Gli antivirus si basano essenzialmente sul riconoscimento di signatures (cioè di firme) che bollano un certo software, una certa mail, un cero sito web come dannoso e pericoloso.
È come un controllo di sicurezza di un aeroporto in cui le forze dell’ordine hanno un elenco di “cattivi” da fermare basato su fotografie, nomi utilizzati, ecc.
Se uno dei criminali riesce a presentarsi con una faccia diversa e con dei documenti di identità non sospetti è molto facile che riesca a passare. È probabile che l’elenco dei ricercati verrà aggiornato con il nuovo volto e la nuova identità (perché verrò segnalato come autore di qualche fatto criminoso) ed i poliziotti sarebbero pronti per arrestarlo.
Però se nel frattempo il malvivente fosse riuscito ancora a cambiare connotati ed identità… ecco che il gioco può ricominciare.
I creatori di malware hanno a disposizione risorse finanziare importanti, che gli consentono di ingaggiare dei veri e propri team di sviluppo, dedicati a studiare le mosse dei produttori di AV e modificare il malware di conseguenza.
Le tecniche con cui i malware riescono ad ingannare gli AV tradizionali sono diverse e molte si basano sulla latenza tra il momento in cui il malware arriva e quando viene riconosciuto dagli AV.
Di seguito ne vengono presentate alcune.
- capacità di evitare il sandboxing
- con il sandboxing (letteralmente la sabbionaia in cui giocano i bimbi) si vuol far sì che un certo programma venga messo in esecuzione in un ambiente protetto e confinato (una sorta di camera stagna) per studiarne il comportamento e verificarne la pericolosità
- i malware sono progettati per confondere gli AV e non farsi mettere in un sandbox
- se vengono comunque messi in un sandbox smettono di funzionare per non farsi riconoscere
- domain shadowing
- si compromettono account di domini ufficali in modo da installare gli expolit kit su server con domain name affidabili
- fast flux
- chi attacca dispone di molti indirizzi IP e fa sì che l’IP sorgente del malware cambi molto rapidamente, rendendo inefficaci i toll automatici di controllo
- payload encryption
- anche i programmi che trasportano i ransomware vengono criptati in modo che sia molto più difficile riconoscerli, se non a posteriori
- comportamento polimorfico
- i malware si muovono più velocemente degli AV e sfruttanoil massimo della propria potenza proprio nel periodo in cui l’AV non è ancora aggiornato
- uso di contenuto “di valore” anche sui siti compromessi
- sui siti compromessi, da cui si lanciano gli attacchi degli exploit kit, il contenuto testuale casuale (oppure avete mai visto una pagina ancora da costruire il cui testo inizia con “lorem ipsum…”) viene sostituito da contenuto di valore, cioè pezzi di libri famosi o di riviste e giornali. In questo modo gli strumenti di analisi del sito vengono tratti in inganno.
- Utilizzo di Tor e di Invisible Internet Project (I2P)
- Il ransomware rimane in comunicazione con il server da cui è stato lanciato l’attacco mediante l’uso della rete Tor e di I2P, strumenti che consentono di navigare in modo completamente anonimo accedendo ad una darknet, cioè una rete “nascosta” a cui si può accedere solo usando software specifici e protocolli non standard
- Utilizzo delle macro di Office
- Anche se le macro vengono disabilitate in automatico possono costituire comunque un problema perché se la mail di phishing è ben fatta l’utente probabilmente darà il suo ok ad abilitare le macro per leggere il documento appena ricevuto.
- Rimanere dormienti
- Molti malware sono progettati per rimanere in esecuzione solo quando il sistema non è ancora completamente protetto da un sistema di sicurezza (per esempio durante la fase di boot) e poi di mettersi “a riposo” per il resto del tempo. In questo modo possono rimanere su un PC senza essere scoperti per molto, molto tempo.
Pensare quindi che un semplice AV sia la soluzione a tutti i problemi di sicurezza informatica è assolutamente irrealistico.
L’antivirus rimane efficace per proteggersi da minacce ormai note ma bisogna dotarsi anche di un sistema di protezione proattivo, in grado di prevenire i problemi.