Sicurezza  »  Articoli  »  Approfondimento Vulnerabilità 

L'evoluzione del malware è un tema che sta sollevando, negli ultimi tempi, enormi dibattiti. Lo scenario a livello globale è mutato drasticamente rispetto agli inizi del millennio, e le previsioni future non sono semplici. In questo articolo analizzeremo i cambiamenti filosofici e strutturali dei software nocivi, vedendo quanto e come sono cambiati in termini di scopo e tecnologie adottate; verrà spiegato come funzionano i malware moderni, anche per mezzo di un esempio pratico: la recente analisi del bot Bootkit presentata da Kaspersky Lab. Prima però è bene fare un po' di chiarezza nell'uso della terminologia.

I termini virus e worm indicano malware pensato per replicarsi lungo la rete, nel primo caso infettando un eseguibile già presente nel sistema e nel secondo caso in modo del tutto indipendente e spesso trasparente, ad esempio mediante un exploit di una vulnerabilità nota. È evidente che i virus per propagarsi dipendono dalla diffusione dell'eseguibile infetto, mentre i worm sono in questo del tutto autonomi, e anche per questa ragione sicuramente più efficienti e diffusi oggigiorno.

I termini trojan, rootkit e backdoor definiscono invece malware in grado, rispettivamente, di insediarsi nel sistema camuffandosi in un'applicazione legittima, di nascondere la propria presenza e quella di altri processi o file dannosi nel sistema e di garantire una via d'accesso alla macchina che aggiri le regolari procedure di autenticazione e autorizzazione.

Infine, ricordiamo che una botnet è una rete di computer infettati da un malware (bot) comandabile da remoto, solitamente per mezzo di un cosiddetto server di command and control (C&C), il cui scopo è sia consentire l'ulteriore propagazione del malware sia recapitare i comandi ai singoli bot - solitamente indicazioni per ingenti operazioni di spamming o denial of service.

Un mondo che cambia

Negli ultimi anni invece le cose sono mutate radicalmente: Internet è divenuta un terreno sempre più a diretto contatto con gli interessi di piccole e grandi aziende, sempre più ricco di informazioni sensibili. In parole povere, è nata e cresciuta una vera e propria scena del cybercrimine, finalizzato ai puri e semplici ritorni economici: commercio di exploit, di account, di botnet, tutto può essere venduto o affittato a cifre nel complesso considerevoli. Questo ha portato all'evoluzione del vecchio malware nel cosiddetto Malware 2.0.

In questo nuovo modello di malware, che ha avuto i primi timidi vagiti nel 2006 e si è sempre più perfezionato, abbiamo un'infezione e una propagazione che tendono alla trasparenza: meno polvere si solleva, più sarà semplice insediarsi e rimanere insediati. Lo scopo non è più un danno diretto, evidente e fondamentalmente incontrollato, quanto una silente compromissione dei sistemi vittima: i worm sono solo il primo passo per l'installazione di una backdoor che consenta il controllo remoto di un bot.

Il codice nocivo dev'essere difficile da riconoscere ed analizzare, e il controllo delle stesse botnet dev'essere il meno tracciabile possibile. I vettori d'infezione si spostano, anch'essi, da ambienti plateali (i classici allegati nelle email) a luoghi più insospettabili (ad esempio, iframe infetti in siti Web fidati). Alle complessità tecniche sono inoltre affiancati meccanismi di social engineering per spingere sempre più utenti a compiere le azioni necessarie per essere infettati o per inserire dati confidenziali in form malevole.

Altri articoli

Altre guide

Altre newsletter