I ricercatori di malware riscontrano problemi quando cercano di testare i software senza modificare i dati o impattare negativamente sulle attività degli utenti reali. L’utilizzo di un endpoint infetto, infatti, potrebbe esporre dati e sistemi reali a un pericolo aggiuntivo e rischia dunque di influenzare la produttività dell’utente finale (e dei ricercatori).
I sistemi reali inoltre non contengono gli strumenti necessari per analizzare i contenuti della memoria, come Memoryze e Volatility, o i debugger come IDA Pro e OllyDbg. Questo aspetto non è da sottovalutare, dal momento che monitorare il contenuto della memoria, così come il processo potenzialmente dannoso, è necessario per determinare quali azioni intraprendere al fine di rilevare il pericolo, rimuoverlo da un sistema e prevenire ulteriori occorrenze.
Anche automatizzare l’analisi di questi sistemi risulta particolarmente difficile. Per tutti questi motivi i ricercatori e i venditori utilizzano sistemi di test.
Tecniche di obfuscation e malware intelligenti
I macro malware intelligenti scoperti dai ricercatori di SentinelOne, oltre a comportarsi in maniera imprevedibile senza apparentemente mostrare attività pericolose grazie a una tecnica di obfuscation utilizzata quando viene aperto un documento di Windows dannoso, riescono a riconoscere l’ambiente in cui si trovano. Come? Una volta aperto il file il virus controlla che siano aperti almeno tre altri file di Word in modo da determinare che si tratti di un sistema reale, una macchina virtuale o un ambiente sandbox.
Non solo, per capire se si trova su una virtual machine o meno, il malware cerca anche (in una sorta di balcklist) informazioni sull’indirizzo IP del sistema host: se tale l’indirizzo è associato a una società di sicurezza o di hosting nota, il malware rimane inattivo. In questo contesto, i sistemi di test potrebbero essere più facili da identificare da parte dei criminali informatici.
Un’analisi efficace dei malware può essere difficile ma non è impossibile
Le macro sono necessarie per automatizzare le attività ripetitive utilizzate nelle data analysis nei fogli di calcolo o per aggiungere una formattazione complessa a molti documenti. Le macro più complesse possono eseguire azioni avanzate su un sistema, come il download e l’esecuzione di codici dannosi. I nuovi controlli che questo tipo di macro malware mette in atto, in aggiunta alle tecniche di obfuscation giù utilizzate in precedenza, dimostrano tutto l’impegno che i criminali informatici stanno mettendo per riuscire ad aumentare la difficoltà di esecuzione di un’analisi efficace.
Rendere più difficile l’analisi del malware per i ricercatori, tuttavia, non influenza la loro capacità di rilevare o rimuovere il malware da un endpoint infetto. È necessario impiegare uno strumento per la sicurezza degli endpoint al fine di identificare il comportamento dannoso e registrare eventuali modifiche avvenute su un sistema. Il malware necessita ancora di fare breccia in un sistema-target che può essere affrontato con gli strumenti standard in uso ai ricercatori.