Nel 2024, il panorama delle minacce informatiche continua a evolversi, e gli attacchi malware sono diventati più sofisticati. Tra le tecniche più comuni utilizzate dai cybercriminali troviamo la disabilitazione dei registri degli eventi di Windows. Questa tecnica permette agli attaccanti di agire senza lasciare tracce, rendendo difficile per gli analisti di sicurezza identificare attività sospette. Ad esempio, XWorm, un trojan di accesso remoto, sfrutta questa vulnerabilità per nascondere le sue attività dannose. La manipolazione dei registri di sistema è spesso utilizzata per disabilitare i log di accesso remoto, impedendo così al sistema di registrare tentativi di accesso non autorizzati.

Uso di PowerShell

Un'altra tecnica rilevante è l'uso di PowerShell, un linguaggio di scripting potente incorporato in Windows. Gli attaccanti lo sfruttano per eseguire comandi non rilevati dai sistemi di sicurezza. BlanGrabber, un malware noto per rubare dati sensibili, utilizza PowerShell per modificare le impostazioni di sistema e disabilitare le protezioni di sicurezza, come il sistema di prevenzione delle intrusioni e i servizi di monitoraggio in tempo reale.

Abuso della shell dei comandi

L'abuso della shell dei comandi di Windows, cmd.exe, è un'altra tecnica comune. Gli attaccanti utilizzano questo strumento per eseguire comandi malevoli che si mimetizzano tra le normali operazioni di sistema. Lumma, un malware che ruba informazioni, sfrutta questo metodo per eseguire payload dannosi e nascondere le sue attività illecite.

Modifica delle chiavi di esecuzione

La modifica delle chiavi di esecuzione nel registro di Windows è un altro metodo usato per garantire la persistenza del malware. Aggiungendo voci specifiche nel registro, i malware possono avviarsi automaticamente ad ogni accensione del sistema, come nel caso di Remcos, che modifica chiavi nel registro per garantirsi l'esecuzione all'avvio del sistema.

Tecniche di evasione basate sul tempo

Infine, le tecniche di evasione basate sul tempo sono utilizzate per evitare il rilevamento da parte delle sandbox di sicurezza. Questi ritardi nell'esecuzione permettono al malware di passare inosservato durante le fasi di analisi iniziali. DCRAT, per esempio, utilizza ritardi temporali per sincronizzare l'esecuzione di componenti malware, rendendo più difficile per gli strumenti di analisi comportamentale correlare le attività dannose.

La comprensione di queste tecniche è fondamentale per sviluppare strategie di difesa efficaci. Strumenti come ANY.RUN offrono sandbox interattive che permettono di analizzare in sicurezza le minacce malware, fornendo dettagli preziosi su come queste tecniche vengono applicate nel mondo reale.