di Fabio Massa
L’analisi forense in casistiche da infezione da malware (malicious software) è estremamente frequente nell’ambito delle investigazioni digitali, in particolar modo per fornire risposte ed elementi probatori ad attacchi e/o incidenti informatici, accessi abusivi, spionaggio, furto di identità e ricatto. I malicious software costituiscono una grave minaccia per la sicurezza dei sistemi informatici. Spesso, nelle casistiche relative alle investigazioni digitali di sistemi infettati da malware è necessario ricorrere ad una attenta analisi per fornire risposte mirate su cosa è accaduto e quali elementi probatori della sua esistenza possono essere reperiti nel sistema, riferiti anche agli attacker e ai metodi di diffusione ed infezione.
1. Introduzione
La digital forensics e la malware forensics sono due temi che coinvolgono, entrambi, i metodi per scoprire il più possibile su un evento che ha interessato l’oggetto dell’analisi, su come è accaduto, su cosa e chi è stato coinvolto. Queste somiglianze vengono prese in considerazione anche per identificare, nel caso specifico, un incidente o un danno causato da un malware, cosa realmente è accaduto, e le prove della sua esistenza nel sistema interessato. Un malware può essere definito come “una sequenza di codice progettata per danneggiare intenzionalmente un sistema, i dati che contiene o comunque alterare il suo normale funzionamento, all’insaputa dell’utente.” Nella malware forensics è importante tenere conto delle caratteristiche dei malware e dei relativi patterns nonché delle metodologie di infezione e di attacco, al fine di ricercare e identificare gli elementi probatori che essi possono produrre. Un elemento fondamentale sono i “vettori di attacco”: con questo termine si intende il percorso con il quale l’agente malware può avere accesso non autorizzato ad una risorsa informatica. In passato i vettori di attacco più comuni si riferivano a supporti rimovibili, floppy disk, CD Rom, ecc. Con la diffusione delle connessioni internet, il trend è notevolmente mutato, traslando i vettori a metodi più efficaci, trasmissibili da remoto, quali allegati e-mail, configurazioni di sistemi insicure, trojan, social engineering, manipolazione dei motori di ricerca, attività di condivisione P2P e tanto altro.
Un ricorrente esempio di infezione, estremamente invasiva, sono le Botnet, utilizzate principalmente per sferrare attacchi informatici di elevato livello, in particolare tramite attacchi Distributed Denial of Service (DDoS). Le Botnet sono formate da numerosi sistemi informatici collegati ad Internet ed infettati da malware, che rispondono ai comandi di un’unica entità, il cd. botmaster. Al fine di controllare i computer compromessi (bot o zombie), un software o un codice malevole che consenta il “Comando e Controllo” (C&C) deve essere presente sul sistema vittima, generalmente infettato utilizzando uno o più dei vettori di attacco menzionati prima. Le modalità di controllo delle Botnet dipendono dall’architettura C&C che essi utilizzano. Esistono molti tipi di architettura C&C che si basano generalmente su architetture centralizzate IRC e Web Server, o architetture decentrate come ad esempio Peer to Peer (P2P). Analizzando un sistema infettato da una Botnet, al fine di rilevare le attività anomale da esso causate, può essere prodotta, ad esempio, una cronologia della creazione dei file di log mediante tecniche live o post mortem.
2. Individuazione e analisi dei malware
Nell’analisi dei malware è importante che il maggior numero di caratteristiche possibili relative agli elementi probatori rilevati siano classificate in modo opportuno, per definire il modello utilizzato dall’agente malware. L’identificazione delle evidenze probatorie di un malware costituisce un processo interattivo in cui la conoscenza dell’oggetto sequestrato aumenterà attraverso l’indagine stessa, che a sua volta migliorerà le prestazioni su ciò che viene rilevato.
Articoli pubblicati da Fabio Massa