Informazioni strutturate su attacchi mirati: report di Dr.Web vxCube sono uniti con matrice MITRE ATT&CK.
Tutte le notizie | Notizie sui prodotti Dr.Web | Notizie sugli aggiornamenti
Questo aggiornamento fornisce agli specialisti la possibilità di non solo visualizzare un report tecnico sulle azioni di un oggetto potenzialmente malevolo, ma anche di registrare una catena di azioni: in che modo l'oggetto è entrato nel sistema e lo ha infettato. Sulla base di tali informazioni si potrà capire in quali punti è necessario rafforzare la protezione e modificare le politiche di sicurezza. Inoltre, basandosi sulle tattiche e tecniche rilevate, è possibile creare regole speciali per aggiungerle ai sistemi SOC e SIEM.
Per una maggiore chiarezza, esaminiamo uno dei report ottenuti in seguito all'analisi di un noto ransomware di criptazione nella nuova versione di Dr.Web vxCube:
Tattica: Initial Access ("accesso iniziale")
Tecnica: Replication Through Removable Media ("diffusione tramite supporti rimovibili")
La fonte dell'infezione è stato un supporto rimovibile su cui il malintenzionato ha caricato il programma malevolo. Probabilmente un dipendente ha utilizzato una chiavetta USB personale infetta.Tattica: Execution ("esecuzione")
Tecnica: Windows Management Instrumentation (WMI)
Non appena la chiavetta è inserita nel computer, si attiva il meccanismo di esecuzione automatica (per esempio, tramite autorun.inf). Il ransomware di criptazione utilizza lo strumento di sistema WMI per eseguire il suo payload principale. Ciò gli consente di evitare gli antivirus semplici, come WMI, strumento di amministrazione legittimo.Tattiche: Persistence & Privilege Escalation ("persistenza ed aumento dei privilegi")
Tecnica: Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder
Per "sopravvivere" al riavvio del computer e ottenere il controllo alla successiva entrata nel sistema dell'utente, il ransomware di criptazione si trascrive nell'avvio automatico. Crea una voce nel registro o copia se stesso nella cartella "Avvio automatico". Spesso questo passaggio gli consente anche di elevare i privilegi al livello dell'utente corrente.Tattica: Defense Evasion ("evasione della protezione")
Tecnica: Indicator Removal: File Deletion ("rimozione degli indicatori: rimozione dei file")
Dopo che il ransomware di criptazione ha ottenuto la persistenza nel sistema, inizia a nascondere le proprie tracce. Rimuove il proprio file eseguibile originale dalla chiavetta o dalla cartella temporanea per ostacolare il rilevamento e l'analisi da parte degli esperti antivirus.Tattica: Lateral Movement ("spostamento sulla rete")
Tecnica: Replication Through Removable Media ("diffusione tramite supporti rimovibili")
Il programma malevolo non interrompe la propria attività su un singolo computer. Monitora il collegamento di nuove unità USB e le infetta. Ora, quando il dipendente prende la sua chiavetta di lavoro e la inserisce in un altro computer, l'attacco si ripeterà. Così il virus "salta" gli spazi vuoti di aria (air-gaps) all'interno della rete.Tattica: Impact ("impatto")
Tecniche: Inhibit System Recovery e Data Encrypted for Impact
IInhibit System Recovery: il ransomware di criptazione cerca di distruggere o criptare le copie shadow Volume Shadow Copy Service (VSS) in modo che la vittima non possa ripristinare i file tramite gli strumenti standard di Windows.
fotografie, database) tramite un robusto algoritmo. Dopo questo, sullo schermo compare un messaggio che richiede un riscatto per la chiave di decriptazione.
Sulla base di tali informazioni, lo specialista di cybersecurity può adottare le seguenti misure per prevenire le infezioni dai simili programmi malevoli:
- Stringere le politiche di uso dei dispositivi USB (divieto dell'esecuzione automatica, utilizzo solo di unità flash aziendali con crittografia).
- Configurare i sistemi di monitoraggio per rilevare i record sospetti in Registry Run Keys e l'utilizzo di WMI per l'esecuzione di script malevoli.
- Implementare la segmentazione della rete per limitare la diffusione della minaccia.
- Assicurare un regolare e protetto backup dei dati per garantirne la possibilità di ripristino.
L'innovazione è disponibile sia nella versione cloud che in quella locale (on-premise) di Dr.Web vxCube, si applica alle analisi negli ambienti SO Windows e Linux ed è disponibile solo in inglese. Gli sviluppatori Doctor Web intendono aggiungere l'analisi nell'ambiente SO Android.
Oltre a ciò, è stata aggiornata la documentazione della sandbox. In relazione al rilascio della nuova versione, la versione cloud di Dr.Web vxCube non sarà disponibile il 23 ottobre nel periodo dalle 12:00 alle 13:00 ora italiana. Per aggiornare la versione locale, sarà necessario scaricare le nuove versioni del pacchetto Dr.Web vxCube e delle immagini di macchine virtuali, nonché reinstallare il software secondo la documentazione. Per scaricare la versione aggiornata, utilizzate il Download guidato.
Dr.Web vxCube è uno strumento per analizzare oggetti sospetti in un ambiente virtuale isolato. Consente di individuare gli indicatori di compromissione e prevenire attacchi, inclusi quelli mirati (APT). La sandbox è disponibile in due varianti: cloud e locale (on-premise).
Per ottenere l'accesso demo alla versione cloud di Dr.Web vxCube, utilizzate l'apposito modulo web.
La soluzione può essere acquistata dai partner di Doctor Web.
Questo aggiornamento contiene la knowledge base da MITRE ATT&CK®. L'uso di questa knowledge base è effettuato sulla base della licenza concessa da The MITRE Corporation.
© 2025 The MITRE Corporation. This work is reproduced and distributed with the permission of The MITRE Corporation.
I termini e le condizioni di uso di MITRE ATT&CK® sono situati sulla pagina: https://attack.mitre.org/resources/legal-and-branding/terms-of-use/.