I rootkit penetrano nel cuore della macchina

7 Aprile 2009 · Archiviato in Approfondimenti, Sicurezza 

Approfondimenti - Una lente impietosa puntata sui temi caldi, retrospettive appassionate e dettagliate, riflessioni oltre le apparenze Da quando, nel 2005, le sgradevoli politiche commerciali di Sony BMG portarono alla luce la possibilità di prendere il controllo del sistema operativo per interferire con il normale funzionamento del PC e delle periferiche, l’evoluzione dei software rootkit ha subito un’accelerazione senza precedenti. L’interesse per l’argomento è cresciuto nella ricerca e tra le gang di cyber-criminali, con il risultato che si può apprezzare nel corso di questi giorni: i rootkit hanno raggiunto i livelli più bassi della circuiteria dei dispositivi elettronici infettando router di rete, BIOS e persino la modalità di funzionamento più privilegiata dei processori di classe x86.

Mentre tutte le attenzioni sono rivolte al worm Conficker, un malware complesso ma piuttosto convenzionale per quanto riguarda gli obiettivi dell’infezione, l’avanguardia di codici malevoli di nuova concezione batte i primi colpi con psyb0t, il worm per router Linux. Individuato attraverso il network DroneBL, psyb0t dovrebbe essere alla base della prima botnet che attacca i dispositivi di rete, installandosi all’interno di router e modem (A)DSL senza lasciare traccia di se sui PC collegati on-line.

Il malware è progettato per infettare la memoria interna dei dispositivi basati su piattaforma MIPS e OS Linux, con le interfacce per i protocolli Telnet, SSH e HTTP accessibili da remoto e soprattutto con un’accoppiata username+password di scarsa robustezza. Una volta preso il controllo del router, psyb0t blocca le porte usate dai suddetti servizi tagliando fuori l’utente dai pannelli di configurazione, si collega al centro di comando&controllo su un server IRC da cui attende ordini e comincia a scansionare la rete alla caccia di nomi utente e password, server phpMyAdmin e MySQL vulnerabili e nuovi router da infettare.

Secondo i dati forniti da DroneBL, la botnet di psyb0t è riuscita a collezionare almeno 100.000 router zombi prima che il suo burattinaio decidesse di spegnerla, sostenendo di aver agito con puro spirito di ricerca e senza aver lanciato attacchi DDoS (come DroneBL al contrario sostiene) o aver rubato dati sensibili da nessuno. Il malware è risultato essere sostanzialmente invisibile anche per utenti più accorti per la sicurezza della propria macchina, perché essendo l’attacco assolutamente inedito a nessuno sarebbe mai venuto in mente di prevedere un’infezione di dispositivi diversi da un PC.

Qualunque fosse l’obiettivo dello sconosciuto hacker responsabile, a ogni modo, il suo operato è servito a mettere in evidenza la scarsa considerazione delle pratiche di sicurezza fondamentali quando si tratta di router: DroneBL sostiene che “il 90% dei router e modem coinvolti in questa botnet vi si trovano dentro a causa dell’incompetenza degli utenti“, colpevoli di aver impiegato password mediocri o di non aver modificato quelle di default (”root”, “admin”, “1234″ eccetera).

Le società di sicurezza hanno prontamente preso posizione di fronte alla nuova minaccia, e nonostante la sostanziale incapacità dei software antimalware anche solo nel riconoscere l’infezione in corso produttrici quali Symantec e Avira non hanno fatto mancare i loro consigli su come diagnosticare il problema (porte bloccate), eliminare il malware (hard reset del dispositivo e aggiornamento con l’ultima versione disponibile del firmware) e assicurarsi che non si ripresenti più (cambiare la maledetta password di default).

Codice Psyb0t

Psyb0t rappresenta un’evoluzione pericolosa del codice autoreplicante con intenti potenzialmente malevoli, ma quello che è stato presentato durante l’edizione 2009 della conferenza sulla sicurezza CanSecWest va bel oltre i router di rete, mirando a colpire un componente fondamentale delle architetture x86 a 32 e 64 bit. I ricercatori Anibal Sacco e Alfredo Ortega hanno dimostrato la possibilità di installare una piccola porzione di codice eseguibile nel chip di memoria del BIOS di sistema, mettendo fuori gioco qualsiasi software di sicurezza e garantendosi il pieno controllo del PC a ogni avvio, prima ancora che venga inizializzato il settore uno del disco rigido.

Il proof-of-concept, per quanto sia clamoroso perché apparentemente non sfrutta alcuna oscura vulnerabilità ma solo il normale funzionamento del PC, necessita dell’accesso fisico alla macchina o dei privilegi di accesso “root” sul sistema operativo (qualunque esso sia). Nonostante questo, però, i ricercatori sottolineano le profonde implicazioni della loro scoperta: “Possiamo modificare un driver per installare un rootkit pienamente operativo. Abbiamo persino un pezzo di codice in grado di rimuovere o disabilitare l’antivirusdicono Sacco e Ortega.

Il lavoro del duo segue quello di John Heasman, che nel 2007 fu in grado di dimostrare la possibilità di sfruttare la memoria integrata sulle schede PCI per installare malware sul PC aprendo così le porte ai rootkit hardware. Scovata la possibilità di attaccare efficacemente il BIOS, Sacco e Ortega sono ora al lavoro per sviluppare un “rootkit da BIOS” pienamente funzionante, una bestia che andrebbe così ad aggiungersi all’infame Mebroot, il rootkit da Master Boot Record, nello zoo delle (potenziali) minacce più pericolose e invisibili sin qui note.

Il malware conquista il cuore della macchina, viene eseguito nel ring 0 del processore e Symantec ipotizza scenari da spionaggio industriale senza precedenti. L’infezione si fa persistente così come il controllo dei sistemi coinvolti, e se non bastasse il controllo del BIOS c’è qualcuno che è riuscito a trovare il modo di passare a un livello persino inferiore nella scala delle priorità di esecuzione all’interno delle CPU x86.

Al di sotto del ring 0 (livello del kernel del sistema operativo) e del ring -1 (modalità ipervisore utilizzata per la gestione hardware delle virtual machine) giace infatti il System Management Mode (o SMM), che è appunto la modalità di esecuzione del codice macchina più privilegiata esistente nelle architetture Intel e viene usata per eseguire compiti indipendenti dal sistema operativo come le funzionalità di gestione energetica. L’accesso alla modalità SMM è generalmente limitato al solo BIOS, e necessita di un interrupt SMI (System Management Interrupt) specifico per essere attivato.

Effetto rootkit

Un rootkit che fosse in grado di sfruttare in qualche modo la modalità SMM rappresenterebbe un autentico “game over” non solo per l’utente ma anche per il sistema operativo (qualsiasi esso sia), perché passare al di sotto del ring -1 significa avere la possibilità di attaccare le misure di protezione eseguite in modalità kernel e persino l’ipervisore, aprendo le porte a scenari di controllo e invisibilità impossibili da combattere per qualsiasi software di sicurezza e anti-rootkit.

I ricercatori provano ad attaccare la modalità SMM sin dal 2006, e proprio in occasione del CanSecWest è stata dimostrata l’esistenza di una nuova falla con cui sarebbe possibile ottenere credenziali di lettura e scrittura non autorizzate alla zona di memoria protetta SMRAM (System Management RAM), dove appunto risiede la modalità SMM. Il problema, confermato anche da Joanna Rutkowska e Rafal Wojtczuk in un rapporto separato, dimostra per l’ennesima volta che la reale priorità della sicurezza informatica è la prevenzione: se l’infezione raggiunge il cuore della macchina, come già è possibile adesso e lo sarà sempre di più in futuro, la battaglia finisce e la partita è bella che persa.

Condividi questo articolo!
  • OKNOtizie
  • Facebook
  • Diggita
  • ZicZac
  • Wikio Italia
  • StumbleUpon
  • Technorati

Articoli correlati

Commenti

Lascia una risposta