Come ormai accade da 21 anni, anche nel 2011 si è tenuta la conferenza internazionale organizzata da Virus Bulletin (www.virusbtn.com), dal 5 al 7 Ottobre a Barcellona. Per i non addetti ai lavori, Virus Bulletin è stata fondata nel 1989 come rivista per la diffusione di informazioni e ricerche nel campo dei malware. Dal 1991 organizza conferenze annuali divenute negli anni il punto di riferimento per l'intera industria anti-malware e per i ricercatori in questo campo, divenendo il più importante evento per l'industria internazionale anti-malware durante le quali si incontrano i maggiori ricercatori e specialisti di sicurezza provenienti da tutto il mondo.
TG Soft, che ormai da quasi 20 anni si occupa di tenere al sicuro i pc dei propri utenti, è stata l'unica azienda italiana con due suoi delegati accreditati alla conferenza, l'Ing. Gianfranco Tonello, responsabile dell'area di ricerca e sviluppo e Roberto Spagliccia, sviluppatore e ricercatore nel campo anti-malware.
Durante i 3 giorni di conferenza sono stati toccati gli argomenti più attuali che riguardano l'evoluzione dei malware, dai fake antivirus (FraudTool) all'evoluzione dei Rootkit (come TDL4 e ZeroAccess o Yoshi), passando per le nuove strategie di social engineering agli attacchi scam su social network a larghissima diffusione come Facebook e Twitter. Particolare attenzione è stata anche dedicata alla diffusione dei nuovi malware su Android e sul loro studio in ambiente chiuso senza il rischio che possano essere diffusi durante la loro analisi su dispositivi mobile.
5 Ottobre - Giorno 1
Dopo la presentazione e l’apertura della conferenza da parte di Helen Martin, editrice di Virus Bulletin dal 2001, il primo intervento The m00p investigation – law enforcement and the anti-virus industry working in partnership, tenuto da Bob Burls dell’unità eCrime di Scotland Yard e da Mikko Hypponen di F-Secure, ha illustrato come una maggiore collaborazione tra l’industria antivirus e le forze dell’ordine potrebbe portare all’arresto dei criminali che diffondo malware, evidenziando tuttavia quanto le leggi nella maggior parte dei paesi del mondo siano inadatte ad affrontare questo tipo di crimini. Dei 12 componenti del gruppo m00p, solamente 2 sono stati processati ed in entrambi i casi le pene sono state molto lievi.
A seguire, Aditya Kapoor e Rachit Mathur di McAfee Labs, con Predicting The Future Of Stealth Attacks, hanno fatto il punto della situazione sull’evoluzione dei rootkit, da quando si è registrato il primo nel lontano 2001, fino alle ultime evoluzioni del TDL, Banker e ZeroAccess. Sono state discusse le tattiche che utilizzano per non farsi individuare dagli antivirus, come riescano ad agganciarsi (hook) ai driver di sistema o come sfruttino infezioni dell’mbr e modifiche della memoria per alterare il comportamento del sistema operativo e nascondere altri file. La presentazione di questa ricerca è assolutamente in linea con i comportamenti già rilevati sul campo dai ricercatori di TG Soft e dalle analisi effettuate avvalendosi di tecniche di reverse engineering sui campioni di TDL in possesso del C.R.A.M. (Centro Ricerche Anti-Malware di TG Soft). Naturalmente si è discusso anche delle contromisure prese dall’industria antivirus e dei metodi di rimozione. Da notare come Vir.IT eXplorer sia uno dei pochi prodotti in grado di rimuovere, nella maggior parte dei casi in modo automatico, infezioni da TDL4 ed in alcuni casi anche da ZeroAccess (identificato come Yoshi da TG Soft). Purtroppo il trend registrato è che sempre più malware stanno iniziando ad utilizzare rootkit per proteggersi dagli antivirus, dando inizio ad una collaborazione che finora si era vista in rari casi.
Successivamente uno studio sugli attacchi portati agli utenti di social network a larga diffusione come Facebook® e Twitter®, ha evidenziato come i virus writer stiano facendo largo uso di queste nuove piattaforme, dove tutti si fidano dei propri amici e di quello che postano. In realtà i click Hijacker su Facebook fanno proprio leva su questo clima di fiducia e di curiosità per diffondere i propri malware.
6 Ottobre - Giorno 2
Il secondo giorno di conferenza si è aperto con un’interessante report su un esperimento effettuato da Axelle Apvrille, di Fortinet, intitolato An OpenBTS GSM replication jail for mobile malware. Partendo dal presupposto che per un'analista di malware la principale preoccupazione è di non diffondere accidentalmente il malware che sta studiando, per lo studio su PC è relativamente semplice configurare sistemi chiusi che impediscano comunicazioni con l’esterno. Nel caso dei malware per dispositivi mobili, invece, isolare un telefono potrebbe risultare più complicato. Il motivo principale è che il comportamento del malware che si sta studiando, se gli si impedisce l’accesso alla rete GSM, è notevolmente diverso da quello che avrebbe in una situazione reale. Allo stesso tempo, garantire l'accesso a una rete GSM commerciale, dando la possibilità di inviare sms o di comunicare con l'esterno, può contribuire alla diffusione del malware al di fuori dell'ambiente di studio.
Il Team di Fortinet ha così progettato un piccolo sistema chiuso per simulare un operatore GSM all’interno dei propri laboratori, utilizzando OpenBTS, con una portata di circa 10 metri al quale è possibile connettersi solo tramite l’uso di una specifica SIM. Tutte le comunicazioni che il device fa con la rete vengono così registrate ed analizzate dal sistema di simulazione. In questo modo si riesce a far comportare il malware come se fosse realmente registrato su una rete GSM per poter così studiarne tutti i comportamenti nel caso reale senza correre il rischio di diffondere accidentalmente l’infezione.
Negli ultimi anni si sta anche assistendo ad un massivo utilizzo di sistemi di reindirizzamento del traffico internet. È così che chi li utilizza in modo legittimo riesce a fornire pubblicità mirata a seconda della localizzazione dell’utente, la lingua, il browser che utilizza, ecc.
Purtroppo i TDS (Traffic direction systems) vengono utilizzati largamente anche da chi come scopo ha la diffusione di malware. Nella sua presentazione Traffic Direction Systems as Malware Distribution Tools, Maxim Goncharov di TrendMicro illustra ai suoi colleghi ricercatori il modo in cui chi intende distribuire malware in maniera mirata fa ricorso a questi sistemi. Fondamentalmente un TDS è un server intermedio tra l’utente e la destinazione che vorrebbe raggiungere. Quelli legittimi reindirizzano l’utente sul sito che meglio potrebbe soddisfare le sua richiesta, mentre quelli malevoli, seguendo un set di regole impostate da chi li controlla, lo reindirizzano dove vogliono che venga portato per poi poterlo infettare o lasciarlo andare al luogo di destinazione se era già stato infettato. Questi risultati sono ottenibili principalmente grazie all’infezione di siti legittimi da parte dei virus writer, o portando attacchi brute force per garantirsi l'accesso ai sorgenti del sito, oppure sfruttando vulnerabilità dei server che ospitano il dominio o più semplicemente accedendo tramite ftp utilizzando credenziali rubate da computer infetti dai loro stessi malware che si occupano di rubare i dati di accesso all'utente. Purtroppo, come evidenziato da Stefan Tanase di Kaspersky Lab nella sua presentazione Cleaning up the net – a tale of 100 infected websites, anche quando i webmaster di questi siti infetti vengono avvisati da un'azienda che si occupa di sicurezza informatica che li esorta a ripulire il proprio sito, spesso si ricevono risposte vaghe o addirittura direttamente l'ammissione che al webmaster non importa se il suo sito sia infetto e se gli utenti che lo visitano rischiano di infettarsi a loro volta. Il problema maggiore risiede poi in quei siti non più mantenuti, abbandonati a loro stessi ma che sono ancora online. In quel caso non c'è nemmeno qualcuno da contattare per tentare una pulizia.
Tornando alle presentazioni tecniche, l'intera industria AV sta seguendo la spinosa questione dei Fake AntiVirus, o FraudTools. Il problema principale è che, utilizzando specifici software legittimi chiamati Packer, da un singolo eseguibile si riescono ad ottenere migliaia di varianti diverse semplicemente reimpacchettandolo in maniera diversa, offuscando il codice con diversi procedimenti e criptando il contenuto del pacchetto. In questo modo diventa molto difficile riuscire ad intercettare tutte le singole varianti, anche perché i FraudTool si sono evoluti molto dalle prime versioni ed ora quasi tutti implementano funzioni per ingannare gli emulatori degli AntiVirus e per accorgersi senza troppi problemi se vengano eseguiti in un ambiente virtuale o all'interno di un vero sistema operativo. Quello che per un utente può sembrare sempre la stessa versione dello stesso falso AntiVirus, in realtà utilizza un file completamente diverso da tutte le versioni precedenti, rendendone praticamente impossibile la classificazione secondo la famiglia o la tipologia del file. Questa particolare situazione mette in difficoltà l'intera industria antivirus, poiché la capacità di autoaggiornamento e di alto polimorfismo di queste minacce, come peraltro sottolineato da diverso tempo da TG Soft, rende molto difficoltosa l'identificazione univoca di tutti i singoli sample. Per mettere un freno a questa tecnica di offuscamento e di poliformismo, Mark Kennedy di Symantec e il Dr. Igor Muttik di McAfee, con la loro presentazione IEEE Software Taggant System, hanno illustrato un progetto indipendente della IEEE, per inserire nei file generati con i software di packing commerciali e legittimi, un taggant, ovvero un marchiatore per riconoscere la sorgente da cui proviene il file che è stato impacchettato. Questo naturalmente con la collaborazione dei produttori di questi software. In questo modo, se un file maligno viene impacchettato utilizzando il taggant di una certa sorgente, gli antivirus possono prendere le adeguate contromisure per considerare quantomento sospetti (se non bloccarli direttamente) tutti gli altri file che sono stati impacchettati da quella stessa sorgente, da cui è stato distribuito un malware.
Soluzione a nostro avviso interessante, che però affronta solo il problema per i packer commerciali. Raramente i virus writer utilizzano software acquistato legalmente e nel caso in cui divenissero rintracciabili anche utilizzando versioni piratate dei suddetti software (come sarebbe se venisse introdotto questo sistema), sicuramente passerebbero a versioni di packer “fatte in casa”. Starà poi ai produttori di antivirus decidere se verrà permessa l'esecuzione dei soli file con un taggant valido oppure se permettere l'esecuzione di file anche impacchettati con software non commerciali sviluppati ad-hoc.
Il secondo giorno di conferenza si è concluso con un piacevole aperitivo seguito dalla tradizionale cena di Gala con tutti i delegati e gli speaker della conferenza.
7 Ottobre - Giorno 3
L'ultimo giorno di conferenza ci ha visto partecipare esclusivamente a presentazioni di tipo tecnico, iniziando da Browser exploit packs – exploitation tactics, curata da Aditya K. Sood e Richard J. Enbody, entrambi provenienti dalla Michigan State University. Il paper ha trattato principalmente lo studio dell'exploit BlackHole, uno dei più utilizzati negli ultimi tempi, confrontandolo anche con altri in rapida diffusione. Si tratta praticamente di set di tool resi disponibili su server di terze parti non troppo “affidabili”, verso cui l'utente viene indirizzato, ad esempio utilizzando dei TDS (Traffic Direction System), a seconda della tipologia, discriminando principalmente tra sistema operativo e browser in uso. Questi tool provano a sfruttare tutte le vulnerabilità conosciute dei browser e dei loro plugin, inclusi l'Adobe Flash Player e Java. È stato dimostrato che tenendo aggiornate circa 6 applicazioni fondamentali si riuscirebbe a prevenire il 90% degli exploit che portano l'infezione del computer semplicemente visitando un sito web infetto con un exploit pack. Le vulnerabilità di Java sono senza dubbio le più utilizzate, come ci ha illustrato Kurt Baumgartner di Kaspersky Lab, nella sua presentazione Firing the roast – Java is heating up again. Degli exploit studiati e registrati, circa il 73% ha sfruttato vulnerabilità di Java, circa il 20% vulnerabilità del PDF e del software utilizzato come viewer e solo una piccola percentuale ha utilizzato exploit del sistema operativo e del browser.
Dopo un interessante presentazione tecnica sull'analisi statica di shellcode Assembly da parte di Aleksander Czarnosky di AVET Information con la sua Static shellcode analysis and classification, in cui ha presentato un progetto innovativo per classificare automaticamente pezzi di shellcode a seconda del loro comportamento, la 3 giorni di conferenze tecniche è stata chiusa con la presentazione di un servizio di indicizzazione binaria con relativo motore di ricerca, sviluppato da Tim Ebringer di Microsoft, che permette la ricerca di sequenze di byte all'interno di un database di dump di processi in memoria, chiamato Bindex 2.0.
Conclusioni
L'intera industria antivirus sta rivolgendo la maggior parte dei suoi sforzi nel combattere le minacce a più larga diffusione nell'ultimo anno, identificate principalmente nei rootkit con forti capacità stealth, in grado ormai di infettare facilmente anche sistemi a 64 bit aggirando la necessità di avere driver firmati digitalmente per essere caricati da Windows. Un'altra minaccia che sta inondando il web e milioni di computer in tutto il mondo è rappresentata dai FraudTool (o Fake AV) e si sta cercando di arginare la situazione e di risolverla una volta per tutte, sviluppando nuove tecniche di analisi del comportamento dei malware, di catalogazione per famiglie introducendo sistemi taggant per marchiare le sorgenti e metterle in blacklist se diffondono malware.
Un ruolo importante è anche svolto da attacchi portati tramite tecniche di social engineering (utilizzate anche dagli stessi FraudTool) rivolti sempre più spesso ai siti di Social Networking a larga diffusione, dove l'utente è portato a fidarsi di cose pubblicate dai propri amici o da conoscenti, quando quelle stesse pubblicazioni sono opera di malware che hanno colpito quella stessa persona. In questo modo si genera una reazione a catena che in pochissimo tempo riesce a spandersi a macchia d'olio.
Nonostante l'eterna lotta tra virus writer e produttori di AntiVirus sembri senza fine, l'industria anti-malware sta portando avanti vari progetti innovativi per migliorare sempre di più la protezione fornita agli utenti, con un certo spirito di collaborazione tra varie compagnie concorrenti, a dimostrazione del fatto che spesso la sicurezza viene messa in primo piano rispetto agli interessi delle singole compagnie, per favorire la protezione e la sicurezza della comunità.
TG Soft ha deciso di partecipare a questa conferenza proprio con questo spirito, cioè di essere sempre all'avanguardia per quanto riguarda la sicurezza e la protezione fornita agli utilizzatori dei propri prodotti, confrontandosi con gli altri ricercatori e produttori di antivirus nel mercato, per unire le forze nel combattere i malware.
Roberto Spagliccia
Malware Analyst
TG Soft Team