Mitigare gli attacchi “Living of the land”


Altro articolo della serie safety first. Oggi vediamo cosa possiamo fare per mitigare l’impatto di attacchi Living of the land andando a limitare gli accessi e le applicazioni consentite sulle postazioni. Gli attacchi di questo tipo sono particolari attacchi che sfruttano le risorse già presenti nei sistemi per bypassare le misure di difesa e proseguire con operazioni in memory (e quindi di difficile rilevazione) per compromettere l’obbiettivo. Due punti su cui si può agire per mitigare questo tipo di minacce sono i seguenti:

  • Application Control: Sono molte, se non tutte, le suite di sicurezza, meglio note come Antivirus, che al loro interno includono un modulo di application control. Lo scopo di tali moduli è quello di impedire l’esecuzione di determinate applicazioni sui pc protetti dalla soluzione di sicurezza interessata. In principio molto apprezzati per impedire l’uso di software Peer to Peer (i vari emule, DC++, BitTorrent e simili usati principalmente per il download di film e musica) oggi tali filtri ricoprono un ruolo importante nella protezione dell’infrastruttura, sempre più sono infatti gli attacchi “Living of the land”. Un esempio pratico è il “recente” DDE attack, un attacco che sfrutta una feature legittima di Microsoft Office come leva per dare il via ad una serie di operazioni che sono poi le fasi della compromissione iniziale del sistema.
    L’attacco DDE sfrutta la funzione Dynamic Data Exchange di office, una feature ideata per consentire l’interscambio di dati tra software in tempo reale. Tale funzione se opportunamente sfruttata consente l’esecuzione di software esterno al documento word ad esempio. Immaginando un attacco DDE possiamo figuracelo come un documento word allegato ad una mail e opportunamente reso credibile. Nel momento dell’apertura di suddetto documento verrà eseguito parallelamente a Word un software diverso richiamato dal documento stesso. Ora, come detto non abbiamo inviato un documento contenente del software, ciò vuol dire che l’attacco deve lanciare qualcosa che si troverà già sulla macchina della vittima, qualcosa che consenta all’attaccante di accedere al passo successivo dell’attacco, ossia quello dell’introduzione del malware. Ciò che viene usato dall’attaccante maggiormente in questi casi è il Command Prompt di windows, applicazione presente by design in ogni installazione windows. Il command prompt è un’eredità delle primissime versioni di windows, un’emulatore di terminale che introduce funzionalità di scripting, tuttavia come erede di una tecnologia ormai più che ventennale porta con se delle limitazioni importanti, ecco che quindi il command prompt viene sovente usato a sua volta per invocare la PowerShell, tool anch’esso presente nella quasi totalità dei sistemi windows. PowerShell può essere immaginato come l’evoluzione del command prompt, uno strumento di gestione con supporto allo scripting dalle funzionalità evolute, Con powershell ad esempio è possibile effettuare download da internet, abbiamo quindi l’attaccante in grado di creare un documento contenente le istruzioni per effettuare in modo del tutto automatico il download e l’esecuzione di un malware o un trojan. Gli strumenti da sfruttare per effettuare queste operazioni sono già all’interno del pc della vittima e non occorrerà fare altro che convincere la stessa ad aprire il documento.
    Pur essendo DDE un caso ben specifico questo procedimento è applicabile a moltissimi attacchi conosciuti, ciò che risulta evidente è che all’attaccante oltre al vettore di infezione (il documento word) sono necessari uno o più strumenti per introdurre all’interno dell’obiettivo il necessario al fine di portare a termine l’attacco, in questo caso cmd e powershell. Ma cosa sono questi strumenti se non applicazioni? Ecco quindi che ci viene incontro l’application control, bloccare tramite application control strumenti come il command prompt e la powershell non solo è possibile, ma consigliabile! Di fatto essendo strumenti amministrativi non servono alla normale attività di un utente ed è pertanto possibile impedirne l’esecuzione per poi abilitarla alla bisogna o per utenti specifici dedicati all’amministrazione delle macchine. Ancora meglio sarebbe bloccare qualsiasi applicazione e consentire solo quelle espressamente autorizzate, consentendo un costante ed efficace monitoraggio del parco macchine aziendale.
  • Firewall: Parlare di firewalling potrebbe occupare un intero articolo e risultare comunque insufficiente. Mi limiterò pertanto a contestualizzare l’argomento parlando di un paio di configurazioni. Come Si è letto sopra il download del malware, che chiameremo più correttamente payload, avviene invocando un comando powershell dedicato al download di oggetti da un URL, compresi indirizzi internet. Uno dei migliori e più comuni siti per ospitare quello che in gergo è chiamato shellcode (ossia un software in formato codice macchina) è proprio uno dei più famosi code repository conosciuti, GitHub. Github è un servizio online perfettamente lecito dedicato all’hosting e allo sharing di codice, è un servizio orientato prettamente agli sviluppatori e trova un enorme impiego nel campo dello sviluppo, la maggior parte degli sviluppatori usa github come piattaforma per ospitare e condividere i propri lavori. Proprio grazie a questa sua diffusione github non viene considerato come piattaforma a rischio, oltre a questo il team di github rimuove prontamente qualsiasi account utilizzato per l’hosting di codice malevolo, operazione questa che per ovvi motivi viene innescata dietro segnalazione e verifica (si pensi che sulla piattaforma sono presenti milioni e milioni di progetti). Se si considera la dinamica dell’attacco e la necessità reale di accedere a queste piattaforme (esistono altri servizi simili a github, ad esempio pastebin) si può dire che bloccare sul firewall gli indirizzi IP legati a tali servizi può essere una buona scelta, di fatto in realtà in cui non lavorano sviluppatori l’utilità di accedere a questi servizi è pressoché nulla, di pro abbiamo innalzato ancora le difese.

Come avete potuto constatare con due semplici configurazioni neanche troppo invasive avete considerevolmente aumentato le difese dell’azienda. Nonostante questo sia un buon inizio è sempre bene tenere a mente che la sicurezza non è un prodotto o tantomeno una competenza, è un insieme di questi e altri elementi ma sopratutto è un processo che porta all’implementazione puntuale e costante di strategie volte a contrastare le minacce in costante evoluzione. Spero di avervi regalato una piacevole lettura e come sempre: Safety first!

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *