Sophos decodifica il DNA del malware senza file e introduce una nuova tecnologia di protezione. Dynamic Shellcode Protection rileva il malware in esecuzione nella memoria temporanea, come ransomware o agenti di accesso remoto, bloccando una popolare tecnica di hacking per aggirare i programmi di protezione.
Sophos presenta la sua nuova protezione contro gli attacchi informatici, in cui il malware si carica senza file nella memoria temporanea del computer interessato. Dynamic Shellcode Protection è integrato in Sophos Intercept X e può impedire al codice di attacco di annidarsi nella regione dell'heap dinamico della memoria.
Memoria: popolare nascondiglio per malware
L'area di memoria di un computer violato è un nascondiglio popolare per il malware perché le scansioni di sicurezza in genere non coprono la memoria. Di conseguenza, è meno probabile che il malware venga rilevato e bloccato. I tipi di malware che tentano di attivarsi in questo modo includono ransomware e agenti di accesso remoto. Questi ultimi spesso costituiscono la base per un attacco imminente, prima vengono scoperti e bloccati, meglio è. Con Dynamic Shellcode Protection, i ricercatori Sophos hanno ora trovato un modo per difendersi da questo malware privo di file in base al suo comportamento. Il nocciolo della questione è la scoperta che questi particolari codici di attacco mostrano un comportamento comune nella memoria, indipendentemente dal tipo specifico di codice o dal suo scopo. Nel post sul blog "Covert Code Faces a Heap of Trouble in Memory", i ricercatori di Sophos descrivono in dettaglio la loro scoperta.
Come funziona Sophos Dynamic Shellcode Protection
Il codice delle applicazioni con privilegi di esecuzione viene solitamente caricato in memoria. Inoltre, le app di solito richiedono uno spazio di lavoro in memoria aggiuntivo e temporaneo, ad esempio per decomprimere o archiviare i dati. Questo spazio di lavoro variabile è chiamato memoria "heap". Nella maggior parte degli attacchi informatici, il caricatore per un agente di accesso remoto viene inserito direttamente nell'heap. Ciò deve estrarre più memoria eseguibile dall'heap per soddisfare le esigenze dell'agente di accesso remoto. Questo è indicato come comportamento di allocazione della memoria "heap-heap". Gli specialisti della sicurezza di Sophos hanno identificato tale comportamento come un chiaro indicatore di attività potenzialmente sospette e hanno sviluppato Dynamic Shellcode Protection, una protezione che blocca i permessi di esecuzione da una memoria heap a un'altra.
Il malware in memoria spesso non viene rilevato
“Il codice dannoso cerca sempre di eludere il rilevamento, ad esempio nascondendosi e impacchettandolo direttamente nella memoria. Tale codice spesso non viene riconosciuto dagli strumenti di sicurezza, anche se estratto. I ricercatori forensi e di sicurezza di Sophos hanno riconosciuto che le allocazioni di memoria heap-to-heap sono un'azione molto tipica degli agenti di accesso remoto multistadio e di altri codici di attacco", ha affermato Mark Loman, direttore dell'ingegneria di Sophos. “L'obiettivo principale è impedire agli aggressori di compromettere singoli computer o un'intera rete. Ecco perché il malware deve essere rilevato molto presto per impedire, ad esempio, l'accesso alle credenziali, l'escalation dei diritti, i movimenti laterali nella rete o la raccolta, la condivisione e il sifonamento delle informazioni. Con Dynamic Shellcode Protection, ora siamo in grado di soddisfare proprio questi requisiti in modo ancora più efficace.”
Ulteriori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.