Il malware fileless: che cos’è, l’esempio del ransomware NetWalker e come le soluzioni di BlackBerry - Protect ed Optics - proteggono efficacemente l’endpoint.

PO

Il malware fileless

Come dice il suo nome, il malware fileless ha la sua caratteristica principale nel non lasciare file sul disco. Al contrario, è un malware che risiede in memoria ed esegue comandi che esistono già sulla macchina.

Spesso, il malware fileless utilizza tool come PowerShell per coordinare gli attacchi ed impiega un payload Meterpreter per iniettare DLL sulla RAM della macchina vittima, senza creare alcun file sul suo disco rigido.

Poiché il malware fileless non lascia traccia sul disco, è molto più difficile il suo rilevamento da parte degli antivirus (AV) tradizionali, il più delle volte basati su signature per identificare i file statici su disco. Per semplificare, è come se l’attacco cyber basato su malware fileless avesse il dono dell’invisibilità: anche se stiamo osservando nella giusta direzione per identificare qualcosa di malevolo, non ci accorgiamo di nulla fintanto che non ci viene rubato il portafoglio da sotto il naso. Ciò significa che sono più a rischio quelle aziende che utilizzano sistemi tradizionali per la protezione dei propri endpoint.

Troviamo diverse famiglie di malware fileless, da Poweliks a Kovter fino ad arrivare al più recente NetWalker. In comune, condividono tecniche simili per infettare un sistema.

La diffusione di NetWalker

NetWalker è ormai uno dei più popolari ransomware del 2020, attaccando aziende di tutte le dimensioni con una predilezione per l’ambito scolastico e l’assistenza sanitaria. Il ransomware sfrutta l’attuale crisi legata al covid-19 per attuare vaste campagne di phishing rivolte ai soggetti interessati ad approfondire la propria conoscenza sul virus covid, personale ospedaliero incluso.

NetWalker ha esordito come ransomware ‘Mailto’ alla fine del 2019 e nel giro di pochi mesi è diventato estremamente attivo nella categoria RaaS (ransomware-as-a-service), dove viene impiegato per sfruttare le vulnerabilità dei servizi di Remote Desktop. È anche riportato un suo utilizzo crescente nel compromettere le reti delle aziende vittima ed esfiltrarne i dati così da poter chiedere riscatti sempre maggiori, in un ordine di grandezza che va dalle centinaia di migliaia ai milioni di dollari, in base alla confidenzialità dei dati rubati.

NetWalker viene quindi distribuito principalmente tramite mail di spam o campagne phishing, oppure attraverso infiltrazioni di rete su larga scala. Tra le aziende vittima, troviamo l’australiana Toll Group, uno dei principali fornitori di servizi di logistica con 44.000 dipendenti in 1.200 sedi sparse su 50 nazioni; le università americane di Michigan State, uno degli istituti scolastici storici negli Stati Uniti e di San Francisco, California (UCSF) dove sono stati rubati dati e cifrati sistemi nel dipartimento di medicina – qui, l’UCSF ha dichiarato di aver pagato un riscatto di 1.14 milioni di dollari per ottenere i tool di decifratura e riavere i propri dati. Per quanto riguarda l’Italia, si aggiunge all’elenco il gruppo Enel, che di recente ha subito un attacco con una lunga lista di cartelle trafugate dai server (si parla di 5 Terabyte di dati) e relativa richiesta di riscatto per 14 milioni di dollari.

NetWalker: come funziona

L’impiego più recente di NetWalker prevede un approccio fileless che utilizza PowerShell ed una tecnica chiamata ‘Reflective DLL Loading’, che viene eseguita direttamente in memoria senza toccare il disco e che non richiede l’impiego di un loader Windows per caricare la DLL. Questa caratteristica elimina poi la necessità di registrare la DLL malevola come modulo caricato di un processo, rendendo ancor più difficile la sua identificazione con le contromisure degli AV tradizionali.  

NetWalker si presenta come un file PS1 molto grande, in grado di creare, ricostruire e rilasciare librerie DLL che sono i payload malevoli finali. Le librerie create valgono sia per sistemi Windows 32-bit che 64-bit. Lo script è fortemente offuscato, contenuto in un file dalle dimensioni superiori ai 5MB. Una volta eseguito, lo script rilascia due librerie che sono univoche e leggermente modificate ad ogni iterazione del malware, in modo da sventare l’analisi ogni volta che PowerShell viene lanciato. All’interno del codice, al solito, troviamo il tentativo del malware di cancellare le copie shadow dal dispositivo per impedire il backup/ripristino dei file corrotti.

Il fatto che lo script PowerShell sia in grado di costruire il ransomware rende questa tecnica molto interessante ed insieme molto pericolosa; inoltre, lo script è capace di modificare leggermente le librerie DLL ogni volta che le produce, rendendo NetWalker ancor più sfuggente.

La protezione di BlackBerry da NetWalker

Fortunatamente, la soluzione di Unified Endpoint Security (UES) di BlackBerry previene questa forma di attacco attraverso molteplici funzionalità, tra cui lo script control e la memory protection di BlackBerry Protect (EPP); in aggiunta, lato EDR, con BlackBerry Optics il motore di analisi contestuale (CAE) ed il modulo one-liner basato su machine learning forniscono prevenzione automatizzata e visibilità e risposta avanzate.

Consigliamo il video alla fine di questo articolo, perché approfondisce quanto appena indicato con una demo chiara e dettagliata.

cae_test

Tra le regole CAE di Optics, ce ne sono diverse che si possono abilitare per la protezione dai ransomware come NetWalker, come ad esempio:

  • One-Liner ML Module

Questa regola di Optics è molto importante, perché implementa un modulo basato sul machine learning proprietario di Cylance per rilevare e terminare un comportamento malevolo sulla base di quali processi stanno interagendo con un altro e di quali caratteristiche sono riscontrate per ognuno di questi processi. La regola, valida sia per script in chiaro che offuscati, riesce quindi ad essere efficace là dove invece le regole di analisi comportamentale statica non hanno successo.

Come per ogni regola CAE, anche per One-liner tutta la logica di Detection & Response risiede localmente sul dispositivo e non necessita di attendere una risposta dal cloud per prendere una decisione in automatico, sulla base della configurazione (device policy) applicata al dispositivo.

Inoltre, come per ogni regola CAE, anche per One-liner si possono configurare azioni di risposta automatiche, come ad esempio ‘Terminate Processes’ per rendere innocuo l’attacco nel caso questa venga rilevato.

  • Fileless Powershell Malware

All’interno delle regole create da Cylance per Windows, questa regola rileva se PowerShell è stato invocato da uno script che è stato generato in una directory temporanea. Questo generalmente indica la presenza di un attacco malware fileless via PowerShell. Anche qui, possono essere configurate azioni di risposta automatiche.

  • Shadow File Deletion (MITRE)

Questa regola implementa in Optics la tecnica T1107 del framework MITRE relativa alla cancellazione dei file. In particolare, la cancellazione delle copie shadow è una tecnica comunemente utilizzata dagli attaccanti per rimuovere le attività. In molti casi, le copie shadow sono rimosse durante gli attacchi ransomware. Abilitando questa regola in Optics, viene rilevato se una copia shadow o un catalogo di backup sono rimossi; è possibile configurare azioni di risposta automatiche, ad esempio per la terminazione dei processi.

Video con demo

Nel seguente video, viene mostrato come BlackBerry Protect e BlackBerry Optics sono efficaci nel proteggere l’endpoint dal ransomware fileless NetWalker.