Drive-by Download. Il Web Sotto Assedio

di Ryan Naraine
Security Evangelist, Kaspersky Lab

Prefazione

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

La modalità di circolazione dei virus e del malware si è evoluta per lo più allo stesso modo in cui la stessa informazione ha cambiato la propria modalità di diffusione. Nelle fasi iniziali, l’informazione veniva tipicamente trasportata fisicamente da un computer all’altro tramite l’utilizzo di una certa gamma di supporti di memorizzazione. All’inizio degli anni Ottanta, l’informazione viaggiava su reti dati private piuttosto costose. Quando il governo degli Stati Uniti fece pressione sui fornitori aziendali affinché offrissero una certa affidabilità per quanto riguardava la trasmissione ed il formato dell’informazione ricevuta, Internet fece un balzo in avanti verso una fruizione più reale. Con ciò diventava più reale anche l’abilità da parte delle imprese di qualsiasi dimensione di trasmettere l’informazione tramite queste reti “gratuite”, utilizzando prevalentemente la posta elettronica e gli allegati. Verso la fine degli anni Novanta, alcuni dei virus più conosciuti che provocavano danni alle imprese ed ai privati a livello mondiale ne seguirono l’esempio: cominciarono ad affidarsi alla posta elettronica per la loro riproduzione e distribuzione.

Contemporaneamente, il World Wide Web si stava velocemente trasformando in una valida piattaforma da utilizzare per lo scambio delle informazioni, per il commercio globale e come spazio di produttività. Lentamente, ma con determinazione, ci si rese conto dell’importanza di non inviare le informazioni tramite posta elettronica (pushing) a tutti coloro che potevano averne bisogno, ma che bastava il solo invio di una notifica contenente un link che consentisse all’utente di visualizzare via web l’unica copia dell’informazione. Oggi, molte persone credono ancora che la navigazione in Internet sia molto simile allo shopping oppure alla frequentazione di una biblioteca nel mondo reale: nulla accade senza che vi sia la consapevolezza del soggetto. (Questo è, dopotutto, ciò che si intende con il termine “browser”). Molto di quello che accade dietro le quinte semplicemente sfugge loro perché in realtà essi non vedono nulla di ciò succede. Tuttavia, la quantità di comunicazione sofisticata, che avviene dietrolequinte quando il browser interagisce con i dati archiviati nel PC, con le applicazioni del desktop e con i Web server, potrebbe sorprendere non solamente la maggior parte degli utenti domestici ma anche la maggior parte dei professionisti aziendali (non legati al settore IT) se essi potessero effettivamente comprenderla.

Sfortunatamente, questo alto livello di sofisticazione ha attirato l’attenzione di creatori di malware che si sono strutturati al meglio al fine di utilizzare la rete per inviare virus, spyware, Trojan, bot, rootkit e software di protezione fasulli. L’industria anti-virus definisce questo sistema cifrato di download del malware che avviene in determinati siti Web senza che vi sia la consapevolezza da parte dell’utente, con il termine “download drive-by.” In questo documento, andremo ad esaminare ciò che effettivamente accade nel corso di un attacco di tipo drive-by; vedremo quali esche vengono usate per sferrare tali attacchi, la tecnologia che sta dietro questi ultimi e il loro uso nel furto di dati personali e nell’ottenimento del controllo dei computer.

Indice PrefazioneComprendere l’EsplosioneAttacchi via BrowserAnatomia di un Attacco Drive-byExploit KitUna Monocultura UnpatchedConclusioni: Come evitare l’attacco Comprendere l’Esplosione

Prima di esplorare più dettagliatamente i download drive-by, è utile capire in quale modo sia esploso questo tipo di attacco negli ultimi anni. È altresì utile capire che gli stessi programmi malware (virus, spyware, Trojan, bot, rootkit, e software di protezione fasulli) spesso vengono distribuiti in modi diversi: talvolta tramite la posta elettronica, talvolta quando si visita una pagina Web, e con altri sistemi ancora.

La distribuzione di malware drive-by è di maggiore attrattiva per i criminali informatici semplicemente per il fatto che essa è, in genere, una delle forme di infezione più occulte e che dà luogo ad attacchi di maggiore successo. La Figura 1 mostra alcuni dati di ScanSafe, una società che rintraccia le minacce del malware Web-based ed illustra come, nel corso del decennio che ha avuto inizio nel 1996, l’impatto sul mondo degli affari si sia spostato dalla posta elettronica al Web e all’Istant Messaging.


Figura 1 – Evoluzione dei metodi di distribuzione del Malware

In base a dati più recenti ottenuti da ScanSafe, il 74 % di tutto il malware individuato nel terzo quadrimestre del 2008 proveniva da visite a siti Web compromessi.

Ora che è chiaro quanto la dimensione del problema stia crescendo, cercheremo di spiegare come operano tali attacchi, le tecniche usate per adescare i destinatari verso siti Web truccati, i sofisticati exploit kite le applicazioni prese di mira, l’intrico complicato dei redirect e i payload utilizzati per effettuare il furto di identità e gli attacchi volti ad esercitare il controllo dei computer.

Leggi anche:  Cohesity rilascia la nuova versione 7.2 di "Cohesity Data Cloud" per una protezione più veloce ed efficiente

Attacchi via Browser

Per meglio comprendere il brusco spostamento verso l’utilizzo del Web browser quale strumento di attacco, sarebbe utile rivisitare la storia dei più importanti attacchi Internet-based ai computer. In quella che è stata definita l’era dei worm Internet, quando attacchi come Code Red, Blaster, Slammer e Sasser portarono distruzione ai network aziendali, gli hacker utilizzavano exploit remoti contro le vulnerabilità del sistema operativo Windows. (Un exploit remoto e’ un exploit dove il codice malware risiede su un server remoto connesso a internet, che attacca il software vulnerabile del computer dell’utente, ma non necessità di un accesso preventivo a tale computer per portare l’attacco a tale software). Inoltre, i file eseguibili malware, come Melissa, venivano allegati messaggi di posta elettronica oppure arrivavano tramite sistemi di Istant Messaging o applicazioni di tipo “peer-to-peer”.

Microsoft reagì agli attacchi worm in maniera positiva. Aggiunse un firewall, che si attivava di default in Windows XP SP2, e implementò diversi meccanismi di protezione anti-worm all’interno del sistema operativo. Grazie agli aggiornamenti automatici attivati su Windows, gli utenti finali furono guidati nell’applicazione di patch del sistema operativo. Imprese e consumatori divennero anche maggiormente abili nel blocco degli allegati e nel capire che non conveniva cliccare su eseguibili piuttosto inconsueti. La combinazione di questi fattori obbligò i cybercriminali a modificare le proprie tattiche, spostando l’azione verso l’offensiva contro parti terze e a perfezionare l’arte dell’ingegneria sociale.

Tale evoluzione ha portato alla nascita di una nuova tecnica “occulta”: il download di tipo drive-by, che utilizza il browser come meccanismo per connettere gli utenti a server che contengono exploit maligni. Durante l’attacco drive-by, il programma malware viene scaricato automaticamente sul vostro computer senza la vostra autorizzazione e senza che possiate accorgervene. L’attacco avviene in due fasi. Gli utenti visitano un sito Web nel quale è stato installato il codice che a sua volta reindirizza il collegamento ad un server che ospita gli exploit. La Figura 2, dall’Anti-Malware Team di Google, mostra la struttura base di un attacco del tipo drive-by download. Questi exploit possono colpire le vulnerabilità del Web browser, oppure un suo plugin sprovvisto di patch, o un controllo ActiveX vulnerabile, oppure ogni altra falla presente all’interno di software di terze parti.


Figura 2 – Struttura di un attacco Download Drive-by

Nella figura 2 vediamo come può verificarsi un numero qualsiasi di redirect verso diversi siti prima che l‘exploit venga effettivamente scaricato.

In base ai dati di Kaspersky Lab e di altri player dell’industria della sicurezza informatica, ci troviamo nel bel mezzo di un’epidemia su larga scala di attacchi download drive-by. Nel corso degli ultimi dieci mesi, il Team Anti-Malware di Google ha analizzato milioni di pagine sul Web alla ricerca di attività maligne e ha trovato oltre tre milioni di URL che promuovevano download drive-by.

“Una scoperta ancor più sconfortante è che circa l’1,3% delle ricerche effettuate su Google restituiva almeno un URL etichettato come maligno nella pagina dei risultati (ciò in base ad uno studio condotto da Google). La Figura 3, estrapolata da tale studio, indica un’allarmante crescita della percentuale di ricerche che ottengono risultati contenenti un sito infetto.


Figura 3 – Risultati di Ricerche Contenenti un URL infetto

Nel periodo iniziale dei download “drive-by”, coloro che sferravano l’attacco creavano apposta dei siti maligni ed utilizzavano l’esca dell’ingegneria sociale per attirare i visitatori. Questa continua ad essere una delle principali attività illecite online, ma recentemente gli hacker hanno compromesso siti Web regolari per poi servirsi segretamente di script di exploit o inserire codici di redirect che sferrano silenziosamente attacchi tramite il browser.

Anatomia di un Attacco Drive-by

Un sito Web di alto profilo compromesso nel 2007 fornisce una rapida visione di come i download del tipo drive-by siano stati lanciati contro gli utenti. Nelle settimane immediatamente precedenti al campionato di football americano (NFL Superbowl), il sito dello stadio Dolphin di Miami venne attaccato dagli hacker, che vi inserirono un frammento di codice JavaScript. (Vedi Figura 4.)

Leggi anche:  La nuova soluzione SaaS di Genetec per la sicurezza fisica unificata rivolta al mercato enterprise

 
Figura 4 – Il Codice Java Script Usato sul sito dello Stadio Dolphin di Miami

Un visitatore di quel sito con un PC con sistema operativo Windows sprovvisto di patch era silenziosamente collegato ad un computer remoto che tentava di sfruttare le note vulnerabilità descritte nelle due pubblicazioni MS06-014 e MS07-004 di Microsoft sulla protezione in rete. Qualora un exploit avesse avuto successo, un Trojan sarebbe stato installato in modo occulto, dando al soggetto che sferrava l’attacco, libero accesso al computer compromesso. Chi sferrava l’attacco poteva successivamente trarre profitto dal PC compromesso per appropriarsi di informazioni riservate oppure per lanciare attacchi DoS.

Successivamente, nel 2007, il sito ad alta intensità di traffico di “Bank of India” venne preso di mira da alcuni hacker nel corso di un attacco sofisticato che utilizzava redirect multipli per indirizzare gli utenti di Windows verso un server contenente un file di worm di posta elettronica, due rootkit occulti, due Trojan downloader e per finire tre Trojan backdoor. Il sito compromesso della Bank of India mescolava offuscamento in JavaScript, hop multipli di redirect di iFrame e tecniche fast-flux per eludere il rilevamento e per mantenere online i server maligni nel corso dell’attacco. La Figura 5 mostra una schermata del sito compromesso della Bank of India con lo script maligno usato per sferrare l’attacco del tipo download drive-by.

 
Figura 5 – Sito della Bank of India e Script Maligno

Questi sono solamente due esempi che evidenziano le dimensioni del problema su siti Web regolari. Nel tracciamento delle minacce costituite da malware di tipo Web-based, ScanSafe indicava che verso la metà del 2008, la maggioranza del malware veniva trovata su siti regolari. I punti salienti del rapporto di ScanSafe sul terzo trimestre del 2008 sono i seguenti:

Figure 5 – Bank of India Site and Malicious Script Il volume di malware Web-based è aumentato fino al 338% nel terzo trimestre del 2008 se paragonato al primo trimestre dello stesso anno, e fino al 553% percento se paragonato all’ultimo del 2007.Circa il 31% delle minacce malware nel mese di Settembre 2008 è stato di tipo zero-day. (Una minaccia del tipo zero-day è una minaccia per la quale non esistono patch.)Le minacce legate a Trojan backdoor e a Trojan che rubano le password è aumentato fino al 267% nel mese di Settembre del 2008 se paragonato con il mese di Gennaio 2008.

È anche noto che coloro che hanno sferrato gli attacchi hanno utilizzato server pubblicitari compromessi per reindirizzare gli utenti di Windows verso server maligni che ospitano download drive-by. Queste pubblicità malvage (maladvertisement) sono tipicamente Flash-based ed utilizzano le applicazioni unpatched del desktop.

Exploit Kit

Gli exploit kit maligni servono come motore per i download del tipo drive-by. Questi kit sono parti di software scritte in modo professionale che possono trovarsi su di un server ed aventi un database back end. I kit, venduti su siti underground gestiti da hacker, sono dotati di exploit per le vulnerabilità in una gamma di applicazioni del desktop più diffuse tra cui Apple QuickTime media player, Adobe Flash Player, Adobe Reader, RealNetworks’ RealPlayer e WinZip.

Sono stati anche utilizzati exploit specifici per i browser, come Microsoft Internet Explorer, Mozilla Firefox, Apple Safari ed Opera. Diversi di questi exploit kit sono dotati solamente del codice di attacco per le vulnerabilità di Adobe PDF oppure per difetti noti nei controlli ActiveX.

I ladri di dati di identità ed gli autori di malware acquistano exploit kit e li collocano su di un server maligno.

I ladri di identità ed altri autori di malware acquistano gli exploit kit e li implementano su un server maligno. Il codice adoperato per reindirizzare il traffico verso tale server viene quindi inserito nei siti Web dopodiché, tramite lo spam della posta elettronica o il BBS, vengono lanciate e diffuse le esche.

Un server di exploit kit può usare le request header HTTP provenienti dall’apertura di un browser per determinare sia il tipo di browser del visitatore che la sua versione, ed anche il sistema operativo di supporto. Una volta che il sistema operativo bersaglio viene individuato, l’exploit kit potrà scegliere quali exploit lanciare.

In alcuni casi, diversi exploit possono essere inviati nello stesso momento, nel tentativo di compromettere un computer tramite vulnerabilità di applicazioni di terzi. Alcuni dei più sofisticati exploit kit vengono mantenuti e aggiornati mensilmente con exploit di software. I kit hanno anche un’interfaccia utente ben concepita che conserva i dati dettagliati relativi agli attacchi che sono andati a buon fine. I dati potrebbero riguardare le versioni utilizzate dal sistema operativo, il paese di origine bersaglio, gli exploit utilizzati e l’efficacia degli exploit in base al traffico verso il sito maligno.

Leggi anche:  CyberArk lancia il primo browser sicuro focalizzato sull’identità

La Figura 6 indica la gamma di exploit contenuti in un singolo exploit kit intercettato nel corso di un attacco di redirect di JavaScript. Questo esempio non soltanto conferma la popolarità degli exploit nel software di produzione Microsoft, ma è anche di aiuto per illustrare come dell’altro software sia usato al tempo stesso per aumentare potenzialmente il valore degli exploit kit per i criminali informatici.

Exploit Microsoft Bulletin (se appliccabile) MDAC remote code execution MS06-014 ShockwaveFlash.ShockwaveFlash.9 exploit   WebViewFolderIcon setSlice() exploit MS06-057 Msdds.dll exploit MS05-052 Microsoft Works exploit MS08-052 Creative Software AutoUpdate Engine exploit   Online Media Technologies NCTsoft NCTAudioFile2 ActiveX buffer overflow   Ourgame GLWorld GLIEDown2.dll exploit   DirectAnimation.PathControl buffer overflow MS06-067

Figura 6- Contenuto Presente in un Singolo Exploit Kit

Una Monocultura Unpatched

L’epidemia dei download drive-by viene largamente attribuita allo stato unpatched dell’ecosistema di Windows. Tranne che per rare eccezioni, gli exploit in circolazione bersagliano vulnerabilità software note e per le quali sono disponibili i patch. Tuttavia, per varie ragioni, gli utenti finali sono lenti nell’applicare i necessari fix del software.

Con rare eccezioni, gli exploit in circolazione prendono di mira le vulnerabilità del software gia’ note e per le quail non sono ancora disponibili le patch.

Il meccanismo di aggiornamento automatico di Microsoft Update offre agli utenti un metodo ottimale per mantenere le vulnerabilità del sistema operativo “patched”, ma non può essere detta la stessa cosa, invece, per le applicazioni del desktop di terzi. Secunia, una società che rintraccia le vulnerabilità dei software, calcola che circa un terzo delle applicazioni del desktop impiegate siano vulnerabili e non aggiornate a livello patch.

Osservando gli exploit kit esistenti, possiamo notare diverse vecchie vulnerabilità, come MS06-014 e MS05-052 che sono ancora in circolazione dopo diversi anni dopo che la patch è stata resa disponibile (il terzo e quarto carattere indicano l’anno in cui era stato diffuso il notiziario). I pacchetti di exploit mirati che presentano difetti solamente per Adobe PDF Reader hanno avuto gran successo nonostante i perfezionamenti apportati al processo di aggiornamento di sicurezza di Adobe. Adobe Flash Player, che ha quasi il 100% di diffusione su computer abilitati ad Internet, è ancora uno dei grandi bersagli, come lo è anche RealNetworks RealPlayer.

Conclusioni: Come evitare l’attacco

In conclusione, è importante sottolineare che la maggior parte dei moderni browser Web, tra cui Internet Explorer, Firefox, e Opera, hanno aggiunto dei dispositivi di bloccaggio anti-malware che forniscono tempestivi sistemi di allerta quando l’utente tenti di navigare verso un sito web manipolato. Questi dispositivi di bloccaggio forniscono un servizio di buona qualità, ma essendo basati sulle blacklist non garantiscono una protezione totale ai navigatori del Web.

L’approccio più pratico per difendersi dai download indesiderati è quello di fare molta attenzione alla componente di gestione della patch di difesa. Nello specifico, gli utenti dovrebbero:

Adoperare una soluzione di patch management che sia di aiuto nel trovare e riparare tutte le applicazioni terze del desktop. Secunia offre due strumenti: il Personal Software Inspector ed il Network Security Inspector, che sono di aiuto nell’identificazione delle applicazioni unpatched.Servirsi di un browser del desktop che includa i sistemi di blocco anti-phishing ed anti-malware. Microsoft Internet Explorer, Mozilla Firefox e Opera forniscono funzioni di sicurezza che bloccano i siti maligni.Attivare un firewall ed applicare tutti gli aggiornamenti del sistema operativo di Microsoft. Evitare di utilizzare software pirata i cui aggiornamenti sono disattivati tramite WGA.Installare il software anti-virus ed anti-malware ed assicurarsi di mantenere aggiornato il suo database. Assicuratevi che il vostro fornitore di anti-virus stia adoperando uno scanner per il traffico di rete che sia di aiuto per l’individuazione di determinati problemi derivanti da download del tipo drive-by.

Queste operazioni volte alla gestione delle vulnerabilità continuano ad offrire il migliore sistema di protezione dagli attacchi di tipo download drive-by.

Articolo a cura di Ryan Naraine
Security Evangelist, Kaspersky Lab