomware. In genere si diffonde mediante messaggi e-mail di phishing che contengono allegati o collegamenti per il download dannosi. Una volta infettato il computer, il ransomware è in grado di crittografare i file rendendoli inaccessibili. Quindi visualizza un messaggio nel quale richiede all’utente di pagare un riscatto per ricevere una chiave di crittografia per decodificare i file. Anche le difese si evolvono: sandbox Occorre una nuova soluzione. Oggi le soluzioni sandbox vengono utilizzate in automatico nell’ambito del processo di rilevamento. Il codice viene eseguito e analizzato in modo dinamico nella sandbox senza nessun controllo da parte dell’utente. Ciononostante, gli autori del malware utilizzano tecniche elusive per assicurarsi che i programmi non rilevino la presenza di attività dannose quando vengono eseguiti in questo ambiente di analisi automatizzato. Alcune delle tecniche più utilizzate dal malware sono: Verificare la presenza di una macchina virtuale. Inviare una query alle chiavi di registro di Windows conosciute che indicano una sandbox in particolare. Restare inattivo per qualche tempo, in attesa che la sandbox sospenda l’analisi. La risposta dei fornitori di prodotti di sicurezza è stata aggiungere una sorta di personalissimo “controspionaggio” nei sistemi. Vengono cercate le query del malware alle chiavi note e si viene forzata l’attivazione di un programma dopo che entra in modalità di sospensione. Questo resta tuttavia un approccio reattivo. I sistemi di analisi antimalware devono comunque essere aggiornati manualmente per gestire ogni nuovo stratagemma elusivo. Gli autori del malware che creano le elusioni zero-day sono in grado di bypassare il rilevamento fino a quando la sandbox non viene aggiornata. “Oltre la sandbox”: emulazione completa del sistema Le implementazioni di sandbox più comuni di oggi si affidano per lo più a un ambiente virtuale che contiene il sistema operativo guest. In alcuni casi, invece, una sandbox esegue il sistema operativo direttamente su una macchina reale. Il problema principale, nonché il grande limite delle sandbox moderne basate sulla virtualizzazione, è la mancanza di visibilità e di conoscenza dell’esecuzione di un programma malware. La sandbox deve poter acquisire il maggior numero possibile di informazioni sul comportamento del malware, ma lo deve fare in modo da nascondersi al malware stesso. Se riconosce la presenza di una sandbox, il malware modifica il proprio comportamento. Ad esempio, invece di restare semplicemente in standby, alcuni programmi sofisticati eseguono una qualsiasi (inutile) operazione di calcolo che dà l’idea di un’attività in corso. Pertanto, non c’è modo che la sandbox risvegli il programma. Il programma è semplicemente in esecuzione e, dal punto di vista del sistema di analisi anti-malware, tutto è nella norma. La maggior parte del malware viene eseguita in modalità utente, ossia come utente normale o come amministratore. Le sandbox basate sulla virtualizzazione controllano le chiamate Windows API e le chiamate di sistema dai programmi in modalità utente. Le chiamate di sistema o le chiamate di funzione acquisiscono tutte le interazioni tra un programma e il suo ambiente (ossia quando i file vengono letti, le chiavi di registro scritte e il traffico di rete prodotto). La sandbox però è cieca verso tutto quello che accade tra le chiamate di sistema e gli autori del malware possono prendere di mira questi punti ciechi. Nell’esempio riportato sopra, il codice di arresto è codice eseguito tra le chiamate di sistema. 6|Pagina WatchGuard Technologies Occorre un approccio più intelligente. Un emulatore è un programma software che simula le funzionalità di un altro programma o di un componente hardware. Poiché un emulatore implementa la funzionalità nel software, offre una enorme flessibilità. L’emulazione OS del sistema operativo garantisce un livello elevato di visibilità sul comportamento del malware. Tuttavia, gli emulatori a livello OS non possono replicare ogni chiamata nel sistema operativo e in genere si concentrano su un sottoinsieme più utilizzato di funzionalità. Sfortunatamente, questo approccio è anche quello che il malware evoluto riesce a individuare e ad eludere con maggiore facilità. La funzionalità inattiva è un altro metodo adottato dagli hacker per aggirare i sistemi tradizionali basati su sandbox. In questo caso, l’elemento malware resta inattivo durante l’analisi e viene eseguito solo se vengono soddisfatte determinate condizioni. L’emulazione completa del sistema, in cui l’emulatore simula l’hardware fisico comprese CPU e memoria, fornisce il massimo livello di visibilità nel comportamento del malware ed è inoltre estremamente difficile da rilevare per il malware evoluto. Figura 4 - L’emulazione completa del sistema offre le più efficaci funzionalità di rilevamento malware WatchGuard APT Blocker APT Blocker, un servizio disponibile per tutte le appliance WatchGuard UTM, utilizza l’emulazione completa del sistema (CPU e memoria) per acquisire una visione dettagliata dell’esecuzione di un programma malware. Dopo la prima esecuzione attraverso altri sistemi di sicurezza come antivirus gateway e prevenzione delle intrusioni, i file vengono catalogati e confrontanti con un database esistente, prima sull’appliance e poi nel cloud. Se il file non è mai stato visto prima, viene analizzato con l’emulatore di sistema, che monitora l’esecuzione di tutte le istruzioni. È in grado di rilevare le tecniche di elusione che altre sandbox non riconoscono.6 Viene esaminata una serie completa di tipi di file (barra laterale). 6 http://info.lastline.com/blog/different-sandboxing-techniques-to-detect-advanced-malware 7|Pagina WatchGuard Technologies WatchGuard ha selezionato i migliori partner tecnologici in assoluto per creare la sandbox di ultima generazione utilizzata da APT Blocker. Lastline Technology è stata fondata dal team di esperti che ha sviluppato Anubis, lo strumento che negli ultimi nove anni è stato utilizzato da ricercatori di tutto il mondo per analizzare i file alla ricerca di malware potenziale.7 Quando viene individuato, il malware viene immediatamente bloccato in corrispondenza del firewall. In alcuni casi, è possibile che un vero file zero-day riesca a penetrare mentre l’analisi è in corso nel cloud. Se ciò avviene, il sistema WatchGuard è in grado di fornire avvisi immediati che segnalano che un elemento di codice sospetto è nella rete per consentire ai responsabili IT di controllare tempestivamente. Visibilità Individuare il malware però non è sufficiente: il personale IT deve disporre di informazioni chiare e utili che non vadano perse in una miriade di dati di registro. I reparti IT hanno il compito di garantire la continuità delle operazioni aziendali e di favorire la redditività. Nonostante il terribile impatto che gli incidenti legati alla sicurezza possono avere su un’azienda, molto reparti IT hanno un atteggiamento sospettoso verso gli avvisi di sicurezza sospetti. I registri di Neiman Marcus segnalavano oltre 60.000 incidenti che indicavano la presenza di malware nella rete.8 Target ha ricevuto file di registro un paio di giorni dopo la prima violazione che segnalavano la presenza di un problema, ma le segnalazioni sono state ignorate.9 Premera ha scoperto l’attacco il 29 gennaio 2015, ma un’indagine ha rivelato che l’aggressione iniziale risaliva al 5 maggio 2014. Tipi di file analizzati da APT Blocker: Proxy HTTP Proxy FTP Proxy SMTP Proxy POP3 Tutti i file eseguibili di Windows PDF Adobe Microsoft Office Rich Text Format File eseguibili Android (file .apk) Qualsiasi soluzione anti-malware avanzata deve fornire: Avvisi e-mail quando rileva un file pericoloso Funzionalità di registro e documentazione che siano strettamente integrate con altre funzionalità di rete Indicazioni chiare sul perché i file sono stati contrassegnati come malware, per evitare che l’allarme non venga subito ignorato come falso positivo La soluzione WatchGuard APT Blocker risponde a tutti i requisiti di visibilità grazie a messaggi e-mail di avviso, analisi in tempo reale dei registri e capacità di indagare approfonditamente per saperne di più. Il servizio si integra alla perfezione con WatchGuard Dimension™, la premiata soluzione di intelligence e visibilità10 in dotazione a tutte le soluzioni WatchGuard UTM ed NGFW. Non si limita ad avvisare l’utente della presenza di un file sospetto, fornisce anche un report dettagliato dall’attività dannosa di ogni file che viene classificato come malware. 7 http://info.lastline.com/blog/next-generation-sandbox-offers-comprehensive-detection-of-advanced-malware 8 http://www.businessweek.com/articles/2014-02-21/neiman-marcus-hackers-set-off-60-000-alerts-while-bagging-credit-card-data 9 http://www.businessweek.com/articles/2014-03-13/target-missed-alarms-in-epic-hack-of-credit-card-data#p1 10 http://www.watchguard.com/news/press-releases/network-computing-awards-names-watchguard-dimension-best-new-product-of-theyear.asp 8|Pagina WatchGuard Technologies Figura 5 - Un report di APT mostra in dettaglio le attività dannose e spiega perché un file viene contrassegnato come malware L’esempio riportato sopra mette in evidenza un file che ha mostrato diverse caratteristiche tipiche del malware. Le due tecniche di elusione individuate mostrano come la soluzione WatchGuard sia stata capace di riconoscere l’attività dannosa che avrebbe potuto ingannare altri prodotti basati su sandbox. WatchGuard Dimension rivela l’attività APT nei principali dashboard di sicurezza e mostra report di sicurezza provenienti da tutti gli altri servizi di protezione. L’attività APT viene anche inserita nei principali documenti di sintesi; sono inoltre disponibili tre report predefiniti tra cui l’amministratore può scegliere. 9|Pagina WatchGuard Technologies Figura 6 - Attività di APT Blocker vista attraverso WatchGuard Dimension, con altri servizi UTM nel dashboard di sicurezza Conclusione: protezione dei dati con il rilevamento del malware avanzato Le tecniche di hacking si sono evolute nel tempo e le minacce che incombono sulla rete sono sempre più sofisticate. I criminali informatici di oggi adottano le stesse tecnologie avanzate impiegate per gli attacchi sferrati ai governi negli scorsi anni al fine di colpire aziende di ogni dimensione. Gli esperti ritengono che le prossime vittime saranno i tablet e i dispositivi mobili. Le soluzioni di sicurezza devono evolvere per stare al passo con queste minacce e garantire la sicurezza della rete. Il rilevamento basato sulle firme è ormai superato. I servizi antivirus e di prevenzione delle intrusioni costituiscono ancora un elemento essenziale nella difesa delle aziende, ma devono essere supportati da funzionalità di rilevamento avanzate dotate di quattro caratteristiche fondamentali. 1. Sandbox nel cloud con emulazione completa del sistema e la possibilità di analizzare più tipi di file. 2. Capacità di andare oltre la sandbox per individuare forme diverse di elusione avanzate. 3. Visibilità per offrire al personale addetto alle operazioni di rete e al team IT avvisi chiari in merito a tutto il malware rilevato e spiegazioni sul perché ogni file è considerato dannoso. 4. Capacità di intervenire in modo proattivo e di bloccare i file dannosi. WatchGuard APT Blocker va oltre il rilevamento antivirus basato su firme, utilizzando una sandbox basata su cloud, insieme a un’emulazione completa del sistema, per rilevare e bloccare malware avanzato e attacchi zero-day. Per ulteriori informazioni su APT Blocker e sugli altri migliori servizi di protezione forniti da WatchGuard sulle sue piattaforme UTM e NGFW, visitare http://www.watchguard.com/aptblocker. 10 | P a g i n a WatchGuard Technologies INDIRIZZO: 505 Fifth Avenue South Suite 500 Seattle, WA 98104 WEB: www.watchguard.com VENDITE NORD AMERICA: +1.800.734.9905 VENDITE INTERNAZIONALI: +1.206.613.0895 11 | P a g i n a INFORMAZIONI SU WATCHGUARD WatchGuard® Technologies, Inc. è una società leader a livello internazionale nel settore delle soluzioni di sicurezza multifunzione integrate per le aziende, capace di unire con intelligenza hardware standard del settore, le migliori funzioni di protezione e strumenti di gestione basati su criteri. WatchGuard fornisce protezione facile da usare e di livello enterprise a centinaia di migliaia di aziende in tutto il mondo. La sede centrale di WatchGuard si trova a Seattle, Washington, ma ha uffici dislocati anche in Nord America, Europa, Asia Pacifico e America Latina. Per saperne di più, visitare WatchGuard.com. Non si fornisce alcuna garanzia esplicita o implicita. Tutte le specifiche sono soggette a modifiche e tutti i prodotti, le caratteristiche o le funzionalità future verranno forniti a seconda della disponibilità. ©2016 WatchGuard Technologies, Inc. Tutti i diritti riservati. WatchGuard, il logo WatchGuard e WatchGuard Dimension sono marchi registrati o marchi commerciali di WatchGuard Technologies, Inc. negli Stati Uniti e/o in altri paesi. Tutti gli altri marchi registrati o marchi commerciali sono di proprietà dei rispettivi proprietari. Cod. articolo WGCE66833_020216 WatchGuard Technologies