Dal passato al futuro, la nuova minaccia dei bootkit

10 Agosto 2009 · Archiviato in Approfondimenti, Sicurezza 

Approfondimenti - Una lente impietosa puntata sui temi caldi, retrospettive appassionate e dettagliate, riflessioni oltre le apparenze Come gli esperti di sicurezza hanno già abbondantemente messo in luce nei mesi e anni passati, la tendenza del codice malevolo più sofisticato è quella di riuscire a raggiungere i livelli più bassi della macchina da infettare, mettendo fuori gioco tutti i meccanismi di sicurezza e garantendosi il pieno controllo del PC e del sistema operativo. Questo trend si sposa sempre più con il termine “bootkit”, letteralmente rootkit bootabile, su cui si sono recentemente concentrate le attenzioni di ricercatori ed entusiasti del codice Assembly che hanno disvelato nuove, potenziali minacce con un cuore antico e pericolose vulnerabilità spacciate per misure di protezione a prova di malware.

Un bootkit è un rootkit che viene eseguito nelle prime fasi di avvio della macchina, un breve intervallo di tempo in cui il BIOS di sistema inizializza le periferiche e legge i dati di configurazione prima di passare il controllo al settore zero del disco fisso. Da lì il Master Boot Record interpreta la tabella delle partizioni prima di passare il controllo al settore di boot della partizione su cui risiede il sistema operativo, o in alternativa al boot loader in caso di una configurazione multi-boot.

I bootkit sono in grado di sostituirsi all’MBR per sequestrare gli interrupt del BIOS e agire così in anticipo ogni qual volta un software, il sistema operativo e i driver di basso livello compiano un’operazione di lettura/scrittura sul disco. Si tratta, come sa bene chi segue la “scena” della sicurezza informatica da tempi non sospetti, di un trucco usato dall’alba dei tempi digitali, con la sola differenza che 20 anni fa c’era il DOS al posto di Windows e i bootkit per sistemi Wintel si chiamavano virus da boot o da Master Boot Record.

Your PC is now Stoned. Again

Il trucco di abusare del BIOS è vecchio ma il risultato è efficace ancora oggi, come il rootkit Mebroot ha dolorosamente ricordato in questi anni agendo da componente della botnet nota come Torpig/Sinowal e come i ricercatori Anibal Sacco e Alfredo Ortega hanno dimostrato con il loro recente proof-of-concept di rootkit da BIOS. Gli stessi Sacco e Ortega sono tornati alla carica nel corso dell’edizione 2009 della conferenza Black Hat a Las Vegas, questa volta denunciando una grave vulnerabilità presente nel servizio di sicurezza consumer Computrace LoJack for Laptops.

Il tool viene venduto come un sistema di protezione dotato di una funzionalità di “home calling” permanente, che si connette periodicamente a un server centrale chiedendo istruzioni e che può essere usato, in caso di smarrimento o furto di un pc portatile, per cancellare il disco fisso o tracciare la posizione del dispositivo. LoJack for Laptops risiede nella ROM del sistema e funziona di concerto con il BIOS, e secondo quanto sostengono Sacco e Ortega si comporta come un vero e proprio rootkit persistente che “prende in ostaggio” il sistema, è invisibile e resistente a qualsiasi tentativo di eliminazione.

Un cyber-criminale potrebbe sfruttare a proprio vantaggio un simile meccanismo qualora fosse in grado di prendere il controllo della funzionalità di home calling, e secondo il lavoro del duo di ricercatori i dati di configurazione di LoJack inclusivi di indirizzo IP, porta e URL del server remoto sono gestiti senza particolari misure di sicurezza, cosicché risulterebbe triviale cercare e individuare tali dati all’interno del Registro di Windows e dello spazio tra le partizioni del disco fisso per poi modificarli e redirigere l’intero processo verso server malevoli.

Le vulnerabilità riscontrate da Sacco e Ortega nel software di sicurezza LoJack sono un problema dannatamente serio considerando che il sistema viene preinstallato sul 60% dei nuovi laptop messi in vendita. Ma parlando di abuso del BIOS e codice invisibile a Las Vegas è stato mostrato qualcosa di peggio, un bootkit che prende in prestito il nome e le strategie infettive da un boot virus storico e le trasforma in un’arma moderna presentata come il grimaldello definitivo per mettere fuori gioco la sicurezza di qualsiasi versione di Windows.

Codice del virus Stoned originale

La creazione del giovanissimo Peter Kleissner si chiama Stoned, così come quello Stoned che dal 1988 in poi è stato la base di molte varianti di boot virus per DOS incluso il famigerato Michelangelo. Kleissner descrive il suo tool come un progetto di ricerca il cui obiettivo è creare il bootkit più sofisticato di sempre, che potrebbe essere usato sia dai malware writer per ottenere il pieno controllo del sistema che dagli sviluppatori per caricare driver non certificati in Windows a scopo di test, applicazioni di boot come boot loader, software di backup e ripristino e quant’altro.

Attualmente Stoned fa notizia soprattutto per il fatto di essere in grado di infettare tutte le moderne versioni di Windows a 32 bit, da Windows 2000 fino alla Release Candidate di Windows 7, e per la sua capacità di by-passare la cifratura-disco di TrueCrypt. Il bootkit si sostituisce al Master Boot Record originale ed è sufficientemente flessibile da riuscire a manipolare gli eventuali boot loader preesistenti (come quello del suddetto TrueCrypt), gli interrupt del BIOS e le chiamate alle funzioni del kernel di Windows.

Secondo quanto sostiene il giovane austriaco il suo è un framework di sviluppo basato su plug-in dalle potenzialità ancora tutte da esplorare e raffinare, e un autentico “game over” per le politiche di sicurezza Microsoft ultimamente divenute parecchio stringenti su quello che un codice eseguibile (legittimo o malevolo che sia) può essere autorizzato a fare con il cuore del sistema operativo a causa di PatchGuard, la protezione integrata sulle versioni a 64 bit di Windows (XP-2008-Vista-7) che impedisce la modifica del kernel.

Stoned è un game over parzialmente mitigato dal fatto di non essere pienamente compatibile con il succitato PatchGuard, di poter girare solo sui BIOS tradizionali e non sulla nuova tecnologia Extensible Firmware Interface (EFI) che sul lungo periodo li dovrebbe sostituire e di non riuscire a by-passare le protezioni di basso livello del Trusted Platform Module con relativa cifratura completa dell’hard disk incluso il settore dell’MBR.

L’intraprendente Kleissner dice a ogni modo di essere al lavoro per risolvere tutte queste mancanze, rendendo il framework di Stoned completamente indipendente dal sistema operativo (Linux o Windows), implementando la compatibilità con i sistemi Windows a 64 bit e le difese hardware del TPM e infine battendo la tecnologia di attivazione degli OS Microsoft. Game Over da Los Angeles dunque e un benvenuto alla nuova incarnazione del sempiterno boot virus Stoned.

Condividi questo articolo!
  • OKNOtizie
  • Facebook
  • Diggita
  • ZicZac
  • Wikio Italia
  • StumbleUpon
  • Technorati

Articoli correlati

Commenti

Lascia una risposta