Applicabilità ed Efficacia delle Tecniche di Evasione della Sicurezza degli Endpoint

Abstract

Questa tesi mira a presentare un'analisi completa delle strategie di defense-evasion attualmente in uso più rilevanti, ovvero le tecniche e le tattiche che gli autori degli attacchi possono impiegare per evitare di essere rilevati, bloccati o rimossi dai sistemi di sicurezza installati su un ambiente target, con particolare attenzione ai metodi utilizzati per aggirare i software antivirus e le soluzioni Endpoint Detection and Response (EDR). Abbiamo inoltre definito i principi fondamentali che caratterizzano i sistemi EDR e antivirus, esaminandone i meccanismi di rilevamento, le strategie difensive e i limiti intrinseci. Attraverso analisi teoriche e implementazioni pratiche, dimostriamo e analizziamo una serie di tecniche di evasione, tra cui offuscamento, crittografia, trasformazioni polimorfiche, process injection e metodi avanzati di manipolazione della memoria. Una parte consistente della tesi è dedicata anche allo sviluppo pratico di un prototipo di malware per il furto di informazioni (infostealer), progettato per valutare l'efficacia delle attuali soluzioni di sicurezza. Il malware sviluppato è stato valutato su diverse soluzioni di sicurezza, tra cui software antivirus predefiniti, EDR commerciali e prodotti antivirus di terze parti. Queste soluzioni sono state implementate e testate sia su macchine virtuali appositamente installate che su sistemi di produzione reali, grazie alla piena collaborazione dei proprietari. I risultati dei nostri test indicano che nessuna soluzione di sicurezza è completamente immune alle minacce sviluppate su misura; inoltre, abbiamo notato con sorpresa che anche alcune tecniche di evasione banali possono comunque riuscire a eludere il rilevamento.

This thesis aims to present a comprehensive analysis of the most relevant defense-evasion strategies currently in use, namely the techniques and tactics that attackers can employ to avoid being detected, blocked or removed by the security systems installed on a target environment, with a particular focus on methods used to bypass antivirus software and Endpoint Detection and Response (EDR) solutions. We also set out the fundamental principles that characterize EDRs and antivirus systems by examining their detection mechanisms, defensive strategies, and intrinsic limitations. Through theoretical analysis and practical implementations, we then demonstrate and analyze a range of evasion techniques, including obfuscation, encryption, polymorphic transformations, process injection, and advanced memory-manipulation methods. A substantial portion of the thesis is also devoted to the practical development of an information-stealer (infostealer) malware prototype, designed to assess the effectiveness of current security solutions. The developed malware was evaluated across multiple security solutions, including default antivirus software, commercial EDR offerings, and third-party antivirus products. These solutions were deployed and tested both in specifically installed virtual machines and in actual production systems, thanks to the full cooperation of the owners. Our test results indicate that no security solution is completely immune to custom-developed threats; furthermore, we noted with surprise that even some trivial evasion techniques could still successfully bypass detection.