Tag:Anti-Trojan

Servizio Anti-Trojan

Le attività di cybercrime  sono spesso supportate da  reti composte da migliaia di macchine compromesse, geograficamente distribuite e caratterizzate da una estrema variabilità di comportamento e resistenza allecontromisure adottate per bloccarne l’utilizzo (botnet).

Uno degli elementi fondamentali di queste reti è costituito dai  trojan, ovvero programmi che infettano i personal computer degli utenti prendendone il controllo. Tra le azioni più comuni di questo tipo di malware è quella di carpire credenziali valide per l’accesso a siti di online banking, trading o e-commerce, per truffare l’utente stesso dirottandone gli acquisti o le operazioni finanziarie.

Il servizio anti-trojan mira a tracciare le campagne di  attacco lanciate attraverso botnet e  trojan, monitorando costantemente le azioni rivolte verso i siti, i domini del cliente e le minacce rivolte ai suoi utenti.

Tutte le istanze di malware vengono analizzate estraendo i dati salienti dell’attacco, con particolare rilievo per i domini impattati, i siti attaccati,  i  “muli” eventualmente utilizzati dall’attacco.

La rilevazione e il tracciamento delle  botnet e del malware utilizzato dalle  botnet per infettare gli utenti finali vengono effettuate il T.I.P. (Tracking Intelligence Project). Il processo prevede:

  • identificazione di sistemi infetti utilizzati per controllare  le botnet e gestire i bot: Command & Control Center e Drop Point
  • raccolta continua di malware aggiornato da varie fonti (honeypot, progetti di ricerca open source, analisi dei Drop Point e dei link al malware generati dall’anti-phishing engine, etc.)
  • identificazione dei target del malware
  • analisi del malware sia tramite  sandbox  e analisi comportamentale che attraverso  reverse-engineering
  • identificazione di indirizzi IP e domini utilizzati per attacchi o frodi; identificazione di eventuali Muli utilizzati dal trojan
  • traduzione dell’analisi comportamentale del trojan in regole per la sua identificazione
  • recupero di archivi potenzialmente contenenti informazioni riservate pertinenti al cliente o ai suoiutenti

Oltre alla raccolta di queste informazioni  il  servizio  può  prevedere  l’innesco  di  procedure  di  chiusura amministrativa dei siti utilizzati dagli attacchi, in particolare i Command & Control Center e i Drop Point delle botnet tramite le quali vengono effettuati gli attacchi. 

 
Powered by Tags for Joomla

Footer

Validates to XHTML 1.0 and CSS 3 - webmaster@siledo.com
Copyright © 2010 Siledo Consulting sa - Privacy Policy del sito