Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Analisi del malware FK_Undead: una minaccia avanzata per Windows

Sandro Sana : 16 Dicembre 2024 07:19

Nel panorama delle minacce informatiche contemporanee, il malware FK_Undead rappresenta un esempio sofisticato e preoccupante di come gli attori malevoli siano in grado di combinare tecniche avanzate di evasione, persistenza e manipolazione del traffico di rete. Recenti analisi pubblicate da G DATA hanno portato alla luce un rootkit loader di nuova generazione appartenente alla famiglia FK_Undead, il quale sfrutta caratteristiche avanzate per infiltrarsi nei sistemi Windows, rimanere nascosto e manipolare il traffico di rete degli utenti a proprio vantaggio.

Indice dei contenuti nascondi
1. Funzionamento del rootkit loader FK_Undead
2. Infrastruttura e indicatori di compromissione (IoC)
3. Tecniche di evasione e occultamento
4. Implicazioni per la sicurezza aziendale e individuale
5. Strategie di protezione e mitigazione

Funzionamento del rootkit loader FK_Undead

Il processo di infezione di FK_Undead è caratterizzato da una sequenza ben strutturata di passaggi che garantiscono al malware un’alta capacità di elusione e di persistenza nel sistema compromesso. Vediamo in dettaglio come si articola questa catena di infezione:

  1. Caricamento iniziale e firma digitale legittima:
    Il malware si presenta come un loader firmato con un certificato Microsoft valido. Questa caratteristica è particolarmente subdola, poiché consente al codice malevolo di aggirare molti controlli di sicurezza basati sull’autenticità delle firme digitali. La presenza di una firma valida facilita l’esecuzione del malware senza destare sospetti, permettendo al rootkit di essere eseguito come un servizio di sistema con privilegi elevati.
  2. Persistenza come servizio di sistema:
    Una volta eseguito, il loader si installa come un servizio di sistema, garantendosi la possibilità di eseguirsi automaticamente ad ogni avvio del computer. Questo meccanismo di persistenza rende estremamente difficile rimuovere il malware con una semplice scansione antivirus o con un riavvio del sistema.
  3. Download e decrittazione del payload:
    Il loader è programmato per connettersi a specifici URL al fine di scaricare un payload cifrato. La tecnica utilizzata per ottenere questi URL è conosciuta come “deaddrop”: una metodologia che permette agli attaccanti di mantenere nascosti gli indirizzi reali dai quali viene distribuito il payload. Una volta scaricato, il payload viene decriptato localmente e preparato per l’installazione.
  4. Installazione del driver kernel protetto:
    Il payload scaricato consiste in un driver kernel firmato e protetto con VMProtect, un software di protezione che rende difficile l’analisi e il reverse engineering del codice. L’uso di VMProtect assicura che anche gli analisti di sicurezza più esperti incontrino notevoli difficoltà nel decifrare il funzionamento interno del malware.
  5. Controlli anti-sicurezza e anti-virtualizzazione:
    Prima di procedere con l’esecuzione del payload, il rootkit esegue una serie di controlli avanzati per verificare la presenza di software di sicurezza, ambienti virtuali (come sandbox) o strumenti di analisi. Se il malware rileva uno di questi elementi, può interrompere la propria esecuzione o modificare il proprio comportamento per evitare di essere scoperto.
  6. Manipolazione del traffico di rete:
    Una delle caratteristiche più pericolose di FK_Undead è la capacità di intercettare e manipolare il traffico di rete dell’utente attraverso la gestione di proxy compromessi. Questo permette agli attaccanti di esfiltrare dati sensibili, intercettare comunicazioni riservate o reindirizzare il traffico verso server controllati dai criminali informatici.

Infrastruttura e indicatori di compromissione (IoC)

L’immagine allegata fornisce una rappresentazione visiva della complessa infrastruttura di comando e controllo (C2) utilizzata da FK_Undead. Alcuni degli elementi chiave emersi dall’analisi includono:

  • Nomi di dominio malevoli:
    Tra i domini utilizzati per distribuire il payload e per comunicare con il malware figurano nomi come:
    • tjxgood.com
    • tjxupdates.com
    • microsoftdns2.com
    Questi nomi sono stati scelti con cura per somigliare a domini legittimi, rendendo più difficile per gli utenti e i sistemi di sicurezza individuare l’attività sospetta.
  • Indirizzi IP associati:
    L’indirizzo 101.37.76.254 è uno dei principali indicatori di compromissione collegati alla distribuzione del payload. Questo IP è utilizzato per ospitare file malevoli e per orchestrare le comunicazioni tra il rootkit e i server di comando e controllo.
  • Hash dei file:
    L’analisi ha identificato diversi hash di file malevoli che possono essere utilizzati per rilevare la presenza di FK_Undead nei sistemi. Ad esempio:
    • 10d8591dd18e061febabe0384dc6e4516b7e7e54be87e0ac3e211f698b0c2
    • adf0bed4734b416c0c959e0965d9a9726b9ea2b9c8864e2050375fe61a1b

Tecniche di evasione e occultamento

Vuoi diventare un Ethical Hacker?
Non perdere i nostri corsi e scrivi subito su WhatsApp al numero
375 593 1011  per richiedere informazioni dicendo che hai trovato il numero sulle pagine di Red Hot Cyber

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

FK_Undead implementa una serie di tecniche di evasione avanzate che lo rendono particolarmente difficile da rilevare e rimuovere:

  • Offuscamento del codice tramite VMProtect per rendere arduo il reverse engineering.
  • Routine di notifica del kernel che permettono di nascondere processi e file dal sistema operativo e dai software di sicurezza.
  • Controlli di integrità e di ambiente per evitare di eseguire il malware su macchine virtuali o ambienti di analisi automatizzata.

Implicazioni per la sicurezza aziendale e individuale

La presenza di FK_Undead su un sistema rappresenta una grave minaccia sia per gli utenti privati che per le aziende. Le possibili conseguenze includono:

  • Furto di dati riservati: Informazioni sensibili come credenziali, documenti aziendali e dati finanziari possono essere sottratti e utilizzati per scopi fraudolenti.
  • Intercettazione di comunicazioni: Manipolando il traffico di rete, gli attaccanti possono spiare le comunicazioni aziendali o personali.
  • Compromissione della rete aziendale: Un sistema infetto può fungere da punto di ingresso per ulteriori attacchi all’infrastruttura IT aziendale.

Strategie di protezione e mitigazione

Per proteggersi da FK_Undead e da altre minacce avanzate, è essenziale adottare una serie di misure di sicurezza:

  1. Aggiornamento costante del software: Installare regolarmente aggiornamenti di sicurezza per sistemi operativi e applicazioni.
  2. Monitoraggio continuo della rete: Utilizzare soluzioni di Threat Detection per identificare comportamenti anomali nel traffico di rete.
  3. Controllo delle firme digitali: Verificare l’autenticità dei certificati digitali e segnalare eventuali anomalie.
  4. Segmentazione della rete: Limitare l’accesso alle risorse critiche per ridurre il rischio di diffusione del malware.
  5. Formazione del personale: Educare gli utenti sui rischi legati a download sospetti e phishing.

L’analisi di FK_Undead da parte di G DATA e i dati ricavati dalla piattaforma di Threat Intelligence evidenziano un’evoluzione significativa nelle capacità dei malware moderni. La combinazione di tecniche avanzate di evasione, persistenza e manipolazione del traffico richiede un approccio proattivo alla sicurezza informatica. Le aziende e gli utenti devono adottare misure preventive e mantenere alta l’attenzione per difendersi da queste minacce sempre più sofisticate.

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro CLUSIT e giornalista presso RedHot Cyber, Cybersecurity360 & Digital360.
Visita il sito web dell'autore
Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Red Hot Cyber Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS

Copyright @ 2003 – 2024 RED HOT CYBER
PIVA 16821691009