15739 Letture

Proteggersi dai ransomware e dai malware ancora sconosciuti con HitmanPro.Alert

I prodotti HitmanPro sviluppati dalla olandese SurfRight sono noti ormai da anni. Si tratta di soluzioni che non solo forniscono una "seconda opinione" rispetto alle soluzioni antimalware più conosciute e popolari ma consentono di proteggersi dai ransomware e dai malware non ancora conosciuti.

Come abbiamo più volte ricordato, di recente anche nell'articolo Antivirus gratuiti, ecco i migliori, la protezione basata sull'utilizzo esclusivo dei database delle firme virali ha miseramente fallito.
Posto che l'utente, con un comportamento attento e mai avventato, è sempre la migliore linea di difesa contro la totalità delle minacce, è ormai pacifico che i prodotti antimalware che poggiano solamente sull'utilizzo delle firme virali non possono agire tempestivamente allorquando si trovino a gestire malware da poco affacciatisi in Rete.

Da poco acquistati da Sophos, i prodotti HitmanPro aiutano a proteggere gli endpoint ossia quello che è universalmente considerato l'anello più debole della catena. È cosa risaputa che, anche per attaccare le grandi aziende e gli enti pubblici di importanza strategica, gli aggressori provano in primis a bersagliare le workstation dei dipendenti e dei collaboratori. Questi sistemi, infatti, contengono spesso informazioni sensibili utili per aggredire l'intera infrastruttura aziendale, soprattutto quando il tema della sicurezza sia trattato in azienda in maniera un po’ superficiale.


Proteggere adeguatamente gli endpoint e, quindi, prevenire l'errore umano od il comportamento pericoloso da parte dei singoli utenti, degli impiegati, dei dipendenti, dei collaboratori, assume perciò un'importanza a dir poco fondamentale per non correre rischi.

Cos'è HitmanPro.Alert e perché può proteggere da ransomware e malware sconosciuti?

HitmanPro.Alert è innanzi tutto un antiexploit, un'applicazione che rappresenta un'eccellente linea di difesa contro quei codici dannosi che sfruttano vulnerabilità nelle varie applicazioni che non sono state ancora irrisolte.
E ciò non soltanto quando l'utente "si dimentica" di installare gli aggiornamenti di sicurezza rilasciati dai produttori ma anche e soprattutto quando un malware utilizzasse vulnerabilità non ancora sanate neppure dalle software house sviluppatrici.

Nell'articolo Browser più sicuro, quali i passaggi da seguire abbiamo visto come, evidentemente, il browser (ed i plugin in esso installati dall'utente) sia l'elemento software più oggetto di attacchi in assoluto.

Con la parola exploit si fa riferimento al codice dannoso che - sfruttando una vulnerabilità software irrisolta (perché, appunto, non sistemata installando gli ultimi aggiornamenti o perché non ancora sanata dal produttore dell'applicazione) - permette di effettuare operazioni potenzialmente dannose all'insaputa dell'utente, acquisire privilegi più elevati oppure provocare attacchi DoS (Denial of Service).

Un antiexploit come HitmanPro.Alert costituisce un ottimo baluardo a difesa del sistema e dei dati in esso conservati perché protegge dagli exploit surclassando tool come EMET e Malwarebytes Antiexploit.
HitmanPro.Alert è capace di prevenire le infezioni causate da minacce sconosciute anche senza avere una precedente conoscenza sulla natura delle stesse.

HitmanPro.Alert riesce a rilevare e neutralizzare praticamente la totalità dei nuovi malware, siano essi trojan bancari o ransomware. Il programma, infatti, è capace di stabilire quando funzionalità chiave del sistema operativo sono richieste oppure modificate da programmi di terze parti, soprattutto se non affidabili.
L'analisi del comportamento dei programmi operata da HitmanPro.Alert consente di portare alla luce attività sospette e bloccarle per tempo prima che il malware possa causare problemi.
La tecnologia Cryptoguard integrata in HitmanPro.Alert, ad esempio, consente di riconoscere nuovi ransomware e bloccarli non appena dovessero entrare in esecuzione, ad esempio, per un errore dell'utente ("doppio clic selvaggio" senza riflettere) o sfruttando un exploit (che è comunque un errore dell'utente se non ha avuto l'accortezza di installare tutti gli aggiornamenti di sicurezza per i software installati sul sistema in uso).
Con Cryptoguard, qualunque tentativo di crittografare i dati dell'utente viene immediatamente bloccato sul nascere.

Una volta installato, inoltre, HitmanPro.Alert può far ritenere ai programmi dannosi di essere eseguiti in un ambiente di test. Si pensi agli ambienti virtualizzati che le aziende che sviluppano soluzioni antimalware usano per diagnosticare ed esaminare il comportamento delle varie minacce. Questo semplice espediente consente di proteggersi da molti malware dannosi perché questi semplicemente non si attivano sugli ambienti di test e quindi non mandano in esecuzione il loro codice nocivo.

HitmanPro.Alert utilizza, ed è una prerogativa unica nel suo genere, i registri hardware (MSR) messi a disposizione nelle CPU Intel (Core i3, i5 e i7 dalla seconda generazione in avanti) per effettuare la cosiddetta analisi Control-Flow Integrity (CFI) coadiuvata in hardware.
L'analisi CFI permette di prevenire operazioni non previste nell'applicazione originale e bloccare quelli che vengono chiamati attacchi ROP (Return-oriented programming).
Tali attacchi generalmente sfruttano porzioni di codice legittimo, già presenti sul sistema, per compiere operazioni malevole.

Il software di SurfRight, acquisito da Sophos a dicembre 2015, estende le funzionalità di protezione di Windows quali Address Space Layout Randomization (ASLR), Data Execution Prevention (DEP) e Structured Exception Handler Overwrite Protection (SEHOP) implementando tutta una serie di misure di sicurezza aggiuntive.


I lettori interessati possono trovare un elenco delle misure antiexploit di HitmanPro.Alert in questo documento, a partire da pagina 11 in poi.

HitmanPro, analisi comportamentale cloud-assisted

HitmanPro.Alert integra comunque il modulo base HitmanPro che consente di effettuare una scansione del sistema alla ricerca di oggetti dannosi o potenzialmente tali.
Al termine della scansione iniziale è possibile che, anche su un sistema assolutamente pulito, HitmanPro riporti la presenza di alcuni componenti sospetti. Va detto che spesso si tratta di cookie che il programma indica come "traccianti". Si può gestirli come meglio si crede (ad esempio eliminarli) tenendo comunque presente che sono ben altre le minacce e, soprattutto, le abilità dell'applicazione di SurfRight.

Alcuni componenti presenti sul sistema possono essere trasmessi ai server di HitmanPro in maniera del tutto automatica per effettuarne una scansione cloud.
Se la scansione del sistema dovesse perdurare per troppo tempo, suggeriamo verificare che HitmanPro non stia provando a caricare qualche file di grandi dimensioni (rallentando anche le prestazioni dell'intera rete locale).

Proteggersi dai ransomware e dai malware ancora sconosciuti con HitmanPro.Alert

A noi è successo ad esempio con il software legittimo Genymotion che HitmanPro pretendeva di caricare sui suoi server. L'upload può comunque essere interrotto in qualunque momento da parte dell'utente.

La scansione cloud eseguita da HitmanPro permette di scovare eventuali minacce non rilevate con l'approccio basato sull'analisi comportamentale.

Le protezioni attivate da HitmanPro.Alert

Uno dei fiori all'occhiello di HitmanPro.Alert è la sua interfaccia utente chiara e pulita. Il programma, seppur tecnologicamente avanzato, propone all'utente un'interfaccia ridotta all'osso.
È questo, senza dubbio, un aspetto positivo che non obbliga gli utenti a dover misurare con impostazioni talvolta di difficile comprensione.


Per avere maggiori informazioni su ciò che HitmanPro.Alert sta facendo, suggeriamo di accedere alle impostazioni del programma, cliccando sull'icona raffigurante un piccolo ingranaggio quindi scegliere Interfaccia avanzata, per utenti esperti.

Proteggersi dai ransomware e dai malware ancora sconosciuti con HitmanPro.Alert

Per impostazione predefinita, ed è quella che deve essere lasciata selezionata, HitmanPro.Alert, nel caso in cui dovesse rilevare una minaccia, provvederà ad "uccidere" l'applicazione malevola (Terminate application).

La versione gratuita di HitmanPro.Alert consente di effettuare una scansione del sistema in modo da verificare che, ad esempio, l'antivirus installato non abbia mancato di rilevare e neutralizzare qualche minaccia. Inoltre, verifica che non si sia vittima di attacchi man-in-the-middle rivolti essenzialmente nei confronti di siti di online banking, servizi di e-commerce e webmail.
Sempre nella versione gratuita, HitmanPro.Alert consente di mantenere attiva la vaccinazione (fa apparire il sistema in uso come quello di un ricercatore antimalware provocando l'automatica disattivazione di diverse minacce); di proteggere i dati inseriti da eventuali keylogger; di inibire accensioni non autorizzate della webcam; di bloccare componenti che attivano funzioni server potenzialmente pericolose così da rendere il sistema controllabile in modalità remota.

Diversamente rispetto a EMET e Malwarebytes Antimalware, però, il grosso delle protezioni antimalware e antiransomware vengono abilitate in HitmanPro.Alert solamente previa attivazione di una licenza a pagamento.

Proteggersi dai ransomware e dai malware ancora sconosciuti con HitmanPro.Alert

Parliamo delle varie mitigazioni antiexploit, della già citata tecnologia antiransomware Cryptoguard, della protezione dei processi (previene che un malware rimuova l'eseguibile di un processo legittimo e sicuro), della protezione anti-BadUSB (BadUSB: pubblicato un video dimostrativo) e della difesa contro l'utilizzo di fonti di carattere malevole per l'acquisizione di privilegi più elevati.


Tutte le funzionalità più evolute di HitmanPro.Alert, che però pongono il software qualche gradino più in alto, almeno allo stato attuale, rispetto ad EMET e Malwarebytes Antiexploit, possono essere provate gratuitamente per 30 giorni.

HitmanPro.Alert può essere utilizzato senza problemi accanto ad un antivirus/antimalware tradizionale anche perché, diversamente rispetto ad altri prodotti, non provoca alcuna incompatibilità con gli altri software per la sicurezza e la protezione del sistema.

A proposito di protezione antiransomware, il video che pubblichiamo di seguito rispecchia il comportamento di HitmanPro.Alert allorquando un utente dovesse provare ad avviare il ransomware Locky:



Come si vede nel video, HitmanPro.Alert utilizza più linee di difesa. Nell'esempio, il programma prima blocca il caricamento di codice eseguibile disposto utilizzando una macro malevola inserita in un documento Word.
Anche disattivando la corrispondente misura di protezione nelle impostazioni di HitmanPro.Alert, il programma riesce comunque a bloccare il ransomware Locky prima che cifri i file personali dell'utente facendo leva sulla tecnologia Cryptoguard.

Proteggersi dai ransomware e dai malware ancora sconosciuti con HitmanPro.Alert

Esaminando il diagramma di flusso, si comprende immediatamente l'utilità di HitmanPro.Alert: dove le altre misure di protezione dovessero fallire. Si pensi ad esempio già il mancato blocco dell'email malevola di Locky a livello provider o locale, ad esempio usando filtri antispam/antivirus; per non parlare del mancato riconoscimento dell'allegato malevolo usando un antimalware basato sull'uso esclusivo delle firme virali.


HitmanPro.Alert
Download: surfright.nl
Compatibile con: Windows XP, Vista, 7, Windows 8, Windows 8.1, Windows 10
Licenza: freeware/trial


  1. Avatar
    nV 25
    03/03/2016 11:41:12
    Citazione: dovendo scegliere la versione free, trà hitman alert e mbam anti-exploit qual' è la più efficace?
    le versioni *gratuite* sono semplicemente imparagonabili: MBAE, pur castrato rispetto alla versione commerciale, offre a tutti gli effetti una protezione AntiExploit su elementi di uso comune. L'altro, invece, è privato fondamentalmente...di tutto, in poche parole non ha senso di esistere visto che i suoi cavalli di battaglia (AntiExploit, CryptoGuard) sono disabilitati. Detto in altri termini, utilizzeresti una soluzione che non serve praticamente a nulla (se non giusto essere informato quando il browser è compromesso -modulo SafeBrowsing-) http://s8.postimg.org/t05gp27g1/Image_1.jpg
  2. Avatar
    Leg@l4s
    03/03/2016 11:18:43
    dovendo scegliere la versione free, trà hitman alert e mbam anti-exploit qual' è la più efficace?
  3. Avatar
    Sampei Nihira
    01/03/2016 18:27:59
    Vorrei intervenire per tentare di fare un pò di chiarezza principalmente per l'aspetto anti-exploit. Lo scopo è quello di aiutare per quanto possibile in una scelta consapevole i lettori che ultimamente sono secondo me un pò troppo "bombardati" dall'allarmismo ransomware. Che ovviamente non nego. Si è scritto da tutte le parti che molti di noi si schierano a favore della diffusione (cioè dell'installazione) degli anti-exploit. Io,è notorio sono uno di coloro. Chi sceglie di installare un anti-exploit lo fà in primis per proteggere (teoricamente) pochi software che ha installato nel proprio pc. Io personalmente ne ho solo 2: 1) Il browser - che nel mio caso è Firefox 2) Plugin Adobe Flash Sempre teoricamente un utente previdente cerca di avere installati nel proprio pc softwares per quanto possibile soggetti il meno possibile ad uno storico exploit recente positivo. E questo si verifica con il link sotto: https://www.exploit-db.com/search/ Esempio se installassi Foxit Reader che nel 2016 + 2015 ha 4 exploit rispetto a SumatraPDF che ne ha per i soliti anni 0 aumento le probabilità che questo software che ho deciso di installare sia soggetto anche per l'anno in corso ad un possibile exploit. Per un motivo semplicissimo dovuto allo storico exploit. Tutti i softwares sono soggetti a bug potenzialmente sfruttabili da exploit. Quelli però che hanno uno storico "più a rischio" sono per questo fatto,teoricamente, più vulnerabili. Chi ricerca però nel link sopra gli exploit dei browsers + plugin quali Flash.................si allarma. La quantità supera alla grande quella presente eventualmente in altri sw. Altri sw che è possibile sostituire dopo aver preso visione e coscienza. Ho già fatto l'esempio sopra dei lettori pdf. Ma io se mi trovo bene con quel browser e mi occorre Flash.........sono in un vicolo cieco. Quindi anche solo avere una protezione come quella di MBAE free che ha come scopo principale quella di proteggere gli exploit di browser + plugin piuttosto che niente mette gli utenti al riparo da exploit che potrebbero colpire i loro sistemi solo "causa" browser. Il browser in parole povere è la porta più aperta. Poi è ovvio che chi ha installato alla fine un anti-exploit mette in lista anche altri sw sensibili. Se quindi gli exploit possono colpire il mio sistema principalmente causa il browser,benchè ho installato un anti-exploit il mio compito è quello di effettuare un setup dello stesso meglio possibile lato privacy e sicurezza. A molti sembrerà strano ma effettuare le poche scelte suddette vi metterà automaticamente al riparo anche dalla maggior parte dei ransomware......così in modo quasi automatico. Quindi ben vengano prodotti a pagamento come HPA3. Ma sempre bene che siano presenti nel panorama anche prodotti free come EMET. O prodotti anche con una versione free come MBAE. Altro esempio spero esplicativo. Se io avessi 3 pc tutti e tre con dati egualmente importanti non solo li doterei di 3 anti-exploit diversi ma probabilmente anche di 3 browser diversi.......ecc ecc...... Questo principio di difesa è quello che almeno statisticamente assicura ai 3 pc una percentuale maggiore di sopravvivenza in caso di attacco. Io spero che il discorso di cui sopra sia servito come spunto di riflessione per almeno qualche lettore. Perchè lo scopo è sempre lo stesso. Mettere i bastoni trà le ruote il più possibile ai "soliti noti" che causano danni ai nostri sistemi esclusivamente per loro vantaggio. Grazie dell'attenzione.
Proteggersi dai ransomware e dai malware ancora sconosciuti con HitmanPro.Alert - IlSoftware.it