Bootkit: la sfida del 2008. Analisi dei nuovi mezzi di ‘guerriglia' usati dai virus writer

Kaspersky Lab, azienda specializzata in sicurezza informatica, annuncia la pubblicazione dell’articolo “Bootkit: la sfida del 2008” . L’articolo analizza in modo dettagliato il problema bootkit che nel 2008 ha mostrato chiaramente la pericolosità del MalWare 2.0. La faccenda bootkit ha messo in luce, infatti, i nuovi mezzi di “guerriglia” utilizzati oggi sia dai virus writer che dall’industria antivirus e l’importanza di sviluppare nuove tecnologie per la sicurezza informatica.

La causa di innumerevoli problemi

La continua evoluzione del MalWare 2.0 è la causa di innumerevoli problemi per l’industria antivirus. Il principale problema è, a nostro avviso, l’inefficacia delle tradizionali soluzioni antivirus, basate esclusivamente sulle definizioni di virus e l’analisi euristica dei file, e di conseguenza incapaci di prevenire attacchi di virus e di riparare sistemi già infetti. Dalla sua scoperta l’industria del virus writing ha dotato il bootkit di un’ampia gamma di tecnologie che gli permettono di diffondersi e di funzionare come se fosse parte di una botnet. Il programma possiede, inoltre, una serie di metodi per non essere rilevato nelle prime fasi dell’infezione, durante gli attacchi agli altri utenti e i tentativi di bloccare la botnet.

Un approccio estremamente organizzato

Esempi di questi metodi sono un approccio estremamente organizzato e le tecnologie utilizzate: lo sfruttamento di dozzine di vulnerabilità in altre applicazioni, lo shift del boot di sistema, la creazione di applicazioni in C++ per sistemi operativi *nix, protocolli di crittografia, metodi per attivare dei bot nel sistema, etc. I metodi utilizzati dai cyber criminali per infettare gli utenti sono alquanto insoliti: sostituiscono il collegamento legittimo ad un sito con un collegamento infetto. E’ sufficiente un click dell’utente sul collegamento sostituito per aprire il sito ed infettare il sistema. A questo punto un server analizza le richieste in entrata ed ottiene informazioni sul sito da cui l’utente proviene, il suo indirizzo IP, il browser utilizzato, i plug-in ecc. All’utente viene poi assegnato un ID salvato nel server. Ha così inizio uno sfruttamento personalizzato che viene gestito da un’applicazione vulnerabile presente nel computer infetto. Quest’ultimo viene, a sua volta, infettato da un programma Trojan creato dal server attraverso la server key e l’ID dell’utente. Una volta caricato nel sistema, il programma Trojan, avviato dall’applicazione vulnerabile, estrae il bootkit installer e trasmette l’ID dell’utente. Il bootkit installer modifica il settore del boot e carica il programma sul hard disk. A questo punto il programma ordina al computer il riavvio. Il bookit prende così il pieno controllo del computer infetto nascondendo la sua presenza e agendo da bot all’interno di una botnet. Una volta effettuata la connessione al comando botnet e al centro di controllo, il computer riceve un pacchetto criptato che viene decodificato dal bootkit. Il pacchetto contiene un file DLL che viene caricato nella memoria dal bootkit ma non sul disco. In questo modo la presenza del bootkit non viene rilevata sia quando il computer è analizzato attraverso i metodi tradizionali, sia quando viene fatta una scansione attraverso un programma antivirus. La DLL è un modulo per il furto della password e per intercettare il traffico di rete dell’utente. Un altro metodo utilizzato dai cyber criminali è il continuo passaggio dal centro di comando al centro di controllo per gestire la botnet. Questo passaggio avviene da un sito ad un altro, due o tre volte al giorno. Queste botnet sono difficili da bloccare ma soprattutto da individuare. L’hacker può, infatti, spostare il centro di controllo e di comando in qualsiasi momento e a centinaia di domini. Senza dubbio questo metodo è pensato per ostacolare sia i concorrenti che vogliono rubare la botnet che le aziende di antivirus e le forze dell’ordine.

Un sistema del genere richiede diversi mesi

Sviluppare un sistema del genere richiede diversi mesi di lavoro per essere sicuri che il sistema funzioni senza intoppi e per l’acquisto e la creazione di nuovi exploit, domini e hosting. Il sistema non viene tuttavia creato, programmato e realizzato da una o due persone ma da diversi gruppi di cyber criminali che lavorano a stretto contatto assumendo ciascuno il controllo di un’area del progetto. La vicenda bootkit ha evidenziato una serie di problemi per la sicurezza informatica degli utenti. Tutte le tecnologie, analizzate sopra, vengono oggi ampiamente utilizzate dalla maggior parte dei programmi maligni. Il bootkit racchiude tutte le questioni che abbiamo affrontato negli ultimi tre mesi del 2008: il browser come vettore di infezioni, tecnologie rootkit, botnet, furti di dati dell’utente, crittografia, offuscamento e tecnologie “anti-antivirus”. L’unico modo per combattere efficacemente questi minacce così complesse è l’uso di un’ampia gamma di tecnologie di difesa: un antivirus per il web, un filtraggio del traffico dei dati, un analizzatore delle applicazioni, una sandbox, un analizzatore del traffico di rete e un firewall. Una soluzione antivirus oggi dovrebbe, infatti, essere in grado non solo di bloccare rootkit ma anche le sue “sottospecie”a cui appartengono i bootkit.

(23 dicembre 2008)

© 2002-2012 Key4biz