La maggioranza delle minacce informatiche sfugge agli antivirus tradizionali, infettando le reti attraverso applicazioni in tempo reale come la navigazione web. È questo uno degli highlight evidenziati dal Modern Malware Review di Palo Alto Networks, che ha analizzato oltre 26.000 campioni di nuovi malware rimasti nascosti agli antivirus e rilevati tra ottobre e dicembre 2012 all'interno dei network enterprise attraverso il sistema in abbonamento WildFire del vendor.
Tra i dati più significativi è emerso che il 94% dei malware sfuggiti all’identificazione degli antivirus, ma rilevati sulle reti, sono stati trasmessi attraverso la navigazione Internet o i proxy web. I tempi di risposta da parte dei vendor per offrire un'adeguata copertura ai malware sconosciuti sono ancora lunghi: per una minaccia diffusa via mail, il gap temporale è di circa 5 giorni, ma la finestra si dilata notevolmente in caso di altri vettori. In media, il malware propagato attraverso la navigazione su Internet, altre applicazioni web come i social media e i servizi di file storage rimane "undetected" per una ventina di giorni in media, con punte che raggiungono quasi il mese (vedi figura 1).
Figura 1 – Tempo medio in cui il malware propagato attraverso la navigazione su Internet, altre applicazioni web come i social
media e i servizi di file storage rimane "undetected"
Fonte: Palo Alto Networks
Altro tallone d'Achille per la sicurezza enterprise è rappresentato dal File Transfer Protocol (Ftp) (protocollo per la trasmissione di dati tra host basato su Tcp), un metodo altamente efficace e ampiamente utilizzato per l'introduzione di malware all’interno di una rete. Il 95% delle minacce informatiche trasmesse via Ftp, infatti, non viene rilevata dalle soluzioni antivirus per oltre 30 giorni.
Dopotutto, i moderni malware sono molto abili nel rimanere inosservati e puntano proprio ad agire in maniera silente. Il report ha individuato 30 diverse tecniche per eludere la sicurezza all'interno di un host (le pratiche di analysis avoidance sono state osservate nel 19% dei casi), permettendo al malware di prolungare la permanenza nel sistema (la persistence è un obiettivo che viene perseguito dal 33% del campione analizzato) e portare avanti anche altri tipi di azioni, categorizzate come illustrato in figura 2.
Figura 2 – Le principali tecniche per eludere la sicurezza all'interno di un host
Fonte: Palo Alto Networks
I malware analizzati, quando si insediano all'interno di un host, tendono per il 5% dei casi a perpetrare azioni di hacking vero e proprio, infettando il sistema e le reti circostanti. Il furto di dati (data theft) riguarda il 10% delle casistiche analizzate, mentre l'obiettivo del 33% dei malware è rappresentato dalle tipiche azioni di command-and-control, che obbligano una macchina ad eseguire azioni come l'invio di spam o la navigazione su determinati siti, generando traffico sconosciuto.
Ma a fronte di questo quadro preoccupante, la ricerca rivela anche notizie positive:il 70% delle 26.000 minacce analizzate lascia delle tracce o payload (sequenza di istruzioni) che possono essere utilizzate per il rilevamento dai team di sicurezza. L'altra nota felice è che nonostante vengano create delle varianti di uno stesso malware, il codice identificativo rimane unico e questo permette di bloccare, attraverso una singola signature, il download della minaccia in tempo reale. I dati rivelano, infatti, che il 40% dei malware apparentemente unici sono in realtà versioni riviste dello stesso codice e quindi immediatamente identificabili.
L’analisi di Palo Alto Networks fornisce una serie di policy che aiutano il dipartimento di sicurezza It a proteggere meglio le reti contro eventuali attacchi malware. Ad esempio, sapendo che la maggior parte delle minacce sono semplicemente ricollocamenti o aggiornamenti dello stesso codice, come i botnet Zeus, è possibile utilizzare un’ampia serie di indicatori in grado di identificare il malware e creare policy di sicurezza che lo blocchi automaticamente. Per maggiori informazioni, il report può essere scaricato gratuitamente a questo indirizzo: http://www.paloaltonetworks.com/mmr
