Associati
Difendersi con le TTP e la Pyramid of Pain
A cura di Martina Fonzo
Negli ultimi anni, gli attacchi informatici ai dispositivi mobili sono diventati sempre più complessi, con malware che riescono a superare i controlli di sicurezza e diffondersi persino attraverso marketplace ufficiali. Gli attori malevoli hanno perfezionato le loro tecniche, usando metodi come la code obfuscation e il dynamic code loading. In pratica, si tratta di mascherare il comportamento dannoso di un’applicazione, che si attiva solo dopo l’installazione, magari attraverso aggiornamenti o moduli scaricabili in seguito. Questo trucco permette ai malware di passare inosservati durante i controlli preliminari, e spesso gli antivirus basati su firme statiche non riescono a individuarli perché il codice dannoso resta dormiente fino al momento giusto.
Un altro problema è l’uso crescente di botnet mobili, reti di dispositivi infetti che gli attori malevoli sfruttano per attacchi su larga scala, furto di dati o la diffusione di altro malware. In Italia, il numero di dispositivi mobili compromessi è in costante aumento, molte volte a causa di applicazioni che sembrano innocue al momento dell’installazione, ma che poi si trasformano in strumenti per scopi malevoli.
Tradizionalmente, una delle tecniche per difendersi da queste minacce è il monitoraggio degli Indicatori di Compromissione (IoC), come indirizzi IP, domini o hash di file sospetti. Tuttavia, il problema con gli IoC è che sono facilmente modificabili. Un attaccante può cambiare velocemente un dominio o un indirizzo IP per evitare di essere rilevato. Questo rende difficile basare l’intera strategia di difesa su questi indicatori, che spesso hanno una durata molto breve.
Ed è qui che entra in gioco il concetto della Pyramid of Pain. Secondo questa teoria, più in alto si trova un elemento nella piramide, maggiore è la difficoltà per un attaccante di modificarlo. Gli IoC, che si trovano nella parte bassa della piramide, sono i più facili da cambiare. Ma se saliamo nella piramide, troviamo le Tecniche, Tattiche e Procedure (TTP), ovvero i metodi e le strategie che gli attori malevoli usano per portare a termine un attacco. Cambiare i TTP richiede molto più tempo e impegno rispetto alla semplice modifica di un dominio o di un hash. Questo rende i TTP un bersaglio molto più efficace per chi si occupa di sicurezza.
Concentrarsi sui TTP significa costringere l’attaccante a cambiare il suo approccio, una cosa che richiede tempo e risorse. Questo rallenta le operazioni malevole e dà alle difese il tempo necessario per reagire e migliorare la propria capacità di rilevamento. Ad esempio, un malware mobile può cambiare facilmente il dominio del suo server di comando e controllo (C2) per evitare di essere bloccato, ma il modo in cui comunica con i dispositivi infetti – il protocollo utilizzato o le tecniche di crittografia impiegate – rimane spesso costante. Monitorando questi comportamenti, è possibile individuare la minaccia anche se gli IoC sono cambiati.
La Threat Intelligence è uno strumento fondamentale per questo tipo di analisi. Mentre gli IoC ci danno indicazioni su minacce note, l’analisi dei TTP ci aiuta a comprendere e prevedere il comportamento degli attaccanti, permettendoci di reagire in maniera più efficace. Questo approccio non significa ignorare gli IoC, che restano comunque importanti, ma semplicemente spostare l’attenzione su elementi che richiedono più tempo e fatica agli attaccanti per essere modificati.
In definitiva, per migliorare davvero la sicurezza mobile, dobbiamo andare oltre il semplice monitoraggio degli IoC. Sì, sono utili, ma sono solo il primo livello di difesa. Concentrarsi su elementi più difficili da cambiare, come le TTP, ci permette di avere un vantaggio significativo nel fermare gli attaccanti. La Pyramid of Pain ci insegna che, spingendo un attaccante a dover modificare le sue TTP, possiamo guadagnare tempo prezioso per rafforzare le nostre difese e migliorare la detection. In un panorama di minacce in continua evoluzione, questo approccio ci dà la possibilità di rimanere un passo avanti rispetto agli attacchi.