Cavallo di Troia

Perché È Importante

Il Cavallo di Troia—che prende il nome dal leggendario inganno greco—rappresenta uno dei vettori di attacco più efficaci e duraturi nella cybersecurity. A differenza dei virus o dei worm che si diffondono automaticamente, i trojan si basano sulla psicologia umana. Sfruttano la fiducia, la curiosità e il desiderio di software gratuito per indurre gli utenti a installare volontariamente codice malevolo.

I trojan rappresentano una parte significativa di tutte le infezioni da malware a livello mondiale. Dai trojan bancari che rubano credenziali finanziarie ai Remote Access Trojan (RAT) che danno agli aggressori il controllo completo dei sistemi, queste minacce prendono di mira sia individui che organizzazioni. Ogni giorno, migliaia di utenti installano inconsapevolmente trojan mascherati da software legittimo, giochi o utility.

Per i professionisti della cybersecurity, comprendere i trojan è essenziale. Gli analisti SOC devono riconoscere gli indicatori di trojan durante le indagini sugli incidenti. I penetration tester utilizzano tecniche dei trojan (eticamente) per testare le difese organizzative. Gli ingegneri della sicurezza progettano sistemi che prevengono l'esecuzione dei trojan. Questa conoscenza protegge direttamente le organizzazioni da una delle categorie di minacce più diffuse.

L'aspetto di ingegneria sociale dei trojan rende la consapevolezza degli utenti altrettanto importante delle difese tecniche. Nessun firewall può impedire a un utente di installare deliberatamente software malevolo che crede legittimo.

Come Funzionano i Cavalli di Troia

I trojan seguono un modello di attacco basato sull'inganno che sfrutta la fiducia dell'utente:

1. Mascheramento: Il trojan viene confezionato per apparire come software legittimo—un gioco, utility, programma craccato o documento
2. Consegna: Raggiunge le vittime tramite email di phishing, siti web malevoli, siti di download falsi o software compromesso
3. Installazione: L'utente esegue il file, credendo che sia sicuro, concedendo accesso al trojan
4. Esecuzione del Payload: Una volta installato, il trojan esegue il suo scopo malevolo
5. Persistenza: Stabilisce meccanismi per sopravvivere ai riavvii del sistema
6. Occultamento: Nasconde la sua presenza agli utenti e al software di sicurezza

Tipi di Cavalli di Troia

Remote Access Trojan (RAT)

I RAT danno agli aggressori il controllo remoto completo sui sistemi infetti, trasformando essenzialmente il computer della vittima in uno zombie che possono controllare.

Trojan Bancari

Specificamente progettati per rubare credenziali finanziarie e intercettare transazioni bancarie.

Tecniche:

• Form grabbing: Cattura i dati inseriti nei moduli del browser
• Web injection: Modifica i siti bancari in tempo reale per catturare credenziali aggiuntive
• Session hijacking: Prende il controllo delle sessioni bancarie attive
• Bypass dell'autenticazione a due fattori: Intercetta codici SMS o token di autenticazione

Esempi noti: Zeus, Emotet, TrickBot, Dridex

Trojan Downloader

Vettore di infezione iniziale che scarica e installa malware aggiuntivo una volta all'interno della rete.

Trojan Backdoor

Creano punti di accesso nascosti che aggirano l'autenticazione normale, permettendo agli aggressori di tornare a piacimento.

Caratteristiche:

• Ascolta su porte specifiche per le connessioni dell'aggressore
• Può utilizzare comunicazioni crittografate per evitare il rilevamento
• Spesso sopravvive alla rimozione di altri componenti malware
• Può persistere attraverso gli aggiornamenti del sistema

Trojan Rootkit

Combinano la consegna del trojan con capacità rootkit per nascondersi in profondità nel sistema operativo.

Tecniche di occultamento:

• Hooking a livello kernel
• Manipolazione dei driver
• Funzionalità bootkit (sopravvive alle reinstallazioni del SO)
• Nascondere processi e file dagli strumenti di sicurezza

Falsi Antivirus (Scareware)

Si spacciano per software di sicurezza, mostrando falsi avvisi di virus per indurre gli utenti a pagare per la "rimozione" o installare più malware.

Ladri di Informazioni

Si concentrano sulla raccolta di specifici tipi di dati preziosi per la vendita o lo sfruttamento.

Dati target:

• Password salvate nel browser
• Credenziali di portafogli di criptovalute
• Account di piattaforme di gaming
• Credenziali email e social media
• Credenziali VPN aziendali

Metodi di Consegna Comuni

Vettori di Ingegneria Sociale

Kit di Exploit

Strumenti automatizzati che scansionano i visitatori alla ricerca di vulnerabilità e consegnano trojan tramite exploit del browser.

Metodi di Rilevamento

Indicatori Comportamentali

Segnali che possono indicare un'infezione da trojan:

• Problemi di prestazioni: Rallentamenti inspiegabili, utilizzo elevato di CPU/memoria
• Anomalie di rete: Connessioni in uscita inaspettate, utilizzo della larghezza di banda
• Problemi con il software di sicurezza: Antivirus disabilitato o bloccato
• Comportamento strano del sistema: Programmi che si aprono/chiudono, cursore che si muove
• Accesso non autorizzato: Tentativi di login sconosciuti o blocchi dell'account

Rilevamento Tecnico

Rilevamento con Strumenti di Sicurezza

• Endpoint Detection and Response (EDR): L'analisi comportamentale rileva i trojan che evadono le firme
• SIEM: Correla gli indicatori di trojan attraverso la rete
• Monitoraggio di rete: Identifica le comunicazioni di comando e controllo
• Sandboxing: Analizza i file sospetti in sicurezza prima dell'esecuzione

Strategie di Prevenzione

Controlli Tecnici

• Filtraggio email: Bloccare allegati sospetti al gateway
• Filtraggio web: Prevenire l'accesso a siti malevoli noti
• Whitelisting delle applicazioni: Consentire l'esecuzione solo di software approvato
• Regole del firewall: Bloccare connessioni in uscita non autorizzate
• Aggiornamenti regolari: Applicare patch alle vulnerabilità che i trojan sfruttano

Consapevolezza degli Utenti

• Verificare le fonti del software: Scaricare solo da fornitori ufficiali
• Riconoscere il phishing: Non cliccare su link o allegati sospetti
• Evitare software pirata: Gratuito spesso significa compromesso
• Controllare le estensioni dei file: Diffidare degli eseguibili mascherati da documenti
• Usare l'autenticazione a due fattori: Limita i danni se le credenziali vengono rubate

Misure Organizzative

• Formazione sulla sicurezza: Educazione regolare sulle minacce dei trojan
• Privilegio minimo: Limitare cosa gli utenti possono installare
• Segmentazione della rete: Contenere le potenziali infezioni
• Piani di risposta agli incidenti: Prepararsi alla scoperta di trojan
• Strategie di backup: Mantenere backup offline per il ripristino

Rimozione e Ripristino

Passi Immediati

1. Isolare il sistema: Disconnettersi dalla rete per prevenire l'esfiltrazione dei dati
2. Avviare in modalità provvisoria: Limitare cosa viene eseguito durante l'indagine
3. Preservare le prove: Documentare prima di apportare modifiche
4. Eseguire più scanner: Strumenti diversi rilevano minacce diverse
5. Controllare i meccanismi di persistenza: Elementi di avvio, attività pianificate, servizi

Remediation Completa

Connessione Professionale

Comprendere i trojan è fondamentale per molteplici ruoli nella cybersecurity. Gli analisti di malware effettuano reverse engineering sui trojan per comprenderne le capacità. Gli analisti SOC rilevano e rispondono alle infezioni da trojan quotidianamente. Gli analisti di threat intelligence tracciano le campagne di trojan e le attribuiscono agli attori delle minacce. I penetration tester usano tecniche simili (eticamente) per testare le difese.