Rootkit, la nuova ondata di malware invisibile

Questo articolo intende fornire una spiegazione di base sui rootkit e sulle modalità con cui questa tecnologia può essere sfruttata dagli autori di malware per infiltrarsi nei Pc in maniera estremamente difficile da rilevare e neutralizzare.



[ZEUS News - www.zeusnews.it - 16-11-2005]

Il peluche Tim

Il nome "rootkit" deriva dal termine "root", ovvero la figura del "superuser" nei sistemi operativi appartenenti alla famiglia UNIX. Negli anni Ottanta gli hacker erano soliti penetrare all'interno di macchine UNIX per installare un programma che, di fatto, apriva una backdoor al loro interno consentendo di rientrarvi in qualunque momento con tutti i privilegi di "root". Il termine "rootkit" è ora usato in modo similare dai moderni ricercatori anche programmi basati su Windows.

Il sistema operativo fornisce ai programmatori un insieme di funzioni di base utilizzabili per effettuare azioni comuni come aprire un file o stabilire una connessione di rete. Questo set di funzioni è conosciuto come API (Application Programmer's Interface). I rootkit intercettano particolari funzioni della API in modo tale che le informazioni restituite da queste ultime siano false.

Immaginiamo cosa potrebbe fare un rootkit che si impossessasse di una funzione relativa ai file: potrebbe facilmente impedire la visualizzazione di un certo file o di una determinata cartella sul disco. Potrebbe nascondere se stesso e qualunque altro file agli occhi di qualsiasi programma, da Windows Explorer fino al semplice comando "dir".

Potente, vero? Ma non è finita qui. Un rootkit potrebbe nascondere la presenza di programmi pericolosi attivi nel sistema così come qualunque elemento del registry modificato per i propri scopi. Ecco perché i rootkit stanno diventando così popolari tra gli autori di malware: come minimo, garantiscono loro un manto d'invisibilità.

Va bene, ma come fanno tutto questo?

I rootkit possono dirottare le chiamate a funzioni del sistema operativo e restituire informazioni fasulle. Ma come riescono a far ciò?

Esistono due strategie principali per questo scopo, corrispondenti alla loro classificazione: rootkit funzionanti in user-mode e rootkit attivi in kernel-mode.

Nei microprocessori moderni i programmi possono girare in kernel-mode o in user-mode. La differenza principale risiede nel livello di accesso agli altri programmi residenti in memoria. I programmi kernel-mode possono accedere a tutta la memoria (possono sovrascrivere qualunque altro dato o programma e compiere qualsiasi operazione immaginabile), mentre i programmi user-mode sono confinati in un proprio spazio di memoria e non possono influire su aree esterne. La distinzione tra queste due modalità permette di ottenere ambienti di calcolo molto più sicuri, come ad esempio può essere Windows XP rispetto a Windows 9x.

Esistono metodi per alterare il comportamento del sistema anche in user-mode, cosa che i moderni programmi spyware hanno spesso messo a frutto per loro tornaconto, ma girare in kernel-mode è l'obiettivo per antonomasia di qualunque attaccante. Un programma pericoloso capace di installarsi come driver in kernel-mode potrebbe manipolare qualunque struttura di dati presente in memoria, persino il codice del sistema operativo. I puntatori alle funzioni delle API si troverebbero a puntare invece al codice del rootkit.

Si noti qui l'uso del termine "driver": solamente i device driver possono ottenere un livello di accesso così alto. I permessi sono elementi vitali per la sicurezza di una rete: se tutti gli utenti disponessero dei privilegi dell'amministratore, chiunque sarebbe in grado di caricare driver - anche quelli pericolosi. Sebbene di ciò si sia già parlato in passato, le nuove minacce kernel-mode evidenziano la necessità di considerare anche quest'elemento ai fini della sicurezza aziendale quando si progettano nuovi sistemi. Se ci fossero meno utenti dotati dei privilegi dell'amministratore, i rootkit sarebbero una minaccia meno grave.

È vero che sviluppare un rootkit è una cosa difficile. Tuttavia lo sviluppo continuo di queste minacce è per sua natura aperto, e il codice sorgente necessario a creare rootkit è liberamente scaricabile da Internet. Proprio come altre tipologie di malware registrate di recente, diventa liberamente disponibile sempre più codice di questo genere - e il suo formato modulare permette anche a personaggi inesperti di aggiungerlo con relativa facilità ai loro programmi nonostante la complessità intrinseca dei rootkit.

La connessione tra bot e spyware

I rootkit sono essenzialmente una tecnologia: per loro natura non sono dunque né buoni né cattivi. Piuttosto, vengono sempre più frequentemente usati come sistema per rendere invisibile spyware o altro malware. E poiché i rootkit sono facilmente disponibili, i creatori di worm bot hanno iniziato a nascondere le loro creazioni dietro la cortina dei rootkit allo scopo di non farsi individuare per un tempo più lungo.

Ciò significa che in futuro potremo attenderci un aumento dei casi di rootkit rilevati. Dal punto di vista di un attaccante, saltare sul carro dei rootkit presenta diversi vantaggi: codice sorgente liberamente scaricabile e un meccanismo di rilevamento separato che, se scoperto, non inficia in ogni caso il programma principale.

La sfida degli antivirus: intercettazione ed eliminazione

Il problema che deve affrontare ora la maggior parte degli antivirus riguarda il rilevamento dei rootkit: la difficoltà deriva dal fatto che il malware protetto dai rootkit risulta installato a livello di sistema, per cui le tradizionali tecniche di scansione antivirus non sono efficaci - e il malware può continuare a funzionare indisturbato.

Le tre aree in cui le aziende possono concentrare l'intercettazione dei rootkit sono le seguenti:
1. Intervento. Rilevare e fermare il rootkit prima che infetti il sistema; per questo si può usare il meccanismo di verifica delle segnature (o firme) dei programmi di installazione.
2. Rilevamento comportamentale. Rilevare il rootkit mentre viene installato sul sistema. In teoria è possibile analizzare il comportamento dei programmi in esecuzione evidenziando le azioni simili a quelle tipiche di un rootkit. Un problema è dato dal fatto che tecniche di questo genere sono facilmente preda di falsi positivi, dato che programmi legittimi possono presentare schemi di comportamento simili (è il caso ad esempio dei normali device driver). Questo è pertanto un modo rischioso per rilevare i rootkit.
3. Pulizia. Rilevare i rootkit una volta che sono installati. L'obiettivo è quello di scoprire i driver fasulli mentre sono attivi, intercettando una loro porzione non nascosta.

Come accade con tutto il resto del malware, anche le tecniche dei rootkit sono in costante evoluzione e i loro autori scoprono nuovi metodi per nascondere processi, file e registry in maniera efficace contrastando i tentativi dei produttori di antivirus di rilevarli. Si tratta di una battaglia senza soste che potrebbe non avere mai fine, anche se è chiaro che i rootkit non sono destinati a scomparire e continueranno anzi a presentare una sfida alquanto seria. I produttori di antivirus devono concentrarsi sui sistemi per intercettare, rilevare e neutralizzare questa minaccia crescente.

David Sancho, Trend Micro Europa

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.

Commenti all'articolo (ultimi 5 di 18)

Si, Combofix[/url] riesce a rilevare attività rootkit e, in molti casi, a eliminarla. Ma va assolutamente usato sotto la supervisione di un utente esperto. [url=http://forum.zeusnews.com/viewtopic.php?p=194966#194966]GMER[/url] è veramente ottimo per le scansioni rootkit. Esistono anche:... Leggi tutto
18-4-2012 18:19

E Combofix (per XP), secondo voi li sradica i rootkit? una volta facendo una scansione su un PC mi ha rilevato una "attività rootikit".
18-4-2012 18:08

ci sarebbe anche [non l'ho provato] Blacklight della F-Secure, in versione beta e con expiration date.
1-12-2005 17:25

Per i rootkit esiste il Rootkit revealer della sysinternals, il piu' e' capire come interpretare i risultati.
1-12-2005 17:18

ciao ioSOLOio, grazie per la risposta. non credo che comunque esistano per ora programmi di scansione rootkit, e anche se esistessero credo non servano a niente visto che i rootkit sono installati a livello di sistema e quindi antivirus ecc non possono fare nulla. Staremo a vedere, per ora userò tranquillamente questo sony vaio
1-12-2005 16:38

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Ogni quanto tempo il tuo Pc è affetto da malware?
Una o due volte l'anno.
Tre o più volte l'anno.
E' successo una volta e mai più.
Mai.

Mostra i risultati (2526 voti)
Aprile 2020
Coronavirus, ragazzini si divertono a creare malware in tema
Vulnerabilità in Zoom, a rischio le password di Windows
Marzo 2020
Oltre un milione di e-book gratis sull'Internet Archive
La truffa della chiavetta Usb che arriva per posta
Windows 10, Pannello di Controllo verso la pensione
Windows 10, in un video un assaggio delle novità
Cellulari, app e privacy ai tempi della pandemia
Coronavirus Challenge, leccare una toilette per notorietà
Windows 10, patch di emergenza per evitare il nuovo WannaCry
L'open source contro il coronavirus
Windows 10, l'update KB4535996 mina le prestazioni
L'Unione Europea vuole un proprio sistema operativo
Addio, Dada.it
Febbraio 2020
Smartphone, la UE rivuole le batterie rimovibili
Il ransomware che prende di mira gli italiani
Tutti gli Arretrati


web metrics