Check Point SandBlast: controlli più sofisticati per il malware zero-day

SicurezzaVirus

La tecnologia SandBlast mira a scoprire i malware prima dell’infezione vera e propria: quando stanno ancora cercando di “conquistare” la CPU del computer bersaglio

I malware si fanno sempre più efficaci e arrivano sui computer degli utenti-bersaglio attraverso canali di attacco che non è sempre facile proteggere efficacemente con i sistemi tradizionali. Così Check Point Software ha messo a frutto le competenze assorbite con l’acquisizione dell’israeliana Hyperwise e ha sviluppato una nuova tecnologia di prevenzione che ha battezzato Check Point SandBlast. La tecnologia è disponibile sia come servizio in cloud sia sotto forma di appliance da installare nella propria rete.

Nella parte di Threat Extraction si può decidere quali controlli attivare in ase al tipo di documento
Nella parte di Threat Extraction si decide che controlli attivare in ase al tipo di documento

Il principo alla base di SandBlast è in primo luogo quello di andare oltre il sandboxing, ossia oltre il metodo oggi più diffuso per bloccare le minacce zero-day, che al momento dell’attacco non si possono ancora scoprire attraverso l’analisi del codice per identificare una loro “firma”. Il sandboxing si basa sull’esecuzione del potenziale malware in un ambiente protetto, ad esempio una macchina virtuale, per vedere come effettivamente si comporta.

Ma i criminali informatici hanno inventato vari modi per ingannare questo tipo di analisi, ad esempio semplicemente ritardando l’esecuzione del codice davvero “ostile” per passare i primi controlli. Oppure rilevando se il malware viene eseguito da una macchina virtuale, dove non farà nulla di sospetto, o da un vero computer, caso in cui si scatenerà.

Check Point SandBlast cerca di prevenire queste contromisure dei criminali informatici intervenendo in una fase precedente: non quando il malware sta cominciando a operare appieno ma quando sta ancora cercando di “ingannare” la CPU del computer che vuole infettare per farle eseguire codice arbitrario. Check Point non dà molti dettagli su come opera la sua tecnologia ma mette in evidenza che uno dei punti di forza è l’identificazione del cosiddetto Return Oriented Programming, una tecnica popolare tra gli hacker ostili che – in estrema sintesi e semplificando molto – non cerca di passare alla CPU codice proprio ma combina opportunamente (dal punto di vista dell’hacker) funzioni già presenti nella memoria del computer e quindi considerate lecite ai fini della rilevazione di malware.

La TE1000X, una delle appliance che possono eseguire i controlli di SandBlast
La TE1000X, una delle appliance che possono eseguire i controlli di SandBlast

Check Point SandBlast ovviamente non sostituisce il sandboxing ma lo affianca, quindi mantiene comunque disponibili funzioni più tradizionali come l’esame del contenuto in vari tipi di file, dai documenti office ai file compressi passando per gli eseguibili. SandBlast offre anche una funzione denominata Threat Extraction: se identifica in transito un file di dati, ad esempio un documento, che è stato infettato da un malware, è in grado di riportarlo alla sua condizione “sana” per poi passarlo al destinatario originario. Più in dettaglio, questi può ricevere l’originale ripristinato o, per maggior prudenza, una copia “pulita”  convertita in un documento PDF. Il controllo e la riparazione richiedono un certo tempo ma dal punto di vista dell’utente, spiega Check Point, “non viene introdotto un ritardo significativo“.

Read also :
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore