Exploit Server, le radici delle infezioni e del malware

Di fronte a uno scenario di questo tipo, uno dei problemi più frequenti è rappresentato dalla complessità delle infrastrutture e dall’effettiva difficoltà di raggruppare e circoscrivere gli Exploit Server esistenti in rapporto alle rispettive campagne di infezione.

Secondo gli esperti dell’istituto madrileno IMDEA Software, Antonio Nappa, M.Zubair Rafique e Juan Caballero, che hanno contribuito attivamente a questa analisi, è possibile adottare specifici algoritmi di intelligenza artificiale.
Lo studio “Driving in the Cloud: An Analysis of Drive-by Download Operations and Abuse Reporting”, presentato alla conferenza accademica di sicurezza DIMVA di Berlino, include l’analisi di un totale di 500 Exploit Server, per un periodo continuativo di circa 13 mesi.

Durante il periodo interessato è stata adottata una tecnica basata su sistemi di intelligenza artificiale, indispensabile per classificare i differenti Exploit Server e le rispettive campagne di infezione.

Exploit Server, le radici delle infezioni e del malware

Il monitoraggio ha permesso di valutare lo stato di attività dei server, di scaricare e archiviare 11.636 sample malware univoci. Attraverso un processo di infezione fittizio, i campioni sono stati analizzati e classificati nelle rispettive famiglie.
La tecnica di classificazione dei server include un algoritmo denominato “clustering”, in grado di accettare come input l’insieme sparso di tutti gli Exploit Server osservati e le caratteristiche che sono state collezionate nel processo di dialogo con le macchine. Tra questi parametri, le definizioni URL, gli indirizzi IP dei server e le famiglie di malware distribuite.
Grazie a queste caratteristiche l’algoritmo è stato in grado di restituire un output che include i sottoinsiemi dei diversi Exploit Server che potenzialmente appartengono alla stessa campagna di infezione. Questa tecnica facilita il lavoro delle forze dell’ordine e semplifica l’individuazione degli attaccanti che hanno organizzato le campagne di infezione. Durante il processo di osservazione è stato possibile rilevare che la maggior parte degli Exploit Server era ospitata presso Cloud Service Providers, ambienti dove, con una carta di credito valida, è possibile noleggiare un server virtuale in pochi minuti, per pochi Euro.

Exploit Server, le radici delle infezioni e del malware

Tali ambienti, normalmente deputati all’erogazione di servizi “regolari”, vengono frequentemente utilizzati da malintenzionati per infettare macchine client e scomparire nell’anonimato.
Gli URL per raggiungere e monitorare gli Exploit Server dello studio sono stati scaricati attraverso fonti esterne, come ad esempio www.malwaredomainlist.com, un noto sito web dove volontari riportano URL potenzialmente maligni. Si tratta di una risorsa importante che, tuttavia, impone una serie di limitazioni e non permette di comprendere quale sia la reale popolazione di Exploit Server nell’intero Web. La conseguenza diretta che ne deriva è la maggiore complessità delle procedure da attivare per inibire o bloccare le eventuali campagne di infezione.

 

Exploit Server, le radici delle infezioni e del malware

Tra i parametri presi in considerazione per la classificazione dei malware figurano anche le rispettive icone e gli screenshot di esecuzione del software malevolo.
Come è possibile vedere in figura, gli autori del malware hanno utilizzato immagini che replicano icone e schermate solitamente adottati dai programmi di protezione, questo perché hanno intuito che tali caratteristiche possono essere utilizzate da un antivirus basato su signature per riconoscere una determinata famiglia di malware.
Ad una attenta analisi è possibile osservare come le icone e gli screenshot non sono esattamente uguali ma “visualmente simili”, si tratta di un meccanismo di difesa da parte degli autori del malware (attaccanti).
Gli autori della ricerca hanno incorporato nell’analisi algoritmi che consentono di identificare immagini simili eludendo così la difesa del malware e ottenendo una classificazione dei sample puntuale e accurata. In questo modo server che distribuiscono malware con icone o screenshot simili possono essere raggruppati nella stessa campagna di infezione.