Studiare virus e worm, infiltrasi nelle botnet, analizzare il “male” dall’interno per combatterlo. Questo è il lavoro del malware analyst, una professione che pochi in Italia conoscono ma che riveste un’importanza fondamentale per garantire la sicurezza dei nostri PC. Ecco allora che abbiamo deciso di rivolgere qualche domanda a Giuseppe Bonfà, malware analyst di appena 24 anni ma con un’esperienza già notevole.
Giuseppe, presentati ai lettori di oneITSecurity
Sono Giuseppe Bonfà, 24 anni, reverse engineer/coder e analista di sicurezza informatica da ormai 10 anni.Mi occupo principalmente di consulenze di sicurezza su piattaforma Windows riguardanti principalmente le minacce provenienti da malware (in particolar modo rootkit per spionaggio e controspionaggio industriale e non) e da nuove vulnerabilità. Da oltre 10 anni pubblico articoli relativi al reverse engineering UserMode e KernelMode, software security e non ultimo ricerca vulnerabilità di tipo classico e crittografico, presenza di backdoor crittografiche oppure di errori di implementazione. Probabilmente in molti mi conosceranno sotto il nick di “evilcry” con cui sono noto nei più importanti reverse engineering team.
In cosa consiste il tuo lavoro di malware analyst?
Il ruolo del malware analyst è essenzialmente un lavoro di indagine e ricerca svolto sui molteplici fronti del cybercrime. In prima istanza mi occupo di individuare e isolare le possibili nuove minacce, siano essi classici virus Usermode o i più subdoli rootkit (malware a Kernelmode) passando dalle relativamente nuove tecnologie costituite dal Web malware (con particolare riferimento all’era Web 2.0)Nel lavoro di ricerca va incluso lo studio e l’infiltrazione nelle botnet, ove cerco tramite tecniche di social engineering di guadagnare la fiducia dei personaggi coinvolti oppure tramite attacchi veri e propri alla loro rete, di carpire quante più informazioni possibili ed eventualmente isolare i virus che stanno per essere messi in circolazione.
Finita questa fase d’indagine, si passa all’analisi del virus vera e propria, ove tramite l’approccio di reverse engineering vado a determinare la struttura e le operazioni fatte dal virus. Tale operazione è fondamentale per elaborare la “cura”, l’apposita procedura che serve ad eliminare la presenza del virus dal sistema infetto (chiavi di registro, file parassiti etc.)
Infine, stabilita la natura del malware, lo si va a collocare in una “famiglia” ovvero un insieme più ampio (molto spesso si supeno i 200000+ samples) costituito dalle varianti del virus stesso. Dopo aver individuato o creato la famiglia si procede con la ricerca dei common static patterns, ovvero si cerca un set di bytes che identifica tutta o in parte la famiglia, questa costituirà la signature tramite la quale l’AV Engine riconoscerà il virus in questione.
Quali sono gli strumenti che usi per l’analisi dei malware, parlaci della tua toolbox?
L’analisi malware viene effettuata essenzialmente in apposito ambiente virtuale, è necessario quindi disporre di una virtual machine tipo VMWare o VirtualBox opportunamente isolata onde evitare il rischio di spread del malware stesso sull’host system. Nella quasi totalità dei casi ci si trova a dover analizzare degli eseguibili, siano essi.exe,.dll o .sys di conseguenza serve analizzare approfonditamente il formato di questi eseguibili, a tal scopo utilizzo
il CFF, un tool realizzato da un mio carissimo amico, in grado di darmi informazioni approfondite sulla struttura del malware, e in caso di eseguibile packato ovvero cifrato, poterlo “catturare dalla memoria” (processo di dump) e ricostruire in forma decodificata.Successivamente è necessario disassemblare l’eseguibile, a tal scopo si più utilizzare il celebre IDA Pro, un tool estremamente avanzato che permette di analizzare a livello di codice macchina (Assembler) l’eseguibile.
Infine è necessario un debugger, tipo OllyDbg (se si tratta di un malware usermode) oppure WinDbg / Syser in presenza di rootkit.
Oltre ai tool di base, utilizzo software di analisi network tipo Wireshark oppure oSpy.
Ritengo inoltre di estrema importanza la conoscenza di linguaggi come il Python, estremamente flessibile e utile per scrivere procedure automatizzate “al volo”, è un po’ il coltellino svizzero di ogni buon ricercatore.
Quali sono le peggiori minacce per Windows (virus, trojan) attualmente i circolazione?
Le maggiori minacce provengono da virus del tipo Banker, quali il SilentBanker, in grado di monitorare le attività di online banking dell’utente e “rubare” le credenziali d’accesso bancarie alterando i certificati, inducendo l’utente ad inserire i propri dati su pagine fittizie e/o loggare l’attività bancaria. Tale minaccia non riguarda solamente gli end-user ma anche le banche, ho seguito casi di interi circuiti bancari infetti da SilentBanker.È da citare anche il segmento Rogue AV, ovvero quel gruppo di famiglie di malware che si spacciano per antivirus, inducendo gli utenti meno esperti a credere che il sistema sia infetto e accettare i gli aggiornamenti malevoli, vale la pena dire che questi aggiornamenti sono ovviamente altri malware, o peggio nel caso di alcune varianti del celebre FakeAV clients e aggiornamenti della ZeuS botnet.
A tal proposito nell’ultimo periodo ho assistito al ritorno di fiamma di Bredolab, celebre malware mirato all’utenza Facebook, che allo stato attuale “collabora” attivamente con ZeuS botnet.
Virus, worm e trojan prendono come bersaglio prevalentemente Windows. Per quanto ancora Mac e Linux verranno snobbati dai creatori di malware?
La questione è molto sottile, pur essendoci attualmente un esiguo numero di virus per sistemi Mac e Linux, possiamo rilevare, nei sistemi Linux/FreeBSD un alto numero di rootkit, opportunamente realizzati per sorvegliare silentemente le attività della vittima e/o mantenere l’accesso ad un sistema già compromesso, fenomeno assai ricorrente su Linux. L’ambiente del virus coding è sempre stato un ambiente estremamente attento ai attento alle novità, quali nuove vulnerabilità e potenziali vettori d’attacco, ma dipende ovviamente dal grado di diffusione dell’OS stesso.Ritengo che nell’arco di pochi anni, quando sarà considerevolmente aumentato il numero di utenti Mac/Linux, il numero di trojan e soprattutto rootkit sarà destinato ad aumentare considerevolmente, basti considerare l’incremento di malware Symbian based in concomitanza dell’enorme diffusione che hanno avuto i dispositivi Symbian Based.
Il fenomeno delle botnet è in continua espansione (ZeuS solo per citarne una), quali sono secondo te i toolkit più pericolosi di creazione/amministrazione di computer zombie?
Negli ultimi due anni il cybercrime ha triplicato la creazione di crimeware e contemporaneamente di botnet, da citare l’organizzazione criminale RBN (Russian Bank Network) direttamente collegata con la mafia russa, creatrice della famosa campagna di spamming v1agra che ha generato enormi volumi di spam.Fra le botnet di maggior peso, è fondamentale citare ZeuS che rimane tutt’oggi la più longeva e ampia botnet, talmente ramificata da aver generato fenomeni di cannibalismo (SpyEye, un’altra botnet contiene l’opzione di “ZeuS Killing”). Il principale scopo di ZeuS rimane il furto di dati utente sensibili. Il background di questa botnet è riconducibile ancora una volta alle organizzazioni criminali russe, quali la nuova RBN, su cui non posso entrare nei dettagli per ovvi motivi di sicurezza. Uno dei motivi del grande successo di ZeuS è legato all’intrinseca scalabilità e flessibilità del sistema Builder/Server in grado non solo di fornire servizi di Money Stole ma anche guidare i criminali al riciclaggio del denaro stesso tramite i cosiddetti Money Mule, ovvero utenti che riciclano inconsapevolmente il denaro sporco.
Unitamente a ZeuS è doveroso citare SpyEye, toolkit sviluppato in Russia (come la quasi totalità dei crimeware praticamente) verso la fine del 2009 e dotato di svariate funzionalità ben implementate come keylogging, moduli per il furto d’identità FTP protocol grabber, Pop3 grabber etc.
SpyEye è un po’ il concorrente diretto di ZeuS poiché mina a cannibalizzare quest’ultimo. Mi aspetto una gran diffusione di SpyEye per via del fatto che la parte di variants generation è molto curata.
Puoi consigliare ai nostri lettori degli strumenti che secondo te possano aumentare la protezione del proprio sistema Windows?
Ritengo che il primo vero fondamentale strumento di sicurezza sia l’atteggiamento e la soglia di attenzione dell’utente stesso, sta a lui la prima fondamentale scelta, lo definirei il primo Filtro, quello costituito dal Sano Sospetto di
cosa si sta Visitando e/o Eseguendo.Ben poco possono gli antivirus contro le scelte rischiose di eseguire file sospetti, i quali potrebbero essere virus non ancora rilevati, con l’ovvia conseguenza di causare ogni genere di danno possibile.
Oltre queste indicazioni generali, è bene avere un sistema sempre aggiornato, in modo tale da ridurre al massimo le falle di sicurezza, siano esse derivanti dal sistema operativo stesso, che da applicazioni specifiche quali ad esempio i prodotti Adobe per la gestione dei PDF. I quali costituiscono un nuovo vettore di infezione, recentemente in grande ascesa.
Per ultimo ma non meno importante, emerge la necessità di una soluzione antivirus+firewall, necessaria a proteggere il sistema dai danni provocati da infezione malware, i danni potrebbero essere molto gravi e compromettenti. Esistono appositi malware ideati per rilevare le attività di online banking “rubare” le credenziali della vittima. Un buon
antivirus metterebbe al riparo dal rischio di infezione, mentre un buon firewall bloccherebbe la disclosure dei dati sensibili.
Hai lavorato prevalentemente per società straniere. Per chi volesse lavorare come malware analyst non ci sono possibilità in Italia?
Da quanto ho potuto vedere in questi anni, la situazione italiana è pressoché inesistente, malgrado le numerose aziende di ITC Security presenti su tutto il territorio nazionale, veramente pochissime sono interessate al malware analysis, ci sarebbe soltanto da sperare in qualche filiale italiana di qualche noto AV.