Key4biz

Sicurezza e reti informatiche: evoluzione delle tecniche di autodifesa dei malware

Mondo


Kasperky Lab, specializzata in soluzioni per la sicurezza informatica, ha pubblicato un’analisi, realizzata dalla Senior Analyst Alisa Shevchenko, delle tecniche utilizzate dai codici maligni per difendersi dai programmi antivirus dal titolo “Evoluzione delle tecniche di autodifesa dei malware“.

 

Non appena viene rilasciato una nuova versione di un software antivirus, i creatori di virus sono costretti a trovare nuovi metodi per proteggere le loro “creature”. I meccanismi di autodifesa dei malware possono prevedere diversi utilizzi come ad esempio nascondere l’utilizzo di firme digitali, nascondere l’analisi del codice sorgente ai programmi antivirus, nascondere la notifica del rilevamento di un programma sospetto o addirittura nascondere le funzioni dei programmi antivirus.

 

Nella sua analisi Alisa Shevchenko spiega l’evoluzione delle tecniche di autodifesa in relazione ai progressi tecnologici delle aziende antivirus, e prova a illustrare quali di queste tecniche saranno maggiormente sviluppate e utilizzate in futuro. Fino ad oggi, le soluzioni antivirus analizzavano esclusivamente il codice sorgente di ogni file e proprio per questa ragione una prima tecnica di autodifesa è stata la modifica continua del codice del file infetto. Questo ha portato ai cosiddetti “Polimorfismo” e “Metamorfismo”, ovvero tecniche che permettono ad un programma maligno di cambiare il suo codice sorgente ad ogni copia, mantenendone inalterate le caratteristiche. L’analisi include anche una panoramica di altre tecniche di autodifesa come la crittografia e l’offuscamento; queste tecniche sono utilizzate per nascondere l’analisi del codice e, se utilizzate in modo appropriate, possono essere considerate come un diverso tipo di polimorfismo.

 

Un altro approccio per nascondere il rilevamento di file infetti è l’utilizzo dei cosiddetti “packer“: programmi dedicati alla compressione e all’archiviazione dei file. I packer sono utilizzati abbastanza frequentemente e il loro livello di complessità continua a crescere. Molti packer moderni, oltre a comprimere il file sorgente, utilizzano poi altre tecniche per evitare che il file venga “spacchettato” utilizzando un debugger. Alcuni programmi maligni possono invece difendersi nascondendo la propria presenza al sistema. Questa tecnica è stata usata per la prima volta per il DOS nel 1990 e oggi è chiamata “stealth technology“. All’inizio del 2000, questa tecnica si è evoluta per essere utilizzata con i sistemi operativi Windows e prende oggi il nome di “rootkit”. Sebbene questa tecnica sembri avere un futuro promettente, è improbabile che si evolva di molto nel prossimo futuro.

 

Oggigiorno, il polimorfismo e tecniche simili sono diventate meno utili per gli scopi prefissati. L’evoluzione dei software antivirus ha permesso il rilevamento basato sulle definizioni dei virus combinato con metodi che analizzano il “comportamento” dei file e ciò ha reso la modifica del codice un’arma meno efficace per chi crea virus. Per la maggior parte dei Trojan moderni, che non possono auto-replicarsi, il polimorfismo non è una tecnica efficace di autodifesa.

La comparsa di meccanismi di analisi del comportamento dei file nei programmi antivirus ha costretto i programmi maligni a individuare specifiche funzioni dei software antivirus da compromettere.

 

“Ovviamente – ha commentato Alisa Shevchenko – questi meccanismi di autodifesa sono spesso l’unica soluzione per i creatori di virus, visto che creano diversi svantaggi dal punto di vista della massimizzazione della difesa dagli antivirus“.

 

Altre tecniche, invece, finalizzate a nascondere l’analisi del codice di un file (ad esempio il cosiddetto offuscamento), continuano ad essere regolarmente implementate, a differenza di quanto accade per il polimorfismo. Comunque, anche questo tipo di tecniche è quasi impotente contro l’analisi del comportamento del file. Per questa ragione Alisa Shevchenko è convinta che le prossime tecnologie sviluppate dai creatori di virus saranno finalizzate a contrastare o a nascondere i file infetti dell’analisi del comportamento del file.

 

L’analisi si conclude con alcune considerazioni, inclusa una previsione su quali tecniche saranno maggiormente utilizzate nel prossimo futuro:

 

1. I Rootkits svilupperanno sempre più funzioni finalizzate a sfruttare exploit e punteranno di più sulla virtualizzazione. Questi metodi comunqu non hanno ancor raggiunto il loro massimo dell’efficacia né saranno usati molto in un prossimo futuro.

2. Tecnologie che bloccano e rendono inutilizzabili i file sul disco fisso: ci sono diverse proof-of-concept di questo tipo di programmi, c’è da aspettarsi che questa tecnica si sviluppi molto in futuro.

3. L’utilizzo di tecnologie che individuano e bloccano i programmi antivirus è molto comune; tale tecnica si prevede che sia utilizzata anche in futuro.

Exit mobile version