Indice dei contenuti
  • Cos’è un malware?

Malware | Cos’è il malware e come proteggersi dai relativi attacchi

Indice dei contenuti
  • Cos’è un malware?
  • 1. Cos’è un malware?

Cos’è un malware?

Un malware è un software progettato per interferire con il normale funzionamento di un computer. Questo termine generico include virus, trojan e altri programmi per computer distruttivi usati dagli autori di minacce per infettare sistemi e reti e ottenere accesso a informazioni sensibili.

Definizione di malware

Il malware (abbreviazione di “malicious software”, ovvero “software dannoso”) è un file o un codice, tipicamente distribuito attraverso una rete, che infetta, esplora, ruba o esegue praticamente qualsiasi comportamento desideri un autore di attacchi. E dato che ce ne sono così tante varianti, ci sono molti metodi di infettare un sistema informatico. Anche se tipo e funzionalità dei malware possono variare, in genere hanno uno dei seguenti obiettivi:

  • Fornire il controllo remoto a un aggressore per usare una macchina infetta.
  • Inviare spam a obiettivi ignari da una macchina infetta.
  • Indagare sulla rete locale dell’utente infettato.
  • Rubare dati sensibili.

 

Il malware è un file o un pezzo di codice dannoso, tipicamente distribuito attraverso una rete, che infetta, esplora, ruba o esegue praticamente qualsiasi comportamento desideri un autore di attacchi.

Tipi di malware:

Il termine malware comprende tutti i tipi di software dannosi. Esempi di malware, definizioni dei loro attacchi e metodi per diffonderli includono:

Adware: anche se alcune forme di adware potrebbero essere considerate legittime, altre fanno accessi non autorizzati ai sistemi informatici e creano notevoli danni agli utenti.

Botnet: è l’abbreviazione di “robot network” e si tratta di reti di computer infetti sotto il controllo di singoli gruppi di attacco che usano server command-and-control. I botnet sono molto versatili e adattabili e riescono a mantenere la resilienza attraverso server ridondanti e utilizzando computer infetti per ritrasmettere il traffico. Spesso i botnet sono l'esercito che si nasconde dietro gli attacchi distributed denial of service (denial-of-service distribuito, DDoS) di oggi.

Cryptojacking: è la versione dannosa del cryptomining, ovvero il processo di usare la potenza di calcolo per verificare le transazioni di una rete blockchain in cambio di criptovalute. Si verifica quando i criminali informatici attaccano computer, laptop e dispositivi mobili aziendali e privati per installare software.

Malvertising: questo termine è la fusione di “malware” e “advertising” e descrive la pratica della pubblicità online per diffondere malware. Generalmente implica l’iniezione di codice dannoso o pubblicità cariche di malware in reti e pagine Web di pubblicità online legittime.

Malware polimorfo: qualsiasi dei suddetti tipi di malware con la capacità di mutare regolarmente, cambiando l'aspetto del codice mantenendo l’algoritmo al suo interno. L’alterazione dell'aspetto superficiale del software sovverte il rilevamento attraverso le firme dei virus tradizionali.

 

Scarica la Guida XDR For Dummies

 

Ransomware: è un modello di business criminale che usa un software dannoso per chiedere un riscatto in cambio di file, dati o informazioni preziosi. Le vittime di un attacco ransomware possono essere gravemente danneggiate o subire un arresto completo delle attività.

Strumenti di amministrazione remota (RAT): software che consente a un operatore remoto di controllare un sistema. Inizialmente questi strumenti sono stati costruiti per un uso legittimo, ma ora sono usati da autori di minacce. I RAT consentono il controllo amministrativo, permettendo a un aggressore di fare quasi qualsiasi cosa a un computer infetto. Sono difficili da rilevare, perché in genere non compaiono in elenchi di programmi o attività in esecuzione, e le loro azioni sono spesso confuse con quelle di programmi legittimi.

Rootkit: programmi che forniscono accesso privilegiato (livello principale) a un computer. I rootkit possono variare e si nascondono nel sistema operativo.

Spyware: malware che raccoglie informazioni sull’utilizzo del computer infetto e le comunica all'aggressore. Questo termine include botnet, adware, comportamenti backdoor, keylogger, furto di dati e worm di rete.

Malware trojan: malware camuffati come un software legittimo. Una volta attivati, i malware trojan eseguiranno qualsiasi azione per cui sono stati programmati. A differenza di virus e worm, i trojan non si replicano o riproducono tramite infezione. “Trojan” fa riferimento alla storia mitologica dei soldati greci nascosti dentro un cavallo di legno regalato alla città nemica di Troia.

Malware virus: programmi che si auto-copiano attraverso un computer o una rete. I malware virus si agganciano a programmi esistenti e possono essere attivati solo quando un utente apre il programma. Nei casi peggiori, i virus possono corrompere o eliminare i dati, usare l’e-mail dell’utente per diffondersi o cancellare tutti i contenuti di un hard disk.

Malware worm: virus che si replicano in autonomia e sfruttano le vulnerabilità di sicurezza per diffondersi automaticamente tra computer e reti. A differenza di molti virus, i malware worm non si legano a programmi esistenti e non alterano file. Generalmente passano inosservati finché la riproduzione raggiunge un livello tale da consumare risorse di sistema o larghezza di banda di rete significative.

Tipi di attacchi malware

I malware usano anche una varietà di metodi per diffondersi ad altri sistemi oltre al vettore di attacco iniziale. Le definizioni di attacco malware possono includere:

  • Allegati alle e-mail che contengono codice dannoso possono essere aperti, e quindi eseguiti, da utenti ignari. Se queste e-mail vengono inoltrate, il malware può diffondersi ancor più in profondità in un’organizzazione, compromettendo ulteriormente una rete.
  • I file server, come quelli basati su file system comuni su Internet (SMB/CIFS) e Network File System (NFS), possono consentire ai malware di diffondersi rapidamente quando gli utenti accedono ai file infetti e li scaricano.
  • I software di condivisione dei file possono consentire ai malware di replicarsi su supporti rimovibili e poi su sistemi informatici e reti.
  • La condivisione di file peer-to-peer (P2P) può diffondere i malware condividendo file apparentemente innocui come musica o immagini.
  • Le vulnerabilità sfruttabili da remoto possono consentire a un hacker di accedere a un sistema indipendentemente dalla posizione, con necessità minime o nulle di coinvolgimento dell’utente di un computer.

Scopri come usare le funzioni di threat prevention di nuova generazione di Palo Alto Networks e il servizio di analisi delle minacce basata su cloud di WildFire® per proteggere la tua rete da tutti i tipi di malware, sia noti che sconosciuti.

Come prevenire i malware:

Per rilevare e prevenire i malware viene usata una varietà di soluzioni di sicurezza, che includono firewall, firewall di nuova generazione, sistemi di prevenzione delle intrusioni (IPS) di rete, funzionalità di analisi approfondita dei pacchetti (DPI), sistemi di gestione delle minacce unificati, gateway antivirus e anti-spam, virtual private network (rete privata virtuale, VPN), filtraggio dei contenuti e sistemi di prevenzione delle fughe di dati. Per prevenire un malware, tutte le soluzioni di sicurezza dovrebbero essere testate usando un’ampia gamma di attacchi basati su malware per garantire che funzionino correttamente. Occorre usare una raccolta robusta e aggiornata di firme malware per assicurare che i test siano completati anche rispetto agli attacchi più recenti.

L’agente Cortex XDR unisce diversi metodi di prevenzione in fasi cruciali durante il ciclo di vita dell'attacco per interrompere l'esecuzione di programmi dannosi e bloccare lo sfruttamento di applicazioni legittime, indipendentemente dal sistema operativo, dallo stato online o offline dell'endpoint e dal fatto che sia connesso alla rete di un’organizzazione o in roaming. Dato che l'agente Cortex XDR non dipende dalle firme, può prevenire i malware zero-day e gli exploit sconosciuti attraverso una combinazione di metodi di prevenzione.

Rilevamento dei malware:

Esistono strumenti avanzati di rilevamento e analisi dei malware come firewall, sistemi di prevenzione delle intrusioni (IPS) e soluzioni di sandboxing. Alcuni tipi di malware sono più facili da rilevare, come i ransomware, che si palesano immediatamente crittografando i file. Altri malware, come gli spyware, possono restare silenti in un sistema preso di mira per consentire a un aggressore di mantenere l'accesso al sistema. Indipendentemente dal tipo o dal significato del malware, dalla sua rilevabilità o dalla persona che lo distribuisce, l’intento dietro l’uso di un malware è sempre dannoso.

Quando consenti la protezione dalle minacce comportamentali nella tua policy di sicurezza degli endpoint, l'agente Cortex XDR può monitorare continuamente l’attività degli endpoint in cerca di serie di eventi dannosi identificati da Palo Alto Networks.

Rimozione dei malware:

Un software antivirus può rimuovere la maggior parte dei tipi di infezioni standard, ed esistono molte opzioni non disponibili sul mercato. Cortex XDR consente la correzione dell'endpoint in seguito a un avviso o indagine, dando agli amministratori la possibilità di iniziare una varietà di passaggi di mitigazione. Il primo è l’isolamento, disattivando tutti gli accessi di rete degli endpoint compromessi a eccezione del traffico verso la console Cortex XDR, terminando i processi per impedire a qualsiasi malware in esecuzione di continuare a eseguire attività dannose sull’endpoint e bloccando ulteriori esecuzioni. Infine si mettono in quarantena i file dannosi e li si rimuove dalle directory di lavoro, se l'agente Cortex XDR non l’ha già fatto.

Protezione dai malware:

Per proteggere la tua organizzazione dai malware, hai bisogno di una strategia di protezione olistica per l’intera azienda. Le minacce commodity sono exploit meno sofisticati e più facili da rilevare e prevenire usando una combinazione di antivirus, antispyware e funzioni di protezione da vulnerabilità insieme al filtraggio degli URL e a funzionalità di identificazione delle applicazioni sul firewall.

Per maggiori informazioni sui malware, sulle loro varianti e su come proteggere la tua organizzazione, scarica una delle nostre risorse: