| Undefined
Non sempre è facile per i team di sicurezza identificare le intrusioni di esterni nelle proprie reti aziendali e gli attaccanti utilizzano sempre di più tecniche avanzate anti-intrusione.
Una in particolare si chiama Domain Generation Algorithm (DGA). Essa è utilizzata, dopo l’intrusione e quando le macchine all’interno della rete sono infettate e ha lo scopo di supportare le attività di controllo remoto da parte dell’attaccante, ad esempio, durante la fase di esfiltrazione dati.
Vediamo come funziona.
L’attaccante, una volta entrato nella nostra rete, ha la necessità di attivare una connessione verso un server esterno, detto di Command & Control (C&C). La connessione serve, in prima istanza, per comunicare che quella determinata macchina nella nostra rete è stata infettata, e successivamente a supportare le successive azioni di controllo (es. esfiltrazione dei dati).
Per fare questo l’attaccante deve registrare un dominio a cui verrà assegnato un determinato indirizzo IP. Se il dominio e l’IP fosse uno e statico, i team di sicurezza e le forze dell’ordine avrebbero gioco facile per bloccare la specifica tipologia di malware. Bloccando gli IP (ad esempio a livello di firewall / DNS) o aggiungendoli alle firme degli IPS qualsiasi infezione potrebbe essere facilmente contenuta. In aggiunta, chiedendo la chiusura dello specifico dominio, si bloccherebbero di fatto tutte le infezioni di quel determinato malware.
L’algoritmo DGA entra in gioco proprio per ovviare a questa difficoltà che gli attaccanti incontrano. Essa è una tecnica che genera un numero enorme di domini e relativi indirizzi IP per i C&C. L’algoritmo che li genera sembra, in prima battuta, casuale, mentre invece è ben conosciuto da chi ha scritto il malware e rende estremamente complesso individuare o contenere un’infezione della nostra rete.
Il malware, quindi, ad intervalli di tempo regolari tenterà di contattare i domini via via generati confondendo i team di sicurezza. Inoltre, l’attaccante non dovrà registrare tutti i domini generati, ma gli basterà registrare un solo dominio o pochi di essi (attività spesso facilmente automatizzabile) e conoscendo l’algoritmo saprà esattamente quando il malware tenterà di contattare quale C&C.
In questo modo le difese dei team di sicurezza che si basano sull’analisi dei log DNS vengono meno in quanto, quando il DGA entra in gioco, il C&C cambia dinamicamente e molto velocemente in maniera apparentemente casuale. Anche bloccare l’attuale IP e dominio del C&C risulta poco efficace e valido per un periodo limitato.
Come F3RM1 può aiutare a contrastare il DGA?
La fondazione F3RM1 ha sviluppato un algoritmo innovativo basato sulle reti neurali, allenato con un enorme quantità di dati di traffico di rete, in grado di identificare migliaia di DGA al giorno e registrando alcuni di questi “domini” che il malware ha generato, ma che non sono stati utilizzati dall’attaccante. In questo modo viene avviata un’attività di malware sinkholing (per maggiori dettagli: DNS sinkhole - Wikipedia).
L’infrastruttura F3RM1 è in grado così di raccogliere milioni di eventi di connessioni al giorno che sono originate dalle famiglie di malware nel mondo sia conosciute che sconosciute, di fatto creando una mappa estremamente dettagliata delle botnet e degli attacchi in corso.
I risultati di questa importante ricerca sono disponibili nella nostra homepage con un focus geografico sulle regioni italiane: https://f3rm1.cloud
Non solo, F3RM1 utilizza questi dati per aiutare le imprese a identificare le minacce che altrimenti passerebbero sotto traccia all’interno della rete aziendale fornendo gratuitamente un servizio DNS che blocca i domini DGA che sono quotidianamente individuati (https://f3rm1.cloud/dns-f3rm1) e, anche, a calcolare il rischio cyber afferenti alla propria catena di fornitura (per approfondimenti sul tema del rischio supply chain visitate il nostro articolo a questo indirizzo: https://f3rm1.cloud/articoli/sicurezza-e-fornitori--qual----l-anello-debole-della-tua-difesa-) .
Per ulteriori informazioni e approfondire il modo in cui F3RM1 può aiutare la vostra impresa, contattati al nostro indirizzo di posta: pec@f3rm1.com