Proteggersi dai ransomware e dai malware ancora sconosciuti con HitmanPro.Alert

I prodotti HitmanPro sviluppati dalla olandese SurfRight sono noti ormai da anni. Si tratta di soluzioni che non solo forniscono una “seconda opinione” rispetto alle soluzioni antimalware più conosciute e popolari ma consentono di proteggersi dai ransomware e dai malware non ancora conosciuti.

Come abbiamo più volte ricordato, di recente anche nell’articolo Antivirus gratuiti, ecco i migliori, la protezione basata sull’utilizzo esclusivo dei database delle firme virali ha miseramente fallito.
Posto che l’utente, con un comportamento attento e mai avventato, è sempre la migliore linea di difesa contro la totalità delle minacce, è ormai pacifico che i prodotti antimalware che poggiano solamente sull’utilizzo delle firme virali non possono agire tempestivamente allorquando si trovino a gestire malware da poco affacciatisi in Rete.

Da poco acquistati da Sophos, i prodotti HitmanPro aiutano a proteggere gli endpoint ossia quello che è universalmente considerato l’anello più debole della catena. È cosa risaputa che, anche per attaccare le grandi aziende e gli enti pubblici di importanza strategica, gli aggressori provano in primis a bersagliare le workstation dei dipendenti e dei collaboratori. Questi sistemi, infatti, contengono spesso informazioni sensibili utili per aggredire l’intera infrastruttura aziendale, soprattutto quando il tema della sicurezza sia trattato in azienda in maniera un po’ superficiale.

Proteggere adeguatamente gli endpoint e, quindi, prevenire l’errore umano od il comportamento pericoloso da parte dei singoli utenti, degli impiegati, dei dipendenti, dei collaboratori, assume perciò un’importanza a dir poco fondamentale per non correre rischi.

Cos’è HitmanPro.Alert e perché può proteggere da ransomware e malware sconosciuti?

HitmanPro.Alert è innanzi tutto un antiexploit, un’applicazione che rappresenta un’eccellente linea di difesa contro quei codici dannosi che sfruttano vulnerabilità nelle varie applicazioni che non sono state ancora irrisolte.
E ciò non soltanto quando l’utente “si dimentica” di installare gli aggiornamenti di sicurezza rilasciati dai produttori ma anche e soprattutto quando un malware utilizzasse vulnerabilità non ancora sanate neppure dalle software house sviluppatrici.

Nell’articolo Browser più sicuro, quali i passaggi da seguire abbiamo visto come, evidentemente, il browser (ed i plugin in esso installati dall’utente) sia l’elemento software più oggetto di attacchi in assoluto.

Con la parola exploit si fa riferimento al codice dannoso che – sfruttando una vulnerabilità software irrisolta (perché, appunto, non sistemata installando gli ultimi aggiornamenti o perché non ancora sanata dal produttore dell’applicazione) – permette di effettuare operazioni potenzialmente dannose all’insaputa dell’utente, acquisire privilegi più elevati oppure provocare attacchi DoS (Denial of Service).

Un antiexploit come HitmanPro.Alert costituisce un ottimo baluardo a difesa del sistema e dei dati in esso conservati perché protegge dagli exploit surclassando tool come EMET e Malwarebytes Antiexploit.
HitmanPro.Alert è capace di prevenire le infezioni causate da minacce sconosciute anche senza avere una precedente conoscenza sulla natura delle stesse.

HitmanPro.Alert riesce a rilevare e neutralizzare praticamente la totalità dei nuovi malware, siano essi trojan bancari o ransomware. Il programma, infatti, è capace di stabilire quando funzionalità chiave del sistema operativo sono richieste oppure modificate da programmi di terze parti, soprattutto se non affidabili.
L’analisi del comportamento dei programmi operata da HitmanPro.Alert consente di portare alla luce attività sospette e bloccarle per tempo prima che il malware possa causare problemi.
La tecnologia Cryptoguard integrata in HitmanPro.Alert, ad esempio, consente di riconoscere nuovi ransomware e bloccarli non appena dovessero entrare in esecuzione, ad esempio, per un errore dell’utente (“doppio clic selvaggio” senza riflettere) o sfruttando un exploit (che è comunque un errore dell’utente se non ha avuto l’accortezza di installare tutti gli aggiornamenti di sicurezza per i software installati sul sistema in uso).
Con Cryptoguard, qualunque tentativo di crittografare i dati dell’utente viene immediatamente bloccato sul nascere.

Una volta installato, inoltre, HitmanPro.Alert può far ritenere ai programmi dannosi di essere eseguiti in un ambiente di test. Si pensi agli ambienti virtualizzati che le aziende che sviluppano soluzioni antimalware usano per diagnosticare ed esaminare il comportamento delle varie minacce. Questo semplice espediente consente di proteggersi da molti malware dannosi perché questi semplicemente non si attivano sugli ambienti di test e quindi non mandano in esecuzione il loro codice nocivo.

HitmanPro.Alert utilizza, ed è una prerogativa unica nel suo genere, i registri hardware (MSR) messi a disposizione nelle CPU Intel (Core i3, i5 e i7 dalla seconda generazione in avanti) per effettuare la cosiddetta analisi Control-Flow Integrity (CFI) coadiuvata in hardware.
L’analisi CFI permette di prevenire operazioni non previste nell’applicazione originale e bloccare quelli che vengono chiamati attacchi ROP (Return-oriented programming).
Tali attacchi generalmente sfruttano porzioni di codice legittimo, già presenti sul sistema, per compiere operazioni malevole.

Il software di SurfRight, acquisito da Sophos a dicembre 2015, estende le funzionalità di protezione di Windows quali Address Space Layout Randomization (ASLR), Data Execution Prevention (DEP) e Structured Exception Handler Overwrite Protection (SEHOP) implementando tutta una serie di misure di sicurezza aggiuntive.

I lettori interessati possono trovare un elenco delle misure antiexploit di HitmanPro.Alert in questo documento, a partire da pagina 11 in poi.

HitmanPro, analisi comportamentale cloud-assisted

HitmanPro.Alert integra comunque il modulo base HitmanPro che consente di effettuare una scansione del sistema alla ricerca di oggetti dannosi o potenzialmente tali.
Al termine della scansione iniziale è possibile che, anche su un sistema assolutamente pulito, HitmanPro riporti la presenza di alcuni componenti sospetti. Va detto che spesso si tratta di cookie che il programma indica come “traccianti”. Si può gestirli come meglio si crede (ad esempio eliminarli) tenendo comunque presente che sono ben altre le minacce e, soprattutto, le abilità dell’applicazione di SurfRight.

Alcuni componenti presenti sul sistema possono essere trasmessi ai server di HitmanPro in maniera del tutto automatica per effettuarne una scansione cloud.
Se la scansione del sistema dovesse perdurare per troppo tempo, suggeriamo verificare che HitmanPro non stia provando a caricare qualche file di grandi dimensioni (rallentando anche le prestazioni dell’intera rete locale).

A noi è successo ad esempio con il software legittimo Genymotion che HitmanPro pretendeva di caricare sui suoi server. L’upload può comunque essere interrotto in qualunque momento da parte dell’utente.

La scansione cloud eseguita da HitmanPro permette di scovare eventuali minacce non rilevate con l’approccio basato sull’analisi comportamentale.

Le protezioni attivate da HitmanPro.Alert

Uno dei fiori all’occhiello di HitmanPro.Alert è la sua interfaccia utente chiara e pulita. Il programma, seppur tecnologicamente avanzato, propone all’utente un’interfaccia ridotta all’osso.
È questo, senza dubbio, un aspetto positivo che non obbliga gli utenti a dover misurare con impostazioni talvolta di difficile comprensione.

Per avere maggiori informazioni su ciò che HitmanPro.Alert sta facendo, suggeriamo di accedere alle impostazioni del programma, cliccando sull’icona raffigurante un piccolo ingranaggio quindi scegliere Interfaccia avanzata, per utenti esperti.

Per impostazione predefinita, ed è quella che deve essere lasciata selezionata, HitmanPro.Alert, nel caso in cui dovesse rilevare una minaccia, provvederà ad “uccidere” l’applicazione malevola (Terminate application).

La versione gratuita di HitmanPro.Alert consente di effettuare una scansione del sistema in modo da verificare che, ad esempio, l’antivirus installato non abbia mancato di rilevare e neutralizzare qualche minaccia. Inoltre, verifica che non si sia vittima di attacchi man-in-the-middle rivolti essenzialmente nei confronti di siti di online banking, servizi di e-commerce e webmail.
Sempre nella versione gratuita, HitmanPro.Alert consente di mantenere attiva la vaccinazione (fa apparire il sistema in uso come quello di un ricercatore antimalware provocando l’automatica disattivazione di diverse minacce); di proteggere i dati inseriti da eventuali keylogger; di inibire accensioni non autorizzate della webcam; di bloccare componenti che attivano funzioni server potenzialmente pericolose così da rendere il sistema controllabile in modalità remota.

Diversamente rispetto a EMET e Malwarebytes Antimalware, però, il grosso delle protezioni antimalware e antiransomware vengono abilitate in HitmanPro.Alert solamente previa attivazione di una licenza a pagamento.

Parliamo delle varie mitigazioni antiexploit, della già citata tecnologia antiransomware Cryptoguard, della protezione dei processi (previene che un malware rimuova l’eseguibile di un processo legittimo e sicuro), della protezione anti-BadUSB (BadUSB: pubblicato un video dimostrativo) e della difesa contro l’utilizzo di fonti di carattere malevole per l’acquisizione di privilegi più elevati.

Tutte le funzionalità più evolute di HitmanPro.Alert, che però pongono il software qualche gradino più in alto, almeno allo stato attuale, rispetto ad EMET e Malwarebytes Antiexploit, possono essere provate gratuitamente per 30 giorni.

HitmanPro.Alert può essere utilizzato senza problemi accanto ad un antivirus/antimalware tradizionale anche perché, diversamente rispetto ad altri prodotti, non provoca alcuna incompatibilità con gli altri software per la sicurezza e la protezione del sistema.

A proposito di protezione antiransomware, il video che pubblichiamo di seguito rispecchia il comportamento di HitmanPro.Alert allorquando un utente dovesse provare ad avviare il ransomware Locky:

Come si vede nel video, HitmanPro.Alert utilizza più linee di difesa. Nell’esempio, il programma prima blocca il caricamento di codice eseguibile disposto utilizzando una macro malevola inserita in un documento Word.
Anche disattivando la corrispondente misura di protezione nelle impostazioni di HitmanPro.Alert, il programma riesce comunque a bloccare il ransomware Locky prima che cifri i file personali dell’utente facendo leva sulla tecnologia Cryptoguard.

Esaminando il diagramma di flusso, si comprende immediatamente l’utilità di HitmanPro.Alert: dove le altre misure di protezione dovessero fallire. Si pensi ad esempio già il mancato blocco dell’email malevola di Locky a livello provider o locale, ad esempio usando filtri antispam/antivirus; per non parlare del mancato riconoscimento dell’allegato malevolo usando un antimalware basato sull’uso esclusivo delle firme virali.