Akamai ha recentemente pubblicato una ricerca condotta dal suo esperto di sicurezza Ori David, che mette in luce un nuovo e sofisticato vettore di attacco informatico. Il report dimostra come gli attaccanti possano sfruttare gli enclavi VBS (Virtualization-Based Security) di Windows per sviluppare malware estremamente elusivi e difficili da rilevare.
Questa tecnica, denominata “enclave malware”, consente di nascondere codice dannoso all’interno di un’area della memoria del sistema protetta e inaccessibile ai tradizionali strumenti di analisi forense e ai software di sicurezza. Le implicazioni di questa scoperta sono significative e richiedono nuove strategie di difesa informatica.
Cosa sono gli enclavi VBS?
Gli enclavi VBS sono una tecnologia introdotta da Microsoft per rafforzare la sicurezza del sistema operativo. Basati su Virtual Trust Levels (VTL), questi enclavi permettono di isolare sezioni della memoria, rendendole inaccessibili non solo ai normali processi di sistema, ma anche al kernel e agli strumenti di monitoraggio della sicurezza.
L’obiettivo originario di questa tecnologia era quello di proteggere dati sensibili e migliorare la sicurezza di funzionalità come Credential Guard e Hypervisor-Protected Code Integrity (HVCI). Tuttavia, gli stessi meccanismi di isolamento che proteggono i dati possono essere sfruttati dai cybercriminali per nascondere codice malevolo e renderlo invisibile agli strumenti di rilevamento tradizionali.
Come possono essere sfruttati in modo malevolo?
La ricerca di Akamai evidenzia diverse tecniche con cui gli attaccanti possono sfruttare gli enclavi VBS per eseguire codice dannoso, tra cui:
- Abuso di vulnerabilità di sistema: exploit come CVE-2024-49706 permettono di caricare codice non firmato all’interno di un enclave, bypassando i meccanismi di protezione di Windows.
- Uso di enclavi vulnerabili: attaccanti possono sfruttare enclavi legittime ma affette da vulnerabilità per iniettare malware, in un approccio simile alla tecnica “Bring Your Own Vulnerable Driver” (BYOVD).
- Tecnica Mirage: una nuova metodologia di evasione che utilizza enclavi compromessi per nascondere payload malevoli in memoria, impedendo il rilevamento da parte degli strumenti di sicurezza.
Una delle caratteristiche più pericolose del malware basato su enclavi VBS è la sua capacità di eseguire chiamate API in modo invisibile ai software di Endpoint Detection and Response (EDR). Poiché il codice in esecuzione all’interno di un enclave non interagisce direttamente con il kernel tradizionale di Windows, gli strumenti di sicurezza non riescono a monitorare le sue attività, rendendo estremamente difficile l’individuazione di comportamenti malevoli.
Come contrastare questa minaccia?
Nonostante la complessità di questa tecnica di attacco, esistono strategie per individuare e mitigare il rischio rappresentato dal malware basato su enclavi VBS. Akamai suggerisce le seguenti contromisure:
- Monitoraggio delle API di enclave: tracciare chiamate a funzioni come CreateEnclave e CallEnclave può rivelare attività sospette.
- Rilevamento di DLL sospette: il caricamento di librerie come Vertdll.dll e ucrtbase_enclave.dll in processi non convenzionali può indicare la presenza di malware.
- Definizione di baseline comportamentali: stabilire quali applicazioni legittime utilizzano enclavi VBS permette di identificare eventuali anomalie e attivare misure di sicurezza appropriate.
Sebbene l’uso di enclave malware sia ancora un concetto relativamente nuovo e sperimentale, gli esperti avvertono che questa minaccia potrebbe diventare sempre più diffusa con la crescente adozione della tecnologia VBS da parte di Windows.
