Azioni utili per contrastare l’esecuzione e la diffusione di malware

Contrastare l’esecuzione e la diffusione di malware

Il CERT-PA ha pubblicato il 19/11/2019 la guida: Azioni utili per contrastare l’esecuzione e la diffusione di malware. Il CERT-PA, acronimo di Computer Emergency Response Team Pubblica Amministrazione, opera all’interno dell’agenzia AgID e ha il compito di supportare le amministrazioni nella prevenzione e nella risposta agli incidenti di sicurezza informatica.

Riportiamo un estratto della guida.

Le minacce

A fronte della sempre maggior diffusione di campagne miranti alla diffusione di malware attraverso l’utilizzo dei canali di posta elettronica, ordinaria e/o certificata, il documento vuole suggerire alcune configurazioni che è possibile applicare alle postazioni di lavoro per contrastare più efficacemente questi tipi di attacco. Sicuramente tra le azioni utili per contrastare l’esecuzione e la diffusione di malware, le restrizioni, attuabili tramite specifiche configurazioni del software, sono le più importanti. Esse fanno riferimento agli ambienti desktop basati sul sistema operativo Microsoft Windows, che per diffusione e contesto di utilizzo sono maggiormente esposti a questa tipologia di attacchi informatici.

In questo specifico contesto, le principali e più diffuse minacce sono rappresentate da eventi di phishing e distribuzione di vari tipi di malware, come i ransomware e i trojan, specializzati nel carpire dati ed altre informazioni sensibili tra cui le credenziali d’accesso ai diversi servizi telematici.

Se nel caso di ransomware il pericolo, in caso di attacco, è rappresentato dall’impossibilità di accedere ai dati personali, nel caso di trojan, una volta compromesso il sistema operativo, possono innescarsi – in modo silente – una serie di effetti e rischi collaterali. Gli eventi cibernetici che ne conseguono indicano che la compromissione, ove provocata da queste tipologie di malware, possa innescare di fatto l’esposizione di informazioni e credenziali di servizi on-line come la posta elettronica associata o acceduta dalla postazione affetta dal malware. Ciò produce, nelle ipotesi peggiori, l’utilizzo fraudolento della postazione di lavoro, fornendo l’opportunità ai criminali di lanciare delle campagne di invio di comunicazioni, anche massive, volte alla proliferazione di codice malevolo a danno di altri sistemi e destinatari che vengono, a loro volta, coinvolti dal malware inviato alle caselle di posta elettronica.

I buoni consigli e le azioni utili per contrastare l’esecuzione e la diffusione di malware.

Sicuramente con buone pratiche comportamentali e tecnologiche. Le azioni di contrasto attuabili si basano principalmente sulla percezione del problema e sulle risorse tecnologiche disponibili. Nel primo caso è fondamentale la formazione e sensibilizzazione del personale. Addestrare l’utente finale, affinchè acquisisca la capacità di individuare le minacce, rappresenta la miglior barriera per bloccare una possibile minaccia; quando ciò non accade è proprio l’interazione dell’utente stesso a dare seguito, purtroppo, alla minaccia ed alla conseguente infezione compromissione dei sistemi.

Un ulteriore contrasto al malware si ottiene con l’attivazione di alcune configurazioni applicabili alle postazioni di lavoro in specifici ambiti di utilizzo qui di seguito descritte.

Come mitigare le minacce.

La guida suggerisce che, per proteggersi dai codici malevoli e dagli attacchi dei cybercriminali, è buona pratica disattivare l’esecuzione di VBScript, PowerShell, Windows Script Host, le Macro e JavaScript.

Disattivare l’esecuzione di VBScript

VBScript è un linguaggio di scripting sviluppato da Microsoft che si è ampiamente diffuso nello sviluppo web ed è stato appositamente integrato in Internet Explorer.

Per disabilitare VBScript in Internet Explorer 11, 10 e 9, e sufficiente consultare l’articolo di Microsoft in lingua inglese o in italiano. La risorsa fornisce le indicazioni necessarie oltre ad un pacchetto (fix) la cui esecuzione permette di disattivare VBScript in Internet Explorer 11 per l’area Internet e per l’area dei siti con restrizioni.

Disattivare PowerShell

Powershell è un interprete dei comandi utilizzabile da riga di comando e, come ricorda la guida, anche il malware sfrutta script eseguiti tramite questo interprete. Alcuni attacchi specifici tendono ad utilizzare tecniche “PowerShell-based” particolarmente sofisticate anche in campagne di malware “fileless”, dove nessun file viene memorizzato su disco e il codice dannoso va ad inserirsi, tramite la console, nella memoria RAM vanificando spesso le soluzioni di sicurezza tradizionali basate sul controllo delle firme dei file. E’ pertanto consigliabile disattivare PowerShell sui sistemi maggiormente o direttamente esposti alle consuete minacce.

Disattivare Windows Script Host

Windows Script Host è un linguaggio di scripting fornito in dotazione a tutte le principali distribuzioni di Windows e Windows Server a partire da Windows 98. La disabilitazione di questa funzionalità impedisce l’esecuzione di file con estensione .VBS (VBScript) che sono solitamente più potenti e versatili rispetto ai file batch (.bat) ma, per contro, la versatilità del Windows Script Host ha spinto i “malware writers” a sfruttarne i vantaggi per creare virus informatici e malware.

La disabilitazione di Windows Script Host inibisce l’esecuzione di file con estensione .vbs, .vbe, .js, .jse, .wsf e altre tipologie di script che sono largamente utilizzate come allegati nelle campagne di diffusione malware. Nel normale contesto lavorativo la disabilitazione di Windows Script Host non comporta reali limitazioni operative e pertanto, considerato l’elevato grado di diffusione di allegati .vbs, si consiglia la disattivazione dei tale linguaggio.

Disattivare le Macro.

Le macro sono delle mini applicazioni che si realizzano all’interno di Microsoft Office con il programma Visual Basic for Application che permettono di automatizzare una serie di funzionalità. Dal momento che sono sviluppate con codice VBA è possibile utilizzarle anche per fini malevoli. Negli ultimi periodi si nota una tendenza nell’offuscare pesantemente il codice delle macro, attività che complica i controlli di sicurezza atti a verificare la natura del codice.

Nonostante i vari produttori di software abbiano nativamente disattivato l’esecuzione delle macro, apponendo un avviso di sicurezza ove esse fossero presenti, un utente poco attento o che considera fidato il mittente, può superare l’avviso accettando l’esecuzione della macro che, qualora malevola, andrebbe a avviare la catena di infezione.

Disattivare JavaScript

JavaScript è un linguaggio di programmazione e uno dei componenti fondamentali per creare contenuti web insieme a HTML e CSS ed è supportato da tutti i moderni browser.

JavaScript permette ai creatori di siti web di far eseguire codice agli utenti che visitano il sito, ragion per cui viene spesso abusato dai cyber criminali per il compimento dei loro attacchi. Uno dei più comuni scenari consiste nell’invitare un utente ad aprire un collegamento internet che punta verso un sito appositamente predisposto per far eseguire codice malevolo tramite il browser. Un altro contesto particolarmente insidioso è legato al salvataggio dei file JavaScript (.js), che vengono scaricati nel PC durante la navigazione. Navigando su un sito web precedentemente compromesso, tali file possono dare seguito a quello che viene definito un attacco “drive-by” – o “drive-by download attack” – che a sua volta innesca, con metodi differenti, una serie di attività malevole finalizzate alla compromissione del sistema operativo in uso. La disattivazione o la corretta gestione delle impostazioni lato browser, che consenta autorizzazioni specifiche per l’utilizzo di questo linguaggio, influisce nel mitigare un consistente numero di minacce cibernetiche anche rivolte ad attacchi di tipo zero-day.

Raccomandazioni per l’uso della posta elettronica.

Per contrastare l’esecuzione e la diffusione di malware gli utilizzatori o titolari delle caselle di posta elettronica sono comunque tenuti, direttamente o indirettamente, ad adottare tutte le norme di sicurezza di solito raccomandate per mitigare i rischi associati all’uso della posta elettronica.

In tal senso, le indicazioni sono:
  1. Modificare le credenziali delle caselle, con cadenza trimestrale, adottando requisiti di complessità;
  2. Non ignorare eventuali attività sospette rilevate, in ingresso o in uscita, dalle caselle;
  3. Al manifestarsi di una sospetta anomalia o attività legata ad accessi non autorizzati in una casella, provvedere subito a cambiare la password del servizio, quindi allertare il supporto tecnico di riferimento;
  4. Utilizzare la protezione di un antivirus accertandosi che sia sempre attivo ed aggiornato e non ignorando la presenza di avvisi di sicurezza;
  5. Eseguire periodicamente una scansione antivirus della propria postazione/dispositivo ed in particolare degli allegati che si desidera aprire;
  6. Se si ritiene di aver aperto un allegato non sicuro, eseguire una scansione AV completa quindi utilizzare, per ulteriore accertamento, un antivirus esterno come i “rescue disk” che permettono di sfruttare un’unita CD, DVD, USB per esaminare il sistema dall’esterno;
  7. Accertarsi che il sistema operativo abbia tutti gli aggiornamenti di sicurezza rilasciati e che siano attivi gli “Aggiornamenti Automatici”, in modo da garantire l’applicazione delle correzioni di sicurezza non appena disponibili;
  8. Evitare di cliccare su un link quando punta su destinazioni non note (posizionando il puntatore del mouse sul link senza cliccare dà in genere la possibilità di vedere l’indirizzo contenuto nel link stesso);
  9. Non aprire allegati e file provenienti da mittenti sconosciuti senza gli opportuni controlli del caso;
  10. In genere, diffidare da comunicazioni che richiedono l’esecuzione di azioni non richieste o che invitano ad inserire credenziali di accesso, o altre informazioni sensibili, all’interno di form online in quanto, con altissima probabilità, si tratta di pagine fasulle appositamente predisposte per catturare le informazioni.
  11. Verificare regolarmente sul sito del CERT-PA l’emergere di campagne o attacchi attivando, ove rilevato un caso analogo, le contromisure

 

0 0 votes
Article Rating
Subscribe
Notificami
guest
0 Commenti
Inline Feedbacks
View all comments