Un nuovo malware particolarmente persistente sta sfidando gli specialisti IT: Glupteba è intenzionato a rimanere nascosto il più a lungo possibile e a raccogliere informazioni dettagliate per perfezionare ulteriormente le sue tecniche. Sophos sta rispondendo con l'Endpoint Detection and Response (EDR) basato sul Deep Learning.
Glupteba, un worm che si concentra sull'offuscamento e la furtività e il cui numero di infezioni è aumentato costantemente dall'inizio dell'anno, sta tenendo impegnati gli esperti di sicurezza di Sophos. Nel rapporto "Glupteba malware si nasconde in piena vista", il team di ricerca e sviluppo di Sophos Labs ha analizzato il nuovo malware, che può evitare il rilevamento sui dispositivi infetti e offre una soluzione proattiva.
La sfida
La cosa pericolosa di Glupteba è che questo malware non solo mira a rubare quanti più dati possibile, ma fa di tutto per proteggere se stesso e i suoi componenti dagli utenti di un dispositivo infetto o da un software di sicurezza. Per esempio, il malware cerca di spegnere le protezioni integrate di Windows e gli strumenti di sicurezza o di analisi per rimanere inosservato il più a lungo possibile. Una volta che il bot è impostato e configurato, viene installato un processo di monitoraggio per esso. Se questo rileva che un driver o un componente è andato in crash, tenta di reinstallare ed eseguire i dati.
Le soluzioni di protezione tradizionali non sono in grado di proteggere le reti da questo tipo di attacco, secondo Michael Veit, technology evangelist at Sophos. Mentre il controllo del web, dei dispositivi e delle app, i firewall, le firme e l'euristica formano il livello essenziale di protezione per fermare e difendersi dai virus, non sono sempre in grado di rilevarli abbastanza presto.
Live Discover and live response
L'obiettivo di Endpoint Detection and Response (EDR) è quello di rilevare attività sospette da parte degli attaccanti che non hanno ancora fatto un exploit o criptato i file. La soluzione è stata sviluppata specificamente per le operazioni di sicurezza IT e la caccia alle minacce ed è destinata a rilevare le minacce nascoste attraverso il riconoscimento comportamentale e il supporto dell'AI e a impedire ai worm di divorare i sistemi. La caratteristica speciale è il "monitoraggio assoluto di tutti i processi" su tutti i diversi sistemi.
Con la soluzione Intercept X Advanced with EDR di Sophos, si possono creare query SQL personalizzabili che attingono fino a 90 giorni di dati di endpoint e server. Le domande possono includere perché un sistema funziona lentamente, quali dispositivi hanno vulnerabilità note, servizi sconosciuti o estensioni del browser non autorizzate. Può anche scoprire se il sistema sta eseguendo programmi che dovrebbero essere rimossi, se i processi stanno cercando di stabilire una connessione di rete attraverso porte non standard e se i file o le chiavi di registro sono stati modificati di recente.
Se un sistema è esposto come potenzialmente dannoso, viene automaticamente isolato nella rete. Inoltre, gli amministratori possono prendere misure protettive mirate in remoto tramite una console centrale di gestione del cloud ed evitare possibili falsi allarmi.
Live Discover? Monitoraggio assoluto? Per alcuni, queste caratteristiche di una soluzione EDR potrebbero anche suonare familiari come SIEM. I sistemi EDR setacciano dalla grande quantità di eventi che accadono su tutti i sistemi tutti quelli che potrebbero essere un'indicazione di attività hacker. I sistemi SIEM si sono proposti di fare proprio questo decenni fa e hanno fallito, spiega Michael Veit. "Il problema con il SIEM è che presto si instaura una cosiddetta stanchezza da allerta, perché si verifica un numero incredibile di falsi allarmi. Un sistema SIEM cerca di raccogliere e valutare gli eventi da diversi componenti, all'endpoint, al gateway, nella rete e sui server di database in luoghi diversi. Ma si tratta di sistemi eterogenei: un firewall del produttore X e un endpoint del produttore Y. E quindi stabilire il contesto di quando un evento è accaduto in quale componente è molto difficile. Ma un sistema EDR ha molto più contesto dalle azioni."
Con EDR, ci sarebbe il monitoraggio assoluto di tutti i processi, tutte le comunicazioni e tutte le voci di registro, rendendo più facile la correlazione con eventi corrispondenti sulla rete o sui server. Le minacce possono essere reagite immediatamente e un aggressore può essere bloccato fuori dalla rete automaticamente o premendo un pulsante. Il SIEM ha spesso sensori incompleti e richiede componenti aggiuntivi per la protezione e la risposta, che vengono attivati "con un ritardo temporale, se non del tutto". Con un sistema EDR, qualsiasi anomalia di qualsiasi sistema e qualsiasi processo è coperta. Per dirlo in termini concreti, l'EDR è il nuovo SIEM."
Deep Learning
Tecnologie come il Deep Learning sono rivolte al passato, ha detto Veit. "Negli ultimi 30 anni che abbiamo fatto l'anti-virus, abbiamo alimentato il nostro modello di Deep Learning con dati raccolti. In questo modo possiamo vedere se un programma sconosciuto è più un programma maligno o un buon programma".
Il deep learning può essere utilizzato per proteggere gli endpoint da minacce ancora sconosciute. Ispirata al modo in cui funziona il cervello umano, l'evoluzione dell'apprendimento automatico si basa su grandi quantità di dati da cui viene creato un modello efficace. Nei Sophos Labs, più di 100 milioni di endpoint forniscono dati di telemetria ogni giorno e ogni settimana vengono analizzati 2,8 milioni di nuovi campioni di malware. Attraverso queste analisi, si possono fare delle previsioni e migliorare l'identificazione dei dati. Sophos dice che la sua tecnologia può estrarre milioni di proprietà da un file in meno di 20 millisecondi, eseguire un'analisi profonda e determinare se un file è innocuo o dannoso.