Il malware Trickbot è tornato operativo con una nuova variante in grado di compromettere il BIOS di un computer infetto o il firmware UEFI: in questo modo riesce a nascondersi a basso livello e garantirsi così una solida persistenza nel sistema bersaglio.
Entrare a così basso livello in un sistema ha dei vantaggi immediati. Il primo è la sopravvivenza ai normali processi di re-imagine dei sistemi corrotti che normalmente non include il re-flashing del BIOS: in questo modo, il malware rimane presente e attivo nonostante la sostituzione degli hard disk, dato che il BIOS risiede sulla flash memory SPI presente sulla motherboard e non sui sistemi di storage.
Dopo aver compromesso il BIOS, Trickbot ha a disposizione un ventaglio di opzioni per le azioni successive che vanno dalla disattivazione di controlli di sicurezza, all’alterazione dei processi di boot o del sistema operativo, fino alla corruzione del boot stesso, rendendo il sistema inutilizzabile al boot successivo.
Trickbot ha dimostrato di avere una solida struttura software che gli consente un’ottima capacità di movimento laterale, sfruttando l’elevazione dei privilegi di accesso tramite furto di credenziali ed exploit di vulnerabilità esistenti.
L’aggiunta di una nuova funzione che aumenta la persistenza nei sistemi rappresenta un ulteriore incremento dell’efficacia di questo malware e quindi della sua pericolosità.
Indice degli argomenti
Trickbot: come si è evoluto il malware
Trickbot non è una novità, anzi è un malware di lungo corso: nasce infatti nel 2016 e una delle sue caratteristiche è quella di essere un malware modulare che fornisce accesso backdoor, consentendo agli operatori di distribuire malware aggiuntivo sui sistemi delle vittime.
Include, inoltre, altre funzionalità per attività di furto delle password, caratteristica che gli consente una continua evoluzione ad esempio nella capacità di propagazione, ma anche nelle funzionalità.
Famoso nel recente passato il modulo pwgrab64 per ottenere password presenti nella cache del browser o da altre applicazioni presenti sul computer della vittima.
Oppure, nel 2018, gli esempi di Trickbot che utilizzano il malware Emotet come metodo di distribuzione alternativo in parallelo alle proprie campagne malspam spesso attraverso documenti Word.
Recentemente, con l’accresciuto interesse a prendere di mira le strutture sanitarie e i servizi di pubblica utilità a seguito della pandemia, Trickbot è stato utilizzato in campagne volte a diffondere ransomware quali Ryuk e Conti.
Il malware Ryuk è una famiglia di ransomware utilizzata in attacchi mirati contro organizzazioni di tutto il mondo in grado di causare dannose interruzioni di servizio note alla cronaca.
Ultimamente, anche Ryuk ha intrapreso la strada dell’attacco multiplo: ci sono tentativi di search & destroy dei backup e comunque, qualora la richiesta di riscatto per la decifratura degli host non avesse successo (ad esempio in aziende in grado di ripartire molto rapidamente coi backup), gli autori dell’attacco sfruttano il furto di dati sensibili ottenibili anche grazie a moduli di Trickbot per ottenere denaro in cambio della loro non diffusione.
Sappiamo che l’efficienza nella distribuzione e nella diffusione, insieme alla capacità di nascondersi e persistere, sono caratteristiche basilari per un attacco malware di successo.
Non ci deve meravigliare, quindi, l’evoluzione di Trickbot verso la ricerca di vulnerabilità nel firmware dei sistemi in modo da potersi nascondere anche a basso livello (anche questa tecnica non è nuova e ci riporta al 2015 alle tecniche di impianto UEFI dell’Hacking Team).
Come mitigare la diffusione del malware Trickbot
Ci chiediamo quindi quale sia l’approccio migliore per bloccare o mitigare la diffusione e i danni derivanti da un attacco Trickbot in una qualunque delle sue versioni.
Le considerazioni fatte finora ci hanno mostrato uno scenario con vettori di infezione e propagazione multipli e a vari livelli.
La prima contromossa è il patching
Quando si parla di sfruttamento di vulnerabilità, la prima contromossa a cui si pensa è il patching. Corretto, ma non sempre realizzabile nei tempi e nei modi ottimali: si pensi a situazioni mission critical in cui il patching debba passare fasi di validazione, a sistemi industriali spesso difficilmente patchabili o, più semplicemente, all’inevitabile gap temporale tra l’individuazione delle vulnerabilità e il rilascio delle fix.
Usare sistemi per evitare manomissioni del sistema
A livello di BIOS la raccomandazione è quella di applicare le tecnologie antitampering esistenti, quali Secure Boot e sistemi dotati di TPM (Trusted Platform Module), mentre per evitare quanto più possibile il furto di credenziali, si raccomanda l’uso di sistemi di autenticazione multi-fattore e controllo accessi.
Serve un approccio strutturale alla cyber security
L’adozione di best practice per ridurre quando più possibile il rischio, deve essere affiancato da un approccio strutturale alla cyber security, che tocchi tutti gli elementi coinvolti nella Kill Chain del malware.
La cyber hygiene inizia dagli utenti e dalla consapevolezza su come muoversi in un ambiente IT potenzialmente ostile (è quindi necessaria una formazione specifica) per proseguire nei processi di controllo, misura e ottimizzazione per arrivare al concetto di security by design.
Il modello Zero Trust
Limitandoci agli aspetti architetturali dell’IT moderno, il principio generale a cui fare riferimento è quello dello Zero Trust che possiamo riassumere semplicemente con il concetto che il trust è esso stesso una vulnerabilità e che quindi i sistemi devono avere solamente il livello di accesso minimo per poter svolgere i compiti per cui sono pensati.
A livello di rete lo Zero Trust si è sempre tradotto nella segmentazione in zone di sicurezza, con sistemi evoluti in grado di dare la massima visibilità del traffico e blocco degli attacchi (Next Generation Firewall, NGFW). Le ultime evoluzioni dei NGFW consentono di avere moduli di threat prevention basati su machine learning direttamente all’interno dei sistemi, quindi in linea col traffico, aumentando considerevolmente la capacità di identificazione e blocco di varianti malware mai viste prima.
La protezione degli endpoint è fondamentale
Per il rilevamento dei lateral movement occorre avere su rete e sugli endpoint capacità di Network Traffic Analysis (NTA) e User Behavior Analytics (UBA, analisi comportamentale) guidata da machine learning e AI: si devono poter identificare comportamenti malevoli guardando le deviazioni dei comportamenti standard senza l’introduzione di falsi positivi, e questo è possibile con tecnologie che auto-apprendano.
L’ideale a questo punto è che la parte di Network Traffic Analytics sia integrata direttamente nei Next Generation Firewall in modo da avere un sistema integrato con una visione più profonda di quello che avviene a livello di rete.
La protezione degli endpoint è fondamentale: serve il blocco di processi e attività software automaticamente identificati come malevoli, a prescindere dal fatto che siano noti e non noti, e serve che il sistema consenta Detection & Response rapido e ottimizzato. L’ideale è che la base dati su cui fare DR includa anche quelli provenienti dai sistemi NGFW con funzionalità NTA (sia quindi un sistema XDR) e che l’integrazione sia inclusa nei processi automatici di identificazione di incidenti da masse di alert difformi, velocizzando drammaticamente la gestione e la risoluzione.
Sistemi di protezione OT/IoT e cloud
Qualora l’infrastruttura serva ambiti OT/IoT, la presenza nel NGFW in modalità nativa di funzioni di IoT security integrate facilita la gestione della detection & response, essendo questa parte nativamente integrata nell’XDR.
Ci sono poi da proteggere anche gli ambienti cloud o ibridi, che affiancano alle esigenze di cyber security classiche nuove funzioni derivanti dal loro nuovo modo di fare IT.
Diversi, quindi, i temi guida: integrazione nativa dei layer di sicurezza, automazione ai massimi livelli per funzioni di prevenzione ma anche di analisi e remediation e facilità di inserimento nell’approccio Zero Trust di nuovi ambiti IT.
