domenica 13 novembre 2011

La guida del CERT-EU sul malware

Partiamo dall'inizio, da qualche tempo è stato attivato il Computer Emergency Response Team Europeo, il CERT-EU appunto. Un'iniziativa di grande valore e spessore per tutta l'Unione Europea che ci pone finalmente al livello degli americani che, con lo US-CERT, hanno proposto al mondo uno dei modelli più importanti per le strutture nazionali dedicate alla prevenzione e gestione degli incidenti.

Il neonato CERT-EU sta iniziando a popolare il proprio sito di informazioni utili e di guide per gli utenti. Da qualche giorno è stato pubblicato un documento dal titolo "Security White Paper 2011-003 - Windows Malware Detection (Incident Response Methodology)".

Prima di entrare nel vivo della descrizione di questo documento devo sottolineare, come mio solito, quanto sia grave la mancanza per l'Italia di un CERT nazionale e quanto questo metta tutti i cittadini e le imprese italiane in posizione di svantaggio rispetto ai nostri partner internazionali (in un momento di grave crisi economica un handicap ancora più sentito), distanziandoci sempre più dall'Unione Europea nel campo della tecnologia e dell'utilizzo del cyberspace.

Bene, ora veniamo alla guida.

Tra gli indizi che il CERT-EU indica come riferibili ad una possibile infezione ci sono:
- un comportamento anomalo dell'Antivirus (un allarme, l'impossibilità di aggiornarmento il DB delle firme, il fermo di uno o più servizi o l'impossibilità di eseguire scansioni anche se lanciate manualmente)
- un comportamento anomalo del disco rigido (il disco rigido "frulla" a lungo senza apparente legame con le attività correnti)
- un comportamento anomalo del computer (improvviso rallentamento, riavvi senza motivo, crash senza apparente motivo di alcune applicazioni o pop-up che si aprono in modo decontestualizzato rispetto all'uso)
- un comportamento anomalo della rete (connessione a Internet molto lenta per la maggior parte del tempo di navigazione (si vede che sono europei e non italiani... loro hanno la banda larga, noi il digitale terrestre, dove si riesce a vedere...))
- l'inserimento in una black-list del proprio indirizzo IP statico (per chi ce l'ha)
- un comportamento anomalo dei sistemi di comunicazione (email, IM, ecc).

Saltando tutti i passaggi intermedi, che potete leggere direttamente sulla guida, si giunge alle indicazioni per il ripristino:
- fare il reboot da un live CD e fare il backup, su un disco esterno, di tutti i file importanti 
- rimuovere i binari del malware e tutte le configurazioni di registro (fare riferimento alle best-practice dei vendor antivirus)
- avviare una scansione antivirus online
- lanciare BartPE live CD con degli strumenti antivirus (in alternativa avviare un live CD prodotto da un vendor AV)
- se possibile reinstallare il Sistema operativo e le applicazioni e fare il restore dei dati da un backup affidabile
- recuperare i file eventualmente danneggiati dal malware, soprattutto se sono file di sistema
- fare il reboot della macchina e verificare se il sistema funziona correttamente e riavviare una scansione completa.

Relativamente ai passaggi di bonifica, vi ricordo che su Punto 1 potete trovare la guida dedicata al malware con molti link a risorse e procedure esterne.

Voglio chiudere questa breve analisi del white paper guida del CERT-EU ricordando che tra le azioni indicate a valle del contenimento viene suggerito di fare una valutazione dei costi dell'incidente. Questa attività renderà più semplice fare le giuste valutazioni per le allocazioni del budget da destinare alle contromisure per il malware.

Mi permetto di aggiungere, però, un ulteriore passaggio alla guida del CERT-EU e suggerisco di effettuare, a valle della bonifica, una scansione con Secunia On-line scanner per verificare gli aggiornamenti dei programmi installati. Questo permette di eliminare le eventuali vulnerabilità che sono state sfruttate per l'installazione del malware.

Nessun commento:

Posta un commento

http://www.wikio.it