Microsoft Security Intelligence Report Volume 20

Il 5 maggio 2016 è stato pubblicato il Microsoft Security Intelligence Report (SIR) Volume 20 come annunciato nel post Microsoft Security Intelligence Report Volume 20 is now available sul Cyber Trust Blog.

Il SIR è disponibile al seguente link http://www.microsoft.com/sir e include i dati relativi alle minacce informatiche della seconda metà del 2015, ma anche dati statistici relativi a vulnerabilità, exploits, malware e siti malevoli raccolti su più di 100 countries/regions.

Inoltre il SIR 20 include l’analisi del team di hacker denominato “Platinum” attivo fin dal 2009 i cui principali obbiettivi sono enti di tipo governativo del Sud e Sud Est Asiatico. Platinum è solito sfruttare vulnerabilità non ancora corrette per attacchi basati su exploit zero-day sferrati tramite spear phishing.

image

Di seguito alcuni esempi di exploit zero-day che Platinum ha utilizzato, per un approfondito esame delle tecniche di attacco utilizzate e di altri exploit utilizzati si veda il SIR Volume 20.

image

image

Un’altra interessante analisi contenuta nel SIR 20 è quella dell’Azure Active Directory Team sulla protezione delle identities nel cloud in cui vengono descritte le contromisure adottate da Microsoft per prevenire la compromissione degli account anche nel caso in cui gli attaccanti siano in possesso di credenziali valide. La mitigazione degli attacchi verso Microsoft Account e Azure Active Directory avviene sfruttando sistemi di protezione multilayer basati su machine learning oltre alle classiche tecniche di blocco delle password errate e dei blocchi basati dall’analisi dell’origine degli accessi con i seguenti risultati:

“From all this data gathering and analysis, each day Microsoft’s account protection systems automatically detect and prevent more than 10 million attacks, from tens of thousands of locations, including millions of attacks where the attacker has valid credentials. That’s over 4 billion attacks prevented last year alone.”

image

Di seguito i suggerimenti che i titolari di Microsoft Account o identities in Azure Active Directory dovrebbero sempre tenere presente per mitigare gli attacchi password-based e che di fatto sono best practices classiche:

“The security of your account is particularly important if your username is an email address, because other services may rely on your email address to verify your identity. If an attacker takes over your account, they may be able to take over your other accounts too (like banking and online shopping) by resetting your passwords by email.”

Don’t use a password that is the same or similar to one you use on any other website. A cybercriminal who can break into that website can steal your password from it and use it to steal your account.”

“Don’t use a single word (e.g. “princess”) or a commonly-used phrase (e.g. “Iloveyou”).”

Do make your password hard to guess even by those who know a lot about you (such as the names and birthdays of your friends and family, your favorite bands, and phrases you like to use).”

Two-step verification boosts account security by making it more difficult for hackers to sign in—even if they know or guess your password.”

Il SIR 20 prosegue poi con l’analisi delle tecniche utilizzate da Exchange Online Protection per prevenire l’email spoofing basandosi sull’anali dell’indirizzo IP del mittente (per i dettagli si veda How antispoofing protection works in Office 365) .

L’ultima parte del SIR 20 è dedicata all’analisi dell’attuale situazione delle minacce informatiche basandosi sui dati delle scansioni real-time dei prodotti Microsoft.

Di seguito ad esempio la distribuzione dei vari tipi di Exploit nel 2015 che evidenzia come Java e Adobe Flash Player siano stati i principali vettori per gli exploit.

image

image

Per quanto riguarda la tipologia di malware più diffusi nel 2015 il primo posto spetta ai Trojan.

image

Un’atra interessante statistica è quella che pone a confronto la distribuzione del malware in computer a dominio rispetto ai computer non a dominio da cui si evince che i computer non aziendali sono più soggetti a malware generico, mentre quelli aziendali a Password Stealers e Monitoring Tools e che gli attacchi tramite browser da siti infetti o compromessi sono tra le prime cause d’infezione.

image

image

Anche l’analisi degli allegati potenzialmente pericolosi bloccati da Exchange Online che fa uso di un virtual sandboxed environment per l’analisi approfondita dei file, Office 365 Advanced Threat Protection include infattila funzionalità anti-sandbox detection per contrastare gli advanced threats eseguendo i file in una virtual machine prima di consegnare la mail al destinatario utilizzando il seguente schema di funzionamento:

image

L’analisi dei file relativa alla seconda metà del 2015 evidenzia come sebbene i file .exe siano sempre il formato principale con cui veicolare il malware seguiti dai file Word, negli ultimi mesi stia aumentando l’uso di file come .rar, .vbs, e .jar (identificati come Other nei seguenti grafici)

image

image

Per un approfondimento sulla tipologia del malware che può essere veicolato dagli allegati si veda il seguente articolo How Microsoft antimalware products identify malware: unwanted software and malicious software pubblicato sul Malware Protection Center.

Il tema di come le applicazione sono classificate come PUA (Potentially Unwanted Applications) è stato anche approfondito nel seguente post Shields up on potentially unwanted applications in your enterprise dove viene anche data una precisa indicazione di quello che si intende per PUA che in estrema sintesi possiamo definire come applicazioni che sono messe a corredo di altre e che possono aumentare i rischi di compromissioni perché il loro specifico funzionamento non aderisce alle policies di sicurezza o perché possono contenere injection di funzionalità non desiderate:

“Potential Unwanted Application (PUA) refers to unwanted application bundlers or their bundled applications.

These applications can increase the risk of your network being infected with malware, cause malware infections to be harder to identify among the noise, and can waste helpdesk, IT, and user time cleaning up the applications.

Since the stakes are higher in an enterprise environment, the potential disaster that PUA brings can be a cause of concern. Hence, it is important to deliver trusted protection in this field.

Typical examples of behavior that we consider PUA include ad-injection, many types of software bundling, and persistent solicitation for payment for services based on fraudulent claims.”

Analizzando le statistiche di identificazione antimalware della seconda metà del 2015 si nota come il PUA sia la percentuale maggiore con un trend in salita e che quindi il rischio che possano divenire un obbiettivo interessate per veicolare un attacco in una rete aziendale sta diventando concreto.

image

Le statistiche sull’utilizzo dell’antivirus evidenziano che computer non protetti o protetti saltuariamente sono infettati maggiormente rispetto a quelli protetti costantemente dall’antivirus.

image

“The MSRT reported that computers that were never found to be running real-time security software during 2H15 were between 2.7 and 5.6 times as likely to be infected with malware as computers that were always found to be protected.”

Computers that were intermittently protected were between 2.7 and 4.0 times more likely to be infected with malware in 2H15 than computers that were always protected.”

L’analisi svolta tramite la funzionalità SmartScreen Filter di Internet Explorer mostra il numero di siti che ospitano malware sia aumenta tra Agosto e Ottobre 2015 e questo dato va correlato col fatto che in quel periodo vi è stata una campagna di atacco verso siti WordPress.

Il SIR 20 si conclude con le seguenti analisi da cui è possibile prendere spunto per analizzare ed eventualmente rivedere le policies di sicurezza applicate alla propria infrastruttura:

  • Malware at Microsoft: Dealing with threats in the Microsoft environment
  • Securing privileged access roadmap

In particolare si vedano i seguenti suggerimenti su come segmentare i privilegi di accesso per evitare rischi di compromissione da quelli che oggi sono i vettori principali di malware il cui obbiettivo principale è la privilege escalation all’interno dell’infrastruttura.

 image

In appendice è poi possibile trovare i prodotti tramite cui sono stati ricavati i dati ovviamente in forma anonima su cui si basano le analisi presentate nel SIR 20 e gli URL alle loro Privacy statement:

image

Sempre in appendice è riporta l’analisi della distribuzione del malware su scala geografica, dal seguente estratto si vede come l’Italia non solo confermi una percentuale d’infezione maggiore rispetto ad altri paesi europei già evidenziato prima metà del 2015 nel SIR 19 (a riguardo si veda il mio post Novità inerenti la sicurezza di Novembre 2015), ma tale percentuale nella seconda metà del 2015 è ulteriormente salita.

image

L’Encounter rate è la percentuale di computer che eseguono software di protezione real-time Microsoft su cui è stata rilevata un’infezione, mentre il CCM (Computers cleaned per mille) è il numero di computer su cui è stata rimossa un’infezione per ogni 1.000 computer analizzati dal MSRT (Malicious Software Removal Tool).

Il SIR 20 si correda anche di documento più esaustivo sulla distribuzione del malware su scala geografica ovvero il SIR Regional Threat Assessment in cui è possibile trovare un quadro per ogni paese confrontato col resto del mondo compresa l’Italia che come precedentemente le statistiche d’infezione risultano in aumento anche su scala annuale.

image

Di seguito invece le statistiche sulle tipologie di malware e sui vettori d’infezione che evidenziano come occorra prestare particolare attenzione alle policies di sicurezza relative al browser.

image

image

Il SIR mette anche a disposizione un documento di sintesi delle analisi denominato SIR Key Findings anche se il mio consiglio è quello di approfondire poi le analisi sui documenti completi dove è possibile trovare utili considerazioni e suggerimenti.

Inoltre al seguente https://www.microsoft.com/security/sir/archive/default.aspx sono disponibili una serire di utili documenti, white papers e i SIR rilasciati precedentemente a partire dal 2008.