L'ANALISI TECNICA

Nodersok, il malware fileless che trasforma il PC in uno zombie proxy per autodiffondersi: come difendersi

Si chiama Nodersok il malware fileless scoperto dai ricercatori Microsoft e Cisco Talos che sfugge ai controlli degli antivirus e riesce a trasformare il PC in uno zombie proxy per diffondere il codice malevolo e diffondere l’infezione in maniera “silenziosa”. Ecco che c’è da sapere e come difendersi

30 Set 2019

Nodersok è un nuovo malware fileless che infetta le macchine target senza memorizzare alcun file nell’hard disk e quindi capace di completare la sua azione malevola passando inosservato ai software antivirus.

Identificato per la prima volta a metà luglio di quest’anno dai ricercatori Microsoft (e da quelli di Cisco Talos, che però lo hanno rinominato in Divergent), Nodersok avrebbe già infettato diverse migliaia di computer in tutto il mondo e in particolar modo negli Stati Uniti e in Europa, attaccando soprattutto nei settori sanità, finanza, trasporti, aerospaziale e istruzione.

Il numero delle vittime, però, è puramente indicativo perché altrettanti utenti potrebbero essere stati infettati senza accorgersene.

Il malware Nodersok (o Divergent che dir si voglia) viene distribuito principalmente tramite pubblicità online dannose ed è quindi in grado di infettare le macchine delle sue vittime utilizzando un attacco di tipo drive-by download.

I dettagli tecnici di Nodersok

Nodersok implementa alcune tecniche avanzate di tipo “live off the land binaries” (LOLBin) che gli consentono di sfruttare “ciò che offre la natura”, cioè il sistema operativo stesso, le utilità di sistema e altri strumenti di terze parti per estendere le sue funzionalità per compromettere i computer senza utilizzare altro codice dannoso e per confondere le sue attività malevoli con le normali attività di rete e di amministrazione del sistema.

In questo modo Nodersok riesce a trasformare i computer Windows in zombie proxy che possono poi essere utilizzati dai criminal hacker per nascondere il traffico dannoso e consentire alla macchina infetta di accedere direttamente ai server C&C per eseguire attività dannose e propagare “in silenzio” il codice malevolo.

Dall’analisi parallela dei ricercatori di Cisco Talos risulta, inoltre, che gli zombie proxy sono stati utilizzati anche per condurre frodi online di tipo click fraud: in pratica, il computer infetto riesce a collegarsi a siti web creati ad hoc e a generare un elevato numero di clic del mouse su banner pubblicitari, inserzioni o link affiliati, consentendo quindi ai criminal hacker di ottenere interessanti guadagni economici.

Come avviene l’infezione di Nodersok

La catena infettiva di Nodersok inizia subito dopo che l’utente clicca su un annuncio malevolo. Questa operazione, infatti, non fa altro che avviare il download e l’esecuzione di file di applicazioni HTML (HTA) sui computer degli utenti. Successivamente vengono scaricati anche una serie di payload JavaScript e script PowerShell che scaricano e installano il codice malevolo vero e proprio del malware Nodersok.

Dall’analisi tecnica dei ricercatori Microsoft si evince che tutte le funzionalità di Nodersok vengono gestite mediante questi script e shellcode cifrati che, una volta scaricati sul computer della vittima, vengono decriptati ed eseguiti esclusivamente nella memoria RAM, in modo da non lasciare tracce sull’hard disk facilmente identificabili dai software antivirus.

WHITEPAPER
Wi-Fi o 5G per le imprese? Una guida spiega cosa (e come) scegliere
Personal Computing
Telco

In particolare, il codice JavaScript si collega a servizi cloud e domini legittimi per scaricare ed eseguire script e componenti aggiuntivi cifrati, tra cui:

  • script PowerShell che tentano di disabilitare l’aggiornamento di Windows Defender e Windows;
  • shellcode binari che vengono sfruttati per tentare di ottenere privilegi elevati per l’esecuzione del codice malevolo;
  • il file Node.exe, un’implementazione Windows del popolare framework Node.js. Sfruttandone la firma digitale valida, riesce ad eseguire codice JavaScript dannoso operando nel contesto di un processo affidabile;
  • l’utility WinDivert (Windows Packet Divert) utilizzata di solito per catturare e manipolare pacchetti di rete, ma che il malware sfrutta per filtrare e modificare i pacchetti in uscita dalla macchina infetta.

Completata questa fase, viene scaricato il payload scritto in JavaScript finale per il framework Node.js che trasforma il sistema compromesso in un proxy.

I consigli per difendersi

Come abbiamo visto, il malware Nodersok non lascia alcuna traccia sull’hard disk dei computer infetti se non fosse per il file HTA iniziale, il payload in JavaScript e un gruppo di altri file criptati. Per questo motivo i tradizionali antivirus basati su firme virali risultano inadeguati per contrastare minacce sofisticate come questa.

Tuttavia, i ricercatori Microsoft affermano che proprio questo particolare comportamento del malware produce un’impronta visibile che si distingue chiaramente per chiunque sappia dove cercare.

In generale, però, è davvero difficile difendersi dai malware fileless in quanto queste minacce vengono declinate in numerose varianti ed è quindi difficile trovare una soluzione sempre valida.

Le linee guida generali sono comunque quelli di mantenere i propri sistemi sempre aggiornati, specialmente con l’installazione di patch di sicurezza. Questi aggiornamenti sono in grado di eliminare o limitare la superficie di attacco per un malintenzionato che, ricordiamo, utilizza il metodo “live off the land”. Meno software vulnerabile c’è sul computer, minori sono i rischi che si corrono.

Prestiamo, inoltre, sempre la massima attenzione quando clicchiamo su banner e inserzioni pubblicitarie, anche se sono presenti su siti legittimi.

Infine, per difenderci da minacce come Nodersok possiamo impostare la modalità Constrained Language di PowerShell (purtroppo non è possibile procedere a disabilitare completamente PowerShell). In questo modo PowerShell sarà ancora in grado di supportare i task amministrativi quotidiani ma avrà accesso ristretto a quegli elementi sensibili che potrebbero essere utilizzati per invocare API di Windows.

@RIPRODUZIONE RISERVATA