Il malware è una delle minacce informatiche più comuni che le aziende devono affrontare oggi. La maggior parte delle aziende, ovviamente, dispone di un qualche tipo di infrastruttura IT. Sebbene tutti i malware siano intrinsecamente dannosi, tuttavia, esistono diversi tipi di malware, inclusi polimorfici e metamorfici. In questo post vedremo la differenza tra malware polimorfico e metamorfico.
Il malware polimorfico è un software dannoso in grado di trasformarsi con una chiave di crittografia. Le chiavi di crittografia vengono utilizzate per crittografare i dati. Quando viene applicata ai dati, una chiave di crittografia li cripta in modo che non siano più leggibili. Il malware polimorfico sfrutta appunto questa chiave in modo da poter modificare i suoi dati o, più specificamente, il suo codice. Di solito questo tipo di malware è composto da due parti:
- Codice che viene utilizzato per decrittografare e crittografare l'altra parte (di solito chiamato VDR: routine di decrittografia dei virus). Questa parte non cambia la sua forma.
- Codice principale del malware che cambia forma (di solito chiamato EVB: corpo del virus crittografato).
Quando un'applicazione infetta viene avviata, il VDR decrittografa il corpo del virus crittografato (EVB) in modo che possa essere eseguito e quindi crittografato nuovamente. Di solito lo scrittore di malware utilizzerà una chiave di crittografia generata in modo casuale da utilizzare da parte del VDR, quindi per ogni download di malware, in modo da ottenere un corpo del virus crittografato (EVB) completamente diverso.
Il malware metamorfico, d'altra parte, è un software dannoso in grado di riscrivere il proprio codice. Come con il malware polimorfico, è caratterizzato dalla sua capacità di trasformarsi o trasformarsi in qualcos'altro. Esistono virus polimorfici e virus metamorfici. Entrambi i tipi di virus si trasformano mentre si diffondono. I virus metamorfici, così come altri tipi di malware metamorfici, riscrivono semplicemente il loro codice.
Sebbene siano entrambi in grado di trasformarsi, il malware polimorfico e metamorfico non sono la stessa cosa. Solo il malware polimorfico utilizza una chiave di crittografia. Se il tuo computer è stato infettato da malware polimorfico, utilizzerà una chiave di crittografia per modificare il suo codice. La chiave di crittografia confonderà il codice del malware polimorfico in modo che appaia diverso dalla sua forma originale.
Il malware metamorfico non utilizza una chiave di crittografia. Invece, riscrive il suo codice, in genere ad ogni nuova iterazione. Quando il malware metamorfico si diffonde, ad esempio, creerà una nuova iterazione di se stesso che presenta un nuovo codice. Questo è in netto contrasto con il malware polimorfico, che non riscrive il suo codice. Il malware polimorfico utilizza semplicemente un algoritmo di crittografia per codificare il proprio codice.
Puoi proteggerti da entrambi i tipi di malware morphing utilizzando le tradizionali soluzioni di sicurezza informatica. Il software antivirus è in grado di difendersi dal malware polimorfico e metamorfico. Per una solida difesa, assicurati che il software antivirus sia installato su tutti i computer della tua azienda.
Oltre al software antivirus, mantenere tutti i computer della tua azienda aggiornati con l'ultima versione del sistema operativo (OS) li proteggerà da questi due tipi di malware. L'esecuzione di un sistema operativo obsoleto è una vulnerabilità di sicurezza. Può essere utilizzato per distribuire malware polimorfico o metamorfico su uno dei computer della tua azienda.
I ricercatori di Webroot hanno scoperto che il 97% delle infezioni da malware utilizza tecniche polimorfiche. Sebbene alcune di queste tattiche siano in uso dagli anni '90, nell'ultimo decennio è emersa una nuova ondata di malware polimorfici aggressivi. Alcuni esempi di alto profilo includono:
Email Storm Worm: la famigerata e-mail di spam inviata nel 2007 con l'oggetto "230 dead as storm batters Europe" è stata, a un certo punto, responsabile dell'8% di tutte le infezioni da malware globali. Quando l'allegato del messaggio veniva aperto, il malware installava il servizio wincom32 e un trojan sul computer del destinatario, trasformandolo in un bot. Uno dei motivi per cui il worm storm era così difficile da rilevare con i tradizionali software antivirus era che il codice dannoso utilizzato si trasformava ogni 30 minuti circa.
CryptoWall Ransomware: CryptoWall è un ceppo di ransomware polimorfico che crittografa i file sul computer della vittima e richiede il pagamento di un riscatto per la loro decrittazione. Il costruttore polimorfico utilizzato in Cryptowall viene utilizzato per sviluppare quella che è essenzialmente una nuova variante per ogni potenziale vittima.
Molti ceppi di malware ora hanno capacità polimorfiche, rendendo le soluzioni antivirus tradizionali inefficaci nel rilevare e fermare il malware prima che venga compromesso. Per anni, la saggezza convenzionale sulla protezione dai malware è stata quella di investire in soluzioni preventive come antivirus, firewall e IPS. Tuttavia, queste soluzioni non funzionano contro il malware polimorfico. Il fatto che alcune tecniche polimorfiche siano utilizzate oggi in quasi tutti gli attacchi di successo significa che se la tua azienda fa affidamento a queste soluzioni, stai lasciando vulnerabilità agli attacchi.
Proprio come altre forme di malware, le varietà polimorfiche possono essere suddivise in più famiglie. Alcuni dei tipi più comunemente visti includono:
CryptoLocker - Questo insidioso virus ransomware crittografa i file su dispositivi e reti condivise. Ottiene l'accesso ai sistemi attraverso una varietà di vettori, inclusi download, siti di condivisione di file ed e-mail.
CryptXXX - Questa forma di ransomware utilizzava l'Angler Exploit Kit (EK), una volta considerato il principale EK, crittografava i file e rubava le password.
VirLock - Considerato il primo ransomware polimorfico, questo virus ha bloccato gli schermi delle vittime infettando anche i file esistenti.
WannaCry - Questo ransomware, che assomiglia al trojan CryptXX, è un cryptoworm che sfrutta un exploit EternalBlue, una vulnerabilità senza patch sui vecchi sistemi operativi Windows.
La protezione contro il malware polimorfico richiede un approccio a più livelli alla sicurezza aziendale che combini persone, processi e tecnologia. Esistono numerose best practice che le aziende dovrebbero seguire per la protezione dal malware polimorfico, che vanno dalle best practice generali alle soluzioni speciali per il rilevamento basato sul comportamento. Ecco alcuni suggerimenti chiave per la protezione dal malware polimorfico:
Mantieni aggiornato il tuo software: un modo semplice per aiutare a prevenire le infezioni da malware è mantenere aggiornate le varie applicazioni e gli strumenti software utilizzati dalla tua azienda. I produttori di software aziendali come Microsoft, Oracle e Adobe rilasciano regolarmente aggiornamenti software che contengono patch di sicurezza critiche per vulnerabilità note. L'esecuzione di software obsoleti con vulnerabilità di sicurezza lascia la tua azienda aperta a exploit che possono portare a una varietà di infezioni da malware.
Non fare clic su collegamenti o allegati sospetti: le e-mail di phishing o altre comunicazioni elettroniche non richieste possono contenere collegamenti o allegati dannosi utilizzati per diffondere malware. Educare gli utenti finali su come riconoscere collegamenti e allegati sospetti può aiutare a mitigare questo vettore di ingresso comune per gli attacchi di malware.
Usa password complesse e cambiale regolarmente: assicurarsi che i tuoi account siano protetti con password sicure e univoche è un'altra best practice per la protezione dai malware. Educare gli utenti finali su password sicure e utilizzare funzionalità come l'autenticazione a più fattori o gestori di password sicuri ove necessario.
Sfrutta gli strumenti di rilevamento basati sul comportamento: poiché il malware polimorfico è progettato per eludere il rilevamento da parte degli strumenti antivirus tradizionali, le migliori soluzioni per questa minaccia utilizzano tecniche di rilevamento avanzate basate sul comportamento. Le soluzioni di rilevamento basate sul comportamento come il rilevamento e la risposta degli endpoint o la protezione avanzata dalle minacce possono individuare le minacce in tempo reale, prima che i tuoi dati vengano compromessi. La protezione dal malware basata sul comportamento è più accurata dei metodi tradizionali basati sulle firme che lottano per affrontare gli attacchi polimorfici.