Locky e Cerber hanno imparato a nascondersi con particolare efficacia

Dalla metà dello scorso mese di gennaio, i ricercatori stanno osservando come le versioni più recenti dei malware Cerber e Locky abbiano “imparato” ad eludere, con un certo successo, gli attuali sistemi di rilevamento dei software nocivi, avvalendosi di una particolare tecnica che consente di nascondere il codice dannoso all’interno di un installer NSIS, e di utilizzare vari livelli di offuscamento e cifratura fino all’esecuzione del codice in memoria.

Non si sa come tutto questo sia risultato possibile – se la causa sia da imputare alla vendita delle necessarie infrastrutture sui forum underground, oppure se tutto quanto sia dovuto alla probabile interazione tra gli autori dei due ransomware. L’unico elemento certo, per il momento, è che le ultime versioni di entrambe le famiglie di malware mostrano un comportamento simile.

“I cybercriminali sono di continuo alla ricerca di nuove metodologie malevole, sinora sconosciute, con il preciso intento di assicurare l’esecuzione del codice maligno. Nel momento in cui si riesce a comprendere come funziona questa o quell’altra tecnica, essi ne sviluppano già una nuova, – afferma Tom Nipravsky, ricercatore di Deep Instinct specializzato in sicurezza IT. – Nel corso di questi ultimi due mesi, stiamo osservando una nuova tendenza, ovvero l’utilizzo del sistema di installazione NSIS. Abbiamo il sospetto che possa trattarsi di qualche infrastruttura comune, visto che, sotto vari aspetti, i due ransomware si comportano esattamente allo stesso modo”.

Tom Nipravsky, autore di un interessante report sulle ultime tendenze che si sono sviluppate nel mondo del malware, ha dichiarato che utilizzano questa nuova tecnica non solo Cerber (nelle versioni 5.1 e 4) e Locky (in numerose versioni), ma anche varie versioni di Cryptolocker e Cryptowall.

“Presumiamo che tale infrastruttura sia in vendita negli oscuri meandri del Dark Web, ma non possiamo esserne del tutto certi. Deve tuttavia trattarsi di un’infrastruttura comune, in quanto il comportamento di tutti i malware si rivela in tal senso identico, – sottolinea il ricercatore. – Questa tendenza viene ormai osservata da due mesi a questa parte; persino le ultime versioni di Locky e Cerber utilizzano NSIS”.

NSIS, acronimo di Nullsoft Scriptable Install System è un sistema per la creazione di programmi di installazione per Windows, sulla base di codice open source. Si tratta di un elemento chiave per quel che riguarda la tecnica di offuscamento del codice dannoso nelle ultime realizzazioni di programmi ransomware, il quale permette di nascondere il codice eseguibile del malware nei confronti dei sistemi di rilevamento. Secondo il report stilato da Tom Nipravsky, il plugin SYSTEM presente nell’installer NSIS richiama un’API Win32, dando in tal modo all’attacker la possibilità di allocare memoria per il contenuto eseguibile, e di eseguire poi il codice stub adibito alla decodifica del payload nocivo.

“Grazie al plugin SYSTEM risulta possibile richiamare funzioni all’interno di Windows e fare, quindi, tutto ciò che si vuole. I malintenzionati allocano uno spazio di memoria, e vi introducono il codice che viene successivamente eseguito, – asserisce Nipravsky. – Poiché il codice è offuscato, “appare” soltanto il codice stub preposto all’esecuzione di XOR nello step di codice successivo. Le soluzioni di sicurezza, quindi, non possono “vedere” cosa stia avvenendo, effettivamente, con il codice stesso. Esse possono soltanto rilevare ciò che fa un piccolo stub, il quale, peraltro, in pratica non fa quasi nulla, se non eseguire un’operazione XOR riguardante alcuni byte”.

L’installer NSIS rappresenta, per i malfattori, un metodo piuttosto semplice ed agevole per eseguire il codice maligno, ribadisce Nipravsky. Secondo il ricercatore, però, questo non è ancora tutto.

Negli attacchi, ad esempio, viene fatto uso della tecnica Heaven’s Gate per richiamare codice a 64 bit da un processo a 32 bit; questo consente di bypassare gli hook relativi alle API utilizzate nell’ambito dei sistemi di rilevamento. Heaven’s Gate ricorre all’impiego delle chiamate di sistema, al posto delle API standard, ed agisce ugualmente per l’offuscamento del codice, visto che i debugger attualmente esistenti non sempre funzionano bene, quando il codice a 64 bit viene eseguito da un processo a 32 bit.

Inoltre, per avviare l’esecuzione dell’installer durante l’attacco, viene utilizzata una particolare tecnica, denominata Process Hollowing. Attraverso di essa, gli attacker creano dei processi in stato di attesa, e sostituiscono l’effettiva immagine del processo con un’immagine che essi intendono poi occultare. L’installer risulta codificato all’interno dell’installer NSIS, e viene poi decodificato durante l’esecuzione.

“Tutto avviene all’interno della memoria. L’attaccante crea un processo in stato di attesa, sostituisce l’immagine del processo con l’immagine del ransomware e reindirizza l’entry point del nuovo processo verso il codice maligno, – precisa Nipravsky. – In sostanza, quando il processo riprende, esso si dirige al codice del malware, e non al codice originale”.

Tom Nipravsky ha concluso che la creazione di processi in stato di attesa, e la redistribuzione delle immagini, debbono essere considerate attività sospette.

“I cybercriminali utilizzano la tecnica Process Hollowing ogni volta in maniera diversa, allo scopo di complicare il rilevamento ed il monitoraggio dell’attività malevola, – rileva infine l’esperto. – Eseguire un processo che si trova in stato di attesa è del tutto normale. Ma se tutto questo è accompagnato dalla sostituzione dell’immagine, quello che avviene appare indubbiamente sospetto. È la prima volta che vedo una simile esecuzione di tale tecnica. La scansione dei file eseguibili da parte degli antivirus determina se la loro esecuzione risulta possibile o meno, ma non appena la verifica è stata superata, si può fare quello che si vuole. E i cybercriminali sfruttano proprio questa specifica circostanza”.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *