Ispirandosi a un concetto, il cui utilizzo è ultimamente anche un po' abusato, anche fra gli analisti di sicurezza comincia a serpeggiare il “Malware 2.0”, intendendo con questo termine l'approccio tutto “inedito” che da qualche tempo sta caratterizzando i più recenti malware.
La tendenza è infatti quella di separare la parte “intelligente” del componente nocivo dal suo codice di base: l'elemento dannoso che viene fatto insediare sul personal computer dell'utente è di per sé ridotto ai minimi termini. Esso integra funzioni semplici il cui risultato viene poi trasmesso a server remoti (generalmente un sistema già compromesso ed amministrabile dagli aggressori). È poi il server a restituire informazioni sulle azioni da compiere.
Tipici esempi di malware 2.0 sono ad esempio quelli che monitorano le abitudini dell'utente ed, in particolare, i siti da lui visitati. Nel caso di servizi di online banking, ad esempio, viene automaticamente iniettato del codice html arbitrario così da carpire le informazioni di autenticazione introdotte dall'utente. In altri casi, il server remoto ricompila un nuovo file binario nocivo così da variare il codice maligno scaricato da ogni singolo client infettato.
L'evoluzione della tecnologia e l'analisi
comportamentale
Se sino alla fine degli anni '90 tutti i prodotti antivirus
si basavano esclusivamente sull'utilizzo di
definizioni antivirus, con l'inizio della diffusione in
Rete di worm e spyware, a partire dal 2000, si rese
necessaria un'evoluzione verso soluzioni che includessero
anche funzionalità firewall in grado di rilevare
e bloccare l'attività di malware effettuando un
esame dei pacchetti di dati in transito da e verso il
personal computer.
Di fatto le moderne soluzioni di security si evolvono con funzionalità che sorvegliano le operazioni compiute dai vari processi in esecuzione bloccando quelle potenzialmente nocive, con l'idea appunto di svincolarsi dalle definizioni antivirus e di riconoscere tempestivamente anche le minacce appena comparse in Rete.
Ma come funzonano nel dettaglio queste soluzioni? Prendiamo come esempio TruPrevent di Panda, che svolge azioni di analisi e di blocco, entrambe basate sul comportamento tenuto dalle applicazioni presenti sul sistema monitorato.
Per smascherare ed interrompere immediatamente i processi collegati all'opera di componenti nocivi, Panda Security usa alcuni meccanismi diagnostici che sono posti ad un livello più basso rispetto alla tecnologia TruPrevent: deep code inspection, generic unpacking, native fi le access, rootkit heuristic. TruPrevent è invece proprio l'ultima linea di difesa contro i nuovi malware, progettati per passare inosservati ai controlli basati sull'uso di defi nizioni antivirus ed euristica.
La tecnologia di Panda, residente in memoria, si occupa di osservare nel dettaglio le operazioni e le chiamate API effettuate da ogni singolo programma in esecuzione mettendole in correlazione ed esaminando le varie dipendenze. In questo modo, TruPrevent è in grado di bloccare il malware prima che questo possa eseguire con successo operazioni dannose sul personal computer dell'utente. Qualora un processo in esecuzione dovesse essere ritenuto sospetto, questo verrebbe istantaneamente interrotto e ne sarebbe impedito un successivo avvio.
La tecnologia TruPrevent svolge il suo lavoro di controllo in modo del tutto silente, senza richiedere nessun intervento da parte dell'utente. Si tratta, questo, di un un aspetto chiave: TruPrevent effettua le scelte in materia autonoma senza proporre all'utente messaggi attraverso i quali si richiede quale comportamento debba essere tenuto nei confronti di un particolare oggetto software.
Secondo i dati pubblicati da Panda Security, TruPrevent sarebbe in grado di rilevare l'80% dei malware in circolazione senza appoggiarsi a firme virali e senza ingenerare falsi positivi.
Sempre per ciò che riguarda la difesa del sistema sulla base del comportamento tenuto dalle applicazioni presenti, TruPrevent ha in sé un insieme di regole, mantenute aggiornate da Panda Security (Kernel Rules Engine), che descrivono quali azioni siano permesse e quali non lo siano per una determinata applicazione.
Molti malware, infatti, sfruttano i privilegi assegnati ad un particolare software, del tutto legittimo, per attaccare il sistema dell'utente. Un esempio su tutti è rappresentato dalla diffusione di file in formato Microsoft Office che, pur apparendo benigni, sono invece modificati ad arte da malintenzionati per sfruttare vulnerabilità già conosciute (per le quali è stata messa a disposizione una patch) oppure ancora irrisolte (zero-day). Il sistema di protezione di TruPrevent fa sì che, in questi casi, l'attacco venga stroncato sul nascere restringendo la libertà di azione di ciascun programma installato.
