Davide Ariu, Matteo Mauri
Smart home, auto a guida autonoma, console, transazioni. Sono solo alcuni dei bersagli nel mirino dei software “addestrati” a offuscare il rilevamento di codici malevoli. Che l’Internet of Things è destinato a far aumentare. Player e tecnologie messe in campo dal progetto Ue SIMARGL, mirato a rendere al malware la vita difficile.
Vale 6 milioni di euro SIMARGL, il progetto con cui l’Europa punta a mettere un freno all’avanzata dello stegomalware, considerato oggi la nuova cyber-minaccia allo sviluppo di sistemi connessi. Vediamo come lavora il “malware dei malware” e le armi in campo per arginarlo.
Steganografia, l'”arte” di offuscare i codici
Gli attenti e navigati lettori di certo sapranno cosa si intende per Malware. Quindi andremo dritti al punto, per fare poi un brevissimo passo indietro.
Cosa è lo stegomalware? Si tratta di una particolare e sofisticata tipologia di malware che fa uso di steganografia per ostacolare abilmente il rilevamento del codice malevolo. Sostanzialmente si tratta di una caratteristica utilizzata da certi tipi di malware per offuscare sé stessi.
La steganografia non è di certo cosa nuova, e qui facciamo un primo (piccolo) flashback: già utilizzata nell’antica Grecia e definita nei glossari sul finire del XV secolo, è una tecnica che si prefigge di nascondere la comunicazione tra due attori che si scambiano un’informazione. Da non confondere con la crittografia, anch’essa cosa antica e nota; entrambe condividono il concetto di segretezza, ma la crittografia è una tecnica in cui il contenuto è illegibile ma palese: solo chi conosce una “chiave” per interpretare un messaggio crittografato può decifrarlo, ma ciò non vuol dire che il messaggio sia nascosto.
La steganografia invece è pensata per occultare completamente un messaggio all’interno di un vettore che possa veicolarlo senza destare sospetto alcuno, in maniera subdola ed efficace.
L’utilizzo di inchiostri segreti e particolari liquidi per svelare messaggi nascosti su superfici apparentemente prive di testo o l’utilizzo di sofisticati giochi di luce per portare a galla messaggi fotosensibili, hanno fatto la fortuna di egittologi e registi. Tenendoci equidistanti da Giza e da Hollywood, teniamo a mente i precedenti esempi solo per inquadrare il problema, focalizzandoci però interamente su quella che è la nostra location: il mondo digitale.
La steganografia digitale è la pratica di nascondere un file, messaggio, immagine o video all’interno di un qualsiasi livello di trasporto: un altro file, messaggio, immagine, video, software, protocollo o traffico di rete. Questo tipo di malware opera costruendo un sistema steganografico per nascondere dati potenzialmente dannosi all’interno delle sue risorse e quindi li estrae e li esegue in modo dinamico. È considerato uno dei modi più sofisticati e furtivi di offuscamento.
Dimensione e caratteristiche dei file multimediali li rendono terreno fertile per le trasmissioni steganografiche: una banale immagine potrebbe contenere dei pixel alterati in modo che questi corrispondano a determinati caratteri alfabetici.
Tuttavia, nella ricerca accademica il termine “steganografia” è legato solo a uno dei sottocampi (più noti) di occultamento delle informazioni, che mira a nascondere i dati segreti all’interno di un corriere adatto. Per esigenze di semplificazione tuttavia il malware che utilizza vari tipi di tecniche di occultamento delle informazioni viene definito come stegomalware.
Stegomalware, il software che seduce le spie
Per la precisione, il termine “stegomalware” è stato introdotto dai ricercatori nel contesto del malware mobile e presentato alla conferenza Inscrypt (Pechino, Cina) nel 2014. Tuttavia, il fatto che il malware (mobile) potesse potenzialmente utilizzare la steganografia era già stato notato qualche anno prima: l’uso della steganografia era stato inizialmente applicato alle botnet che comunicavano su canali probabilisticamente non osservabili. E ancora antecedente è l’utilizzo di steganografia per veicolare malware su dispositivi non mobile. Ma andiamo con ordine.
A causa dei miglioramenti nel contrasto al cybercrime, i metodi per nascondere i dati hanno progressivamente guadagnato una crescente attenzione da parte di attori come criminali informatici, terroristi e spie informatiche. Attratti anche dal fatto che la steganografia o altre tecniche di occultamento delle informazioni possono essere trattate come autentico potenziamento per veicolare un malware (e qui la combinazione di fattori attraenti aumenta esponenzialmente se si combinano steganografia e crittografia). Nell’ultimo decennio, molte minacce e malware hanno migliorato la loro capacità di rimanere inosservati in diverse fasi dell’attacco, ad esempio durante l’esfiltrazione di dati, l’infezione di un host o la comunicazione tramite un canale Command & Control (C&C) per un server remoto.
Ma non serve elaborare (o parlare di) tecniche di offuscamento avanzate. Funzionano benissimo anche le tecniche base, a detta degli esperti ricercatori del progetto SIMARGL, neonato strumento finanziato dalla commissione Europea per contrastare lo stegomalware, di cui parleremo nella parte finale di questo articolo.
Tecniche di occultamento di informazioni
L’evoluzione dello stegomalware può essere brevemente riassunta come segue. Inizialmente, le tecniche di occultamento delle informazioni venivano implementate solo nelle minacce persistenti avanzate (APT). Tuttavia, data la loro efficacia, stanno lentamente diventando lo standard di fatto anche per il malware “ordinario”. Si possono oggi distinguere queste tecniche in cinque gruppi principali:
- Malware che sfrutta modifiche ai file multimediali digitali.
Attualmente uno dei modi più comuni per nascondere i dati è quello utilizzare i file multimediali digitali come corriere segreto. La tecnica più comune utilizza immagini digitali per: (i) nascondere le impostazioni del malware o un file di configurazione; (ii) fornire al malware un URL da cui scaricare i componenti aggiuntivi; (iii) memorizzare direttamente l’intero codice dannoso.
Spesso questi tipi di malware (citiamo Trojan.Downbot e Duqu a titolo di esempio) vengono diffusi tramite campagne di phishing. Una volta infettati i computer delle vittime, riescono talvolta a generare backdoor e a scaricare poi, da file che appaiono come pagine HTML legittime o immagini JPEG, del codice eseguibile da server remoti. Altri tipi di malware riescono a diffondersi attraverso i siti Web utilizzando <iframes>, o ancora a nascondere delle impostazioni nelle favicon, che sono le immagini del tutto innocue che appaiono nei tab dei nostri browser. Attraverso processi sofisticati questi malware utilizzano alcuni bit di un’immagine digitale per ricostruire un URL precedentemente incorporato, che consente di scaricare file di configurazione (di codice malevolo) o direttamente componenti software aggiuntivi.
Non sono mancati attacchi a piattaforme di e-commerce, attraverso le quali certi tipi di malware hanno raccolto i dettagli di pagamenti e transazioni, nascondendoli all’interno di immagini di prodotti reali disponibili sul sito di e-commerce infetto. Scaricando tali immagini modificate, un attaccante può facilmente esfiltrare i dati rubati. - Malware in grado di emulare altre applicazioni legittime o di imitare il loro comportamento sul traffico.
In questo caso il funzionamento del malware si basa sull’imitazione di programmi legittimi e / o delle loro comunicazioni. Un esempio paradigmatico è rappresentato da Android/Twitoor.A, un malware che si diffonde tramite SMS o tramite URL dannosi. Il malware impersona un’app per un gioco erotico o un’applicazione MMS, ingannando l’utente per installare codice malevolo sul suo dispositivo e diffondere l’infezione.
Altre applicazioni hanno dimostrato la capacità di registrare diversi secondi di traffico normale e legittimo e quindi di utilizzarlo come una cortina fumogena (vale a dire che i comandi dannosi vengono mascherati usando quelli legittimi). Tale operazione consente a un attaccante di modificare un processo controllato senza generare avvisi di sicurezza nel sistema dell’utente. - Informazioni che nascondono ransomware.
Dal 2016 a oggi sono stati diversi i casi (TeslaCrypt , Cerber, SyncCrypt) di malware in grado di sfruttare vulnerabilità di sistemi (esecuzione di downloader) o utenti (apertura di e-mail infette) che hanno portato al download di file di immagine sul computer di destinazione. All’interno di queste immagini dall’aspetto innocente si nascondevano eseguibili di ransomware steganograficamente incorporati. - Informazioni nascoste nei kit di exploit.
Si tratta di una delle tendenze più recenti. In questo caso, i metodi di occultamento delle informazioni sono diventati così popolari tra i criminali informatici che sono stati incorporati nei kit di exploit per consentire agli sviluppatori con scarse capacità di programmazione di creare, personalizzare e distribuire campagne di malvertising. In parole povere l’attacco viene diffuso attraverso codice dannoso incorporato all’interno di banner pubblicitari, generato modificando lo spazio colore dell’immagine PNG utilizzata. In seguito, i browser degli utenti che visualizzano un annuncio infetto, analizzano un codice JavaScript che estrae il codice dannoso e reindirizza gli utenti alla pagina di destinazione del kit di exploit. Nella pagina di destinazione viene eseguita l’infezione con diverse tipologie di malware. - Malware che immettono dati nascosti nel traffico di rete.
Sfruttando alcune caratteristiche dei protocolli di rete, alcuni malware sono in grado di agire direttamente a livello di traffico di rete, talvolta eseguendo delle query grazie alle quali le informazioni di ritorno consentono il recupero di ulteriore malware da eseguire.
Internet of Things, terreno fertile
Come è stato sottolineato in precedenza, le minacce che nascondono le informazioni e il malware steganografico potrebbero diventare una nuova tendenza in grado di contribuire alla creazione di malware ancora più sofisticati, che possono mettere a rischio una varietà di configurazioni.
Si pensi al potenziale pericolo rappresentato dal mondo connesso e dagli attacchi ai nodi di Internet delle cose (IoT). In questa prospettiva, lo spazio problematico da affrontare quando si tratta di nuovi malware steganografici è molto ampio e composito. Per dare una possibile idea dei problemi che caratterizzano i moderni ambienti intelligenti, evidenziamo brevemente i rischi di sicurezza più evidenti nell’immediato futuro:
• Edifici: con l’avvento di edifici intelligenti (con dispositivi di riscaldamento, ventilazione e aria condizionata accessibili da remoto tramite Internet) è esplosa la possibilità di sfruttare una varietà di nodi, sensori, attuatori e framework software per scopi steganografici: un parco giochi difficile da controllare e ispezionare, all’interno del quale sarà difficile tracciare con precisione un flusso di dati o di esecuzione. Pertanto, i nodi che compongono un edificio intelligente sono candidati per diventare nodi zombie di una botnet o per offrire un luogo in cui archiviare temporaneamente i dati rubati da esfiltrare segretamente.
• Telefoni, console di gioco, set-top-box, elettrodomestici: sono tantissimi i dispositivi connessi in rete e dotati di risorse di elaborazione e archiviazione sufficienti tali da renderli obiettivi rilevanti per un utente malintenzionato, ad esempio per orchestrare una botnet o condurre un DoS. Tutti questi dispositivi offrono molti vettori in cui incorporare dati (ad esempio, attuatori e sensori possono implementare un canale nascosto). Inoltre sono piatti prelibati perché contengono tonnellate di dati che possono essere utilizzati per campagne di profilazione di massa o per sviluppare truffe basate sul social engineering.
• Veicoli: le automobili moderne (anche quelle accessibili a un pubblico di massa) offrono numerose funzionalità per la localizzazione e la pianificazione dei percorsi, supportano framework di gestione centralizzata e servizi di trasporto intelligenti, si connettono in remoto per scopi di telemetria e sicurezza, e dialogano con dispositivi personali per scopi di intrattenimento e comunicazione. Aggiornamenti del firmware, browser Web incorporati, porte fisiche che consentono di collegare dispositivi di archiviazione di massa come schede SD o memorie USB: sono tutti canali sfruttabili e a rischio, in grado di ospitare diversi scenari di attacco. La violazione della privacy (un must dell’attuale era geologica) del conducente è uno di questi. Ma anche l’esecuzione di sabotaggi non va esclusa: attraverso attacchi mirati a contaminare eventuali algoritmi di apprendimento automatico, progettati magari inizialmente per aiutare il conducente, i malware possono invece minarne la sicurezza fisica alterando e avvelenando i dati utilizzati per addestrare algoritmi o informazioni circostanti raccolte dai sensori.
Nuove tecniche di occultamento delle informazioni vengono continuamente introdotte e il loro grado di raffinatezza è in aumento. Il futuro traffico correlato al malware potrebbe essere ancora più difficile da rilevare. Il malware in grado di nascondere informazioni ha spesso la capacità di mimetizzarsi per un lungo periodo di tempo, procedendo lentamente (ma continuamente) col furto di dati sensibili dell’utente.
Cybersecurity, il progetto Ue anti-stegomalware
Per questo motivo la Commissione Europea considera lo stegomalware come una nuova minaccia avanzata e persistente da affrontare energicamente. Stanziando un budget totale di 6 milioni di Euro infatti la UE ha finanziato il progetto SIMARGL – Secure intelligent methods for advanced recognition of malware, stegomalware & information hiding methods (Grant Agreement n° 833042 – www.simargl.eu) in cui attori internazionali del calibro di Airbus, Siveco, Thales, Orange Cert, FernUniversität (coordinatore del progetto), si affiancheranno a tre “italiane” nel contrasto allo stegomalware: Pluribus One, spin-off dell’Università di Cagliari, partecipa come software provider e developer; CNR, Unità di Genova, mette in campo gli algoritmi di rilevamento Energy-Aware basati sull’intelligenza artificiale; Numera, società operante nell’ambito dell’ICT con sede a Sassari, sottoporrà al “vaglio” di SIMARGL alcuni dei propri sistemi rivolti al mercato del credito.
In totale sono 14 i partner internazionali (partecipano al consorzio anche Netzfactor, Itti, Warsaw University, IIR, RoEduNet, Stichting CUIng Foundation) provenienti da 7 paesi che metteranno in campo intelligenza artificiale, sofisticati prodotti già disponibili e algoritmi di machine learning in via di perfezionamento, al fine di proporre una soluzione integrata in grado di affrontare diversi scenari, descritti ad inizio articolo, e di agire a diversi livelli: dal monitoraggio del traffico di rete al rilevamento di bit offuscati all’interno di immagini. Mastodontico il know how messo in campo: web application firewalls di ultima generazione basati su algorirtmi di machine learning, web gateways, concept drift detectors, sistemi avanzati di signal processing, approcci lifelong learning intelligent systems (LLIS), classificatori ibridi e tecniche di apprendimento profondo (deep learning).
Alla prova del nove (ovvero i casi d’uso sui quali verrà testata la piattaforma) verranno sottoposti sistemi di pagamento e transazioni online e protocolli di rete di noti Internet e mobile provider di livello internazionale.
La sfida del progetto SIMARGL è appena iniziata e proverà a fornire concrete risposte al problema dello stegomalware nei prossimi due anni, il progetto si concluderà infatti nell’aprile del 2022. Si tratta di una sfida dinamica però, in cui difficilmente si potrà mettere un punto definitivo: la ben nota battaglia tra guardie e ladri è un assioma assai noto: il perfezionamento degli uni determina il perfezionamento degli altri, e viceversa.
Articolo originariamente pubblicato su Agenda Digitale.
Vuoi provare Pluribus One Web Application Security®?
Prenota una dimostrazione
Il nostro staff ti risponderà al più presto per programmare una demo.
