Bonifica APT

Le postazioni di lavoro degli utenti sono uno dei target di malware sempre più evoluti, perché meno presidiate dagli amministratori di sistema e perché possono contenere dati critici o sensibili. Inoltre per un malintenzionato, o un’organizzazione criminale, ottenere accesso da remoto ad un client consente di disporre una “testa di ponte” all’interno della rete aziendale.

Nell’ottica di individuare host aziendali compromessi, CryptoNet offre un servizio di bonifica da malware/APT, articolato in due distinte fasi.

 

1. Intelligence: attraverso l’interrogazione di una base dati, opportunamente creata e aggiornata, che registra eventi riconducibili a infezioni malware tuttora in essere o avvenute nel recente passato.

Il popolamento di questa base dati è possibile grazie a:

  • meccanismi di reverse engineering dei malware evoluti più diffusi;
  • analisi dei protocolli di comunicazione tra bot e Command & Control center;
  • monitoraggio dei DNS pubblici, elemento critico per la persistenza delle botnet, tramite tecniche di DNS sinkholing o simili.

Le interrogazioni effettuate forniranno risultati specifici per individuare le macchine colpite, tra cui l’hostname, indirizzo IP e account degli utenti che utilizzano eventuali servizi esposti (es: portali, VPN IPSec o SSL, webmail, web application, ecc.)·

L’erogazione del servizio non prevede installazione di hardware o software nell’infrastruttura del cliente, cui sono richieste le seguenti informazioni:

  • indirizzi IP pubblici;
  • domini assegnati.

 

 2. Monitoring del traffico Internet: per completare l’efficacia del servizio offerto da CryptoNet e sulla base dei risultatiti ottenuti dalla fase precedente, è possibile monitorare il traffico da e verso Internet tramite un’apparato dedicato, inserito nella rete del cliente in modalità sniffing per un limitato periodo di tempo. Questo dispositivo opera su due fronti distinti:·

  • individuazione dell’attività di callback originata dai bot verso i Command & Control center, fondamentale per capire se vi siano infezioni in atto;
  • analisi “on-the-fly” di eseguibili presenti all’interno del flusso dati, utilizzando tecniche di virtualizzazione, utile per rilevere nuove minacce che possono verificarsi nel periodo di osservazione.

I risultati ottenuti sono revisionati dal personale di CryptoNet e costituiscono la base per fornire indicazioni sulla rimozione del malware da parte del cliente.