Sophos InterceptX blocca Ransomware ed Exploit

Si apre con questo articolo una nuova rubrica di recensioni di prodotti che permettono di rilevare e bloccare i ransomware. Vista la maturità di alcuni di questi tool e soprattutto non essendo legati ad alcuno di essi, ci permettiamo di testarli per potervi condividere le nostre valutazioni personali in modo totalmente obbiettivo.

Iniziamo con il tool “InterceptX” di Sophos, che abbiamo potuto provare in versione completa grazie a Tesla Consulting, Sophos Gold Solution Partner, che ci ha fornito license full e accesso al portale di management dell’account mettendoci in condizione di testare per alcuni mesi diverse installazioni, usufruendo anche del servizio di assistenza, come se fossimo utilizzatori aziendali. La durata dei test ci ha permesso non soltanto di entrare nel merito delle funzionalità “anti ransomware” del software di Sophos ma anche di verificare il sistema dal punto di vista dell’usabilità durante le attività quotidiane.

Il tool InterceptX è composto da quattro diversi moduli:

• Rilevamento di minacce ed exploit non basato su firme statiche ma su behavior sospette (comportamento dei differenti processi) – per provare a impedire lo sfruttamento di vulnerabilità (comprese quelle di tipo 0day, ovvero ancora sconosciute e non pubbliche) o bloccare malware fileless solamente in memoria (senza bisogno di eseguire scansione di file);
• Sistema anti-ransomware Sophos CryptoGuard, che identifica e blocca i tentativi di cifratura rilevati sui file riportando eventuali file cifrati prima dell’identificazione del ransomware al loro stato originale;
• Il modulo Sophos Clean ricerca e rimuove le tracce lasciate da spyware e malware persistenti;
• Sistema di analisi dell’infezione che mostra, tramite una guida visiva interattiva, la dinamica dell’attacco dal punto d’ingresso nel sistema informatico al punto in cui l’attacco è stato rilevato.

L’installazione di InterceptX avviene tramite un file di setup generato automaticamente sul Portale Cloud di Sophos, che possiede (“hard-coded”) le credenziali per poter associare rapidamente al proprio account Sophos, il PC su cui viene installato. Una volta terminata l’installazione, il software richiederà, per attività amministrative e di sicurezza, l’inserimento del codice di “Tamper Protection” accessibile solamente dalla console Cloud Sophos di amministrazione.

Sophos InterceptX è stato testato in diversi ambienti come macchine virtuali, PC fisici (di cui è stata creata ovviamente una copia binaria del disco per poter essere in grado di ripristinare il sistema allo stato iniziale prima di ogni infezione) e Workstation in contesti lavorativi reali.

Nel nostro test abbiamo anche voluto dare una certa importanza alle workstation dove è stato analizzato l’impatto del software, a livello di performance, durante l’utilizzo quotidiano per circa due mesi, senza ovviamente testare infezioni perché appunto utilizzate in contesti lavorativi reali.

Sui PC e macchine virtuali “preparate ad-hoc” sono invece state testate decine d’infezioni recenti – che riceviamo quasi quotidianamente sul nostro Blog – con molteplici configurazioni di sistema. Dopo ogni infezione, è stata verificata l’efficacia del rilevamento, blocco o ripristino della situazione di normalità, verificando i feedback inviati via mail, mostrati sull’interfaccia web-cloud o localmente sul sistema di test.

Dal punto di vista dell’usabilità e dell’impatto su utente e sistema, Sophos InterceptX si è comportato bene: sulle workstation più potenti non sono state rilevati conseguenze in termini di rallentamento, su quelle meno recenti si è percepito un leggero calo delle prestazioni generali, dato che il sistema deve monitorare in tempo reale tutto ciò che avviene a livello di disco e di rete. A ogni rilevamento (con un massimo di una ogni 24 ore, per tipo) l’amministratore dell’account Sophos riceve una email di notifica con la lista delle minacce rilevate con in annesso tutte le caratteristiche tecniche. All’interno del portale di amministrazione Cloud Sophos è possibile visualizzare i dettagli e lo storico di tutti i PC connessi, inclusi aggiornamenti e raggiungibilità dei vari sistemi.

Nei primi giorni di utilizzo abbiamo ricevuto notifica di un falso positivo, che si riferiva in realtà ad un file di sistema Windows che era stato rilevato come “ransomware trying to encrypt files” ed era stata posta in essere l’azione di contrasto “We have blocked the ransomware’s file-system access. If the computer is a workstation, we clean up the ransomware automatically“.

In seguito, probabilmente dopo una fase di “taratura automatica” avvenuta sul sistema, non sono più stati rimontati falsi positivi e, in ogni caso, riteniamo sia meglio un falso positivo (cioè un evento rilevato come un ransomware ma poi risultato innocuo) rispetto a un falso negativo (cioè un evento rilevato come innocuo ma poi risultato una vera minaccia).

Su macchine fisiche e virtuali sono stati testati decine di cryptovirus ricevuti tramite segnalazioni dalle vittime: Locky, Torrentlocker, Cerber, Crypt0l0cker, CTB-Locker, ransomware che giungono quotidianamente mascherati da fatture ENEL, bollette Vodafone o TIM, Cartelle di Riscossione Equitalia o phishing di corrieri come SDA. E’ stata testata anche l’infezione tramite la famigerata variante di Mobef Parisher LOKMANN.KEY993, dietro alla quale ci sono bande di criminali che attaccano principalmente, tramite brute force e l’utilizzo di diverse vulnerabilità recenti, server di aziende che utilizzano il protocollo RDP (Remote Desktop sulla porta tcp 3389).

Mentre i ransomware “tradizionali” come Locky, CryptXXX, Teslacrypt, Crypt0l0cker, etc… utilizzano il dark web per gestire il pagamento del riscatto, il pericoloso LOKMANN.KEY993 comunica direttamente con le vittime tramite email e richiede tipicamente dai 5 ai 7 bitcoin (cioè dai 4 ai 6.000 euro) invece del bitcoin richiesto dagli altri.

Con la maggior parte dei ransomware, InterceptX di Sophos si è dimostrato reattivo identificandoli prima che potessero recare seri danni, tramite analisi comportamentale e riconoscimento diretto, inviando all’amministratore notifiche come per esempio “[HIGH] Alert for Sophos Central: We detected ransomware” in caso d’identificazione certa di ransomware o di “[HIGH] Alert for Sophos Central: We detected malicious traffic” quando il sistema ha rilevato comportamenti anomali.

Abbiamo testato persino la variante di Ammyy contenente ransomware Cerber3 distribuita, alcuni mesi fa, tramite hacking del sito web ufficiale della stessa società produttrice che è riuscita a porre rimedio a questa compromissione soltanto dopo che migliaia di vittime sono state infettate.

Anche nel caso dell’infezione contenuta in Ammyy Admin, l’antiransomware di Sophos ha reagito correttamente riuscendo ad identificare il processo “encrypted.exe” che conteneva le funzioni cifranti e bloccandole prima che diventassero letali per i dati.

Durante la maggior parte delle infezioni tramite trojan i file non sono stati toccati, in alcuni casi qualche file è stato criptato prima che il sistema anti-ransomware identificasse la minaccia. Una variante di Locky che aggiunge ai file criptati l’estensione OSIRIS è stata identificata soltanto dopo che il ransomware aveva criptato alcuni file su condivisioni di rete cui il PC di test era in grado di accedere, quindi bloccato e reso inerte prima che cifrasse i file locali, avvertendo l’utente che Sophos aveva attivato le difese (con questo messaggio: “We have blocked the ransomware’s file-system access. If the computer is a Windows workstation, we clean up the ransomware automatically.“). Il ransomware Locky è riuscito a cifrare alcuni file e lasciare la richiesta di riscatto:

Altro ransomware che ha dato del filo da torcere a Sophos InterceptX è stato il criptovirus Hitler (piuttosto raro e in fase di test) con una richiesta di 25 euro di ricarica invece dei vari bitcoin dei suoi competitor e forse per questo meno sotto i riflettori. Il ransomware si è avviato, non è riuscito a cifrare i file ma… li ha cancellati, lasciando poi sul desktop la solita richiesta di riscatto.

Tra i vari ambienti di test, è stato testato sia Windows 10 che Windows 7 PRO SP1 con tutte le patch di sistema sia importanti che facoltative. Sulle macchine di test è stato disattivato Windows Defender ed eventuali altre utility di rilevazione malware e poi installato Sophos InterceptX versione 11.5.2.

Qui sotto potete trovare qualche informazione su una parte del nostro “laboratorio” di analisi:

• A livello perimetrale il PC è stato inserito in una DMZ creata ad-hoc dove a livello firewall, da e verso internet, sono stati attivati tutti i filtri (botnet & malware detection, web filtering, DLP, IPS e application control).
• Creata una cartella sul desktop con centinaia di file di diverso tipo (pdf, docx, xlsx, jpg, txt, ppt e lnk), suddivisi in alcune sottocartelle.
• L’utente collegato a Windows era del gruppo Administrator.

La prima fase del test è stata effettuata accedendo, tramite posta elettronica, alle diverse comunicazioni “emesse da” più emittenti (DHL, Equitalia, ENEL…) ricevute nell’arco dell’ultimo mese con all’interno le motivazioni più disparate (avvisi di pagamento e riscossione Equitalia, finte fatture, finte note di credito per acquisti effettuati su internet, avvisi di messaggi vocali recapitati in una segreteria virtuale). I vettori d’infezione erano i classici, con diversi link a siti web (HTTP e anche HTTPS) altri con direttamente un allegato JavaScript (file .js con doppia estensione), altri con allegato pdf o ZIP contenente un js.
Sophos in genere è intervenuto con una finestra pop-up indicando che una minaccia era stata intercettata (mostrandone le caratteristiche quando disponibili).

Talvolta viene identificato soltanto il comportamento malevolo e viene indicato il rilevamento, in tempo reale, sulla barra di Windows per informare l’utente di quanto accaduto.

In un caso particolare, con un file di tipo .js inviato da una mail che si fingeva Equitalia, il sistema si è completamente bloccato: mouse e tastiera rispondevano ai comandi ma non era possibile interagire con Windows aprendo o chiudendo finestre o il task manager. Al riavvio del sistema nessuno dei file della cartella “Documenti” era stato toccato in alcun modo ma nell’interfaccia di InterceptX non veniva indicata nessuna attività malevola.

Anche la fase di test condotta utilizzando diversi malware scaricati da siti web con data di pubblicazione recente si è conclusa positivamente: Sophos InterceptX si è comportato egregiamente andando a bloccare le attività sospette. La cartella Documenti alla fine di questa fase risultava ancora intatta nel suo stato originale.

Sono stati testati anche alcuni ransomare così recenti da non essere ancora identificati dagli antivirus/antispyware: la procedura è stata effettuata nell’arco di massimo un’ora di ricezione dalla mail stessa e le mail erano effettivamente dei Ransomware, riconosciuti solo da pochissimi antivirus. InterceptX ha rilevato correttamente dopo un breve periodo di elaborazione (circa 15 secondi) che si trattava di ransomware: in un caso bloccando la minaccia sul nascere, nell’altro caso andando a terminare l’attività dello stesso dopo aver aver dato la possibilità di cifrare e rinominare solo un paio di documenti e creato all’interno della cartella stessa i classici file con la procedura di pagamento.

Tra i tester c’è chi ha segnalato come già Windows Defender risulta essere reattivo ai ransomware noti, agendo prima di Sophos in caso di tentativo d’infezione, mentre Sophos si è comportato bene con i malware non noti, che utilizzano vulnerabilità recenti o file modificati tramite polimorfismo per bypassare gli antivirus.

In conclusione, lo stress test di Sophos InterceptX non avrà certamente coperto tutte le casistiche (è mancata ad esempio il test di exploit kit come Angler, Magnitude, Neutrino o RIG) ma nel complesso, a parte alcuni casi, le minacce sono state identificate e rese innocue. Non esiste la soluzione perfetta per i ransomware, certamente InterceptX sembra promettente in quando si adatta, si aggiorna e tramite i vari motori è in grado di rilevare minacce non ancora note a scapito di un rallentamento che certamente su sistemi obsoleti potrebbe essere fastidioso ma su computer più recenti risulta veramente poco significativo.

Visto il disastro che i ransomware lasciano al loro passaggio, soprattutto in aziende, enti pubblici, organizzazioni o Studi Professionali, riteniamo che il rischio di qualche mancata detection o un leggero rallentamento del sistema possano valere la “tranquillità” di poter sopportare buona parte degli attacchi in circolazione oggi e si spera anche di un futuro prossimo.

Ringraziamo Moreno Piotti, Giovanni Rattaro, Simone Tomiozzo e Marco Partolino per la disponibilità e il loro prezioso supporto, Sophos e Tesla Consulting per la possibilità di testare in contemporanea e su piattaforme diverse licenze full del sistema. Invitiamo, tra l’altro, chi fosse interessato ad approfondire a contattare direttamente la società Tesla Consulting all’indirizzo [email protected] o ai contatti presenti sul sito.