Le minacce che circolano sul Web sono sempre più complesse e articolate; G DATA pone l’accento sulla natura dei cosiddetti exploit, cosa sono? Come difendersi? Gli exploit sono programmi strutturati con un codice capace di individuare possibili falle di sicurezza di software e sistemi operativi. Si tratta del primo grado di infezione, una sorta di apripista per malware, trojan e ransomware.
Un exploit opera secondo una logica ben precisa: per prima cosa identifica le vulnerabilità. Gli exploit possono essere nascosti in un documento Word o essere scaricati automaticamente semplicemente visitando una pagina web. Cercano quindi punti attaccabili nell’applicazione con cui sono stati scaricati (lettori di documenti, browser web ecc.). Successivamente, quando gli exploit trovano una vulnerabilità adatta, collocano un codice malevolo da qualche parte nella memoria del vostro computer.
Un’applicazione funziona compiendo tanti piccoli processi che hanno luogo in successione. L’avvio di un processo dipende dalla conclusione corretta del precedente, un flusso stabilito esattamente nel codice di programmazione. Gli exploit sono programmati per modificare la sequenza originale in modo da dirottare il flusso dell’applicazione sul codice manipolato. Ne consegue che non viene eseguito il normale codice dell’applicazione, bensì il codice dannoso infiltrato in precedenza.
Una volta attivato il malware può accedere alle funzioni del programma in cui è penetrato e a tutte le funzioni generalmente accessibili del sistema operativo. Quindi l’exploit raccoglie informazioni sul sistema e può scaricare ulteriori codici maligni da Internet. A questo punto ransomware, trojan bancari o altri malware vengono scaricati sul computer.
Gli exploit si diffondono prevalentemente in due modi. Nel primo caso si scaricano sul computer navigando, celati dagli altri contenuti della pagina web che si sta visitando. Nel secondo caso si celano nei documenti allegati alle e-mail, in chiavette USB, su hard disk esterni e simili.
EXPLOIT “DRIVE-BY” – Lo scaricamento di exploit “drive-by” avviene “di passaggio” senza che l’utente se ne accorga. A tale scopo i cybercriminali manipolano direttamente i banner pubblicitari sulle pagine web o i server a cui sono collegati in modo piuttosto subdolo: tale trucco viene utilizzato anche su pagine affidabili. Basta un click sulla pubblicità per avviare il download in background. Il programma dannoso scaricato cerca quindi vulnerabilità nel browser o tra i plug-in. L’infezione “drive-by” è quella più utilizzata per diffondere exploit kit. I kit consistono in una raccolta di exploit con obiettivi multipli. Molti kit presentano spesso strumenti per attaccare Flash, Silverlight, PDF Reader e browser web come Firefox e Internet Explorer.
EXPLOIT NEI FILE – Questa modalità di infezione è la più utilizzata per attaccare aziende. Gli exploit vengono diffusi sistematicamente attraverso PDF manipolati e allegati alle e-mail. Il file si presenta come una fattura o un’inserzione ma contiene exploit che dopo l’apertura sfruttano le vulnerabilità di Adobe Reader. Lo scopo di tali attacchi solitamente è lo spionaggio (APT).
Come mi difendo dagli exploit? Per chiudere il maggior numero di falle possibili, al fine di ridurre quanto più possibile la superficie d’attacco, è consigliabile installare gli aggiornamenti del software per i programmi più importanti. È altresì essenziale dotarsi di una soluzione di sicurezza di nuova generazione in grado di riconoscere gli exploit zero-day, come le suite G DATA, una funzione che sopperisce al fatto che il più delle volte passano diverse settimane tra la scoperta della falla e il rilascio/ installazione di una patch sul dispositivo vulnerabile.
