nV 25
30-12-2006, 16:36
Scusate se il titolo del thread non è troppo aderente a quello che sarà il proseguo del post ma (aimè) proprio non avevo idea di che nome dargli... :)
Cmq sia, cosa ho fatto?
Bè, semplicemente, ho deciso di mettere alla prova l'armamentario di cui dispongo (in firma...) per vedere come reagiva di fronte a quelle che oggi sono indiscutibilmente le più grosse minacce del "navigatore", e cioè i ROOTKIT. :(
Premesso che non sono un tecnico ma un semplice amatore, con questo post non ho certo la presunzione di volervi insegnare alcunchè (anche perchè, poi, se continuate la lettura, vedrete da soli che "da imparare non c'è proprio nulla"...) ma solo di farvi vedere quello che è accaduto realmente sul mio Pc.
Sarebbero anzi graditi eventuali commenti tecnici se qualcuno volesse integrare o spiegare meglio i meccanismi di funzionamento di questi malwares, spesso e volentieri veri e propri gioielli di tecnologia informatica ma, pur sempre, grandissimi figli di ** visto sia quello che potenzialmente possono combinare sui nostri sistemi sia per la loro difficoltà di rimozione.
NB: per i test che seguono mi sono avvalso di sample liberamente reperibili su siti specializzati (h**p://rootkit.com/index.php) e di un sample rintracciabile su sysinternals, in particolare, quello realizzato da PE386 e scaricabile da qui:
h**p://forum.sysinternals.com/forum_posts.asp?TID=8527&PN=2
Alla fine, per scrupolo, ho provveduto a RIPRISTINARE l'intero SO con un'immagine che mi ero precedentemente fatto.
Per quanto "innocui", questi sample sono pur sempre rootkit veri e propri per cui NON installateli!
Ok, finite le raccomandazioni, i "fatti".
Come 1° cosa ho disabilitato l'intero REAL TIME di KAV6, quindi i moduli file antivirus e Web antivirus.
Il motivo è semplice.
Simulare degli 0-days (per i meno pratici, minacce di cui ancora le software house antivirus non hanno rilasciato firme, per cui "a tutti gli effetti" è come se questi sample fossero "vere e proprie novità"...), lasciando cosi' tutto l'ONERE dell'intercettazione alla componente HIPS del mio sistema.
Di KIS 6 attivo, allora, c'era SOLO il PDM (=il nuovo modulo contro rootkit e compagnia bella) per cui, come dicevo poc'anzi, i test si sono scontrati contro Process Guard, RegDefend e il PDM.
LEZIONE che ne ho tratto:
talvolta la tecnologia dei malwares è migliore di quella delle nostre difese per quanta sia la cura riposta nella scelta delle stesse....
(vedi in proposito h**p://forum.sysinternals.com/forum_posts.asp?TID=8857&PN=2 dove in 1° pagina fa per l'appunto bella mostra di se questo:
"ACTIVE Rustock.b - FULLY INVISIBLE by NOD32.
// my comment: tech level of rustock is greatly higher than nod32"
o, per KAV6, quest'altro:
"Active rootkits vs KAV 6.0
Proactive defense - ON
All protection - enabled
......
KAV detects only inactive rootkits."
In sostanza, disponiamo di soluzioni "molto fragili" contro le "novità" :cry: e (probabilmente) l'UNICA vera MEDICINA è configurabile con la nostra abitudine d'uso del Pc:
o impariamo A NON CLICCARE SU QUALSIASI COSA (STRANA) ABBIAMO DI FRONTE, o ciccia....
E ora, i fatti che mi hanno portato alla "LEZIONE" sopra.
FUto advanced "contro tutti":
http://xs410.xs.to/xs410/06526/5zxa.JPG.xs.jpg (http://xs.to/xs.php?h=xs410&d=06526&f=5zxa.JPG)
intercettato da PG, non si arriva neppure al PDM &/o a RegDefend. (ho scelto di "aggredire" il processo ctfmon.exe, PID 1532)
http://xs410.xs.to/xs410/06526/6zxa.JPG.xs.jpg (http://xs.to/xs.php?h=xs410&d=06526&f=6zxa.JPG)
Vanquish:
http://xs410.xs.to/xs410/06526/7zxa.JPG.xs.jpg (http://xs.to/xs.php?h=xs410&d=06526&f=7zxa.JPG)
(qui si "sveglia" anche il PDM anche se PG ha fatto tutto il lavoro "sporco"...)
HackerDefender:
http://xs410.xs.to/xs410/06526/8zxa.JPG.xs.jpg (http://xs.to/xs.php?h=xs410&d=06526&f=8zxa.JPG)
RKDemo:
http://xs410.xs.to/xs410/06526/11zxa.JPG.xs.jpg (http://xs.to/xs.php?h=xs410&d=06526&f=11zxa.JPG)
PHIDE di PE386
SE lo si blocca fin dall'inizio, bene....
http://xs410.xs.to/xs410/06526/10zxa.JPG.xs.jpg (http://xs.to/xs.php?h=xs410&d=06526&f=10zxa.JPG)
altrimenti, TROMBATO! (e questa la posto grande...)
http://xs410.xs.to/xs410/06526/9zxa.JPG
Ecco il "gioiello" all'opera, in barba a TUTTI i miei HIPS....
Process Guard blocca l'installazione del driver del rootkit ma, anche cosi', phide_ex va tranquillo e beato nella lista dei processi e in C: appare un bel logghettino dove si può leggere chiaramente quello che il programmatore "ci dice"..... :D
Per dovere di cronaca ribadisco che ho acconsentito DI PROPOSITO all'esecuzione del file, SICURO PERO' che PG continuasse a fare il suo dovere come neglia altri casi.....ma, come dicevo, 'sto sample è mooolto rognoso....
Nell'unico caso in cui il PDM del KIS6 poteva dire la sua (il lavoro, infatti, fino ad ora era stato svolto da ProcessGuard senza chiamare in causa nient'altro...), in realtà LUI se ne stava beato in vacanza in Polinesia.....
Secondo me dai test sopra c'è di che riflettere visto che i ROOTKIT sono la vera piaga dei prossimi anni....
Se già gli utenti "protetti" vengono aperti come carciofi (se pur in casi sporadici..), figuriamoci gli utenti "normali" che non usano grandi armamentari per tutelare la propria macchina e che, per di più, CLICCANO SU OGNI COSA CHE VEDONO "purchè RESPIRI"...
Auguri alle software house che cmq hanno ancora molto lavoro da svolgere....
Cmq sia, cosa ho fatto?
Bè, semplicemente, ho deciso di mettere alla prova l'armamentario di cui dispongo (in firma...) per vedere come reagiva di fronte a quelle che oggi sono indiscutibilmente le più grosse minacce del "navigatore", e cioè i ROOTKIT. :(
Premesso che non sono un tecnico ma un semplice amatore, con questo post non ho certo la presunzione di volervi insegnare alcunchè (anche perchè, poi, se continuate la lettura, vedrete da soli che "da imparare non c'è proprio nulla"...) ma solo di farvi vedere quello che è accaduto realmente sul mio Pc.
Sarebbero anzi graditi eventuali commenti tecnici se qualcuno volesse integrare o spiegare meglio i meccanismi di funzionamento di questi malwares, spesso e volentieri veri e propri gioielli di tecnologia informatica ma, pur sempre, grandissimi figli di ** visto sia quello che potenzialmente possono combinare sui nostri sistemi sia per la loro difficoltà di rimozione.
NB: per i test che seguono mi sono avvalso di sample liberamente reperibili su siti specializzati (h**p://rootkit.com/index.php) e di un sample rintracciabile su sysinternals, in particolare, quello realizzato da PE386 e scaricabile da qui:
h**p://forum.sysinternals.com/forum_posts.asp?TID=8527&PN=2
Alla fine, per scrupolo, ho provveduto a RIPRISTINARE l'intero SO con un'immagine che mi ero precedentemente fatto.
Per quanto "innocui", questi sample sono pur sempre rootkit veri e propri per cui NON installateli!
Ok, finite le raccomandazioni, i "fatti".
Come 1° cosa ho disabilitato l'intero REAL TIME di KAV6, quindi i moduli file antivirus e Web antivirus.
Il motivo è semplice.
Simulare degli 0-days (per i meno pratici, minacce di cui ancora le software house antivirus non hanno rilasciato firme, per cui "a tutti gli effetti" è come se questi sample fossero "vere e proprie novità"...), lasciando cosi' tutto l'ONERE dell'intercettazione alla componente HIPS del mio sistema.
Di KIS 6 attivo, allora, c'era SOLO il PDM (=il nuovo modulo contro rootkit e compagnia bella) per cui, come dicevo poc'anzi, i test si sono scontrati contro Process Guard, RegDefend e il PDM.
LEZIONE che ne ho tratto:
talvolta la tecnologia dei malwares è migliore di quella delle nostre difese per quanta sia la cura riposta nella scelta delle stesse....
(vedi in proposito h**p://forum.sysinternals.com/forum_posts.asp?TID=8857&PN=2 dove in 1° pagina fa per l'appunto bella mostra di se questo:
"ACTIVE Rustock.b - FULLY INVISIBLE by NOD32.
// my comment: tech level of rustock is greatly higher than nod32"
o, per KAV6, quest'altro:
"Active rootkits vs KAV 6.0
Proactive defense - ON
All protection - enabled
......
KAV detects only inactive rootkits."
In sostanza, disponiamo di soluzioni "molto fragili" contro le "novità" :cry: e (probabilmente) l'UNICA vera MEDICINA è configurabile con la nostra abitudine d'uso del Pc:
o impariamo A NON CLICCARE SU QUALSIASI COSA (STRANA) ABBIAMO DI FRONTE, o ciccia....
E ora, i fatti che mi hanno portato alla "LEZIONE" sopra.
FUto advanced "contro tutti":
http://xs410.xs.to/xs410/06526/5zxa.JPG.xs.jpg (http://xs.to/xs.php?h=xs410&d=06526&f=5zxa.JPG)
intercettato da PG, non si arriva neppure al PDM &/o a RegDefend. (ho scelto di "aggredire" il processo ctfmon.exe, PID 1532)
http://xs410.xs.to/xs410/06526/6zxa.JPG.xs.jpg (http://xs.to/xs.php?h=xs410&d=06526&f=6zxa.JPG)
Vanquish:
http://xs410.xs.to/xs410/06526/7zxa.JPG.xs.jpg (http://xs.to/xs.php?h=xs410&d=06526&f=7zxa.JPG)
(qui si "sveglia" anche il PDM anche se PG ha fatto tutto il lavoro "sporco"...)
HackerDefender:
http://xs410.xs.to/xs410/06526/8zxa.JPG.xs.jpg (http://xs.to/xs.php?h=xs410&d=06526&f=8zxa.JPG)
RKDemo:
http://xs410.xs.to/xs410/06526/11zxa.JPG.xs.jpg (http://xs.to/xs.php?h=xs410&d=06526&f=11zxa.JPG)
PHIDE di PE386
SE lo si blocca fin dall'inizio, bene....
http://xs410.xs.to/xs410/06526/10zxa.JPG.xs.jpg (http://xs.to/xs.php?h=xs410&d=06526&f=10zxa.JPG)
altrimenti, TROMBATO! (e questa la posto grande...)
http://xs410.xs.to/xs410/06526/9zxa.JPG
Ecco il "gioiello" all'opera, in barba a TUTTI i miei HIPS....
Process Guard blocca l'installazione del driver del rootkit ma, anche cosi', phide_ex va tranquillo e beato nella lista dei processi e in C: appare un bel logghettino dove si può leggere chiaramente quello che il programmatore "ci dice"..... :D
Per dovere di cronaca ribadisco che ho acconsentito DI PROPOSITO all'esecuzione del file, SICURO PERO' che PG continuasse a fare il suo dovere come neglia altri casi.....ma, come dicevo, 'sto sample è mooolto rognoso....
Nell'unico caso in cui il PDM del KIS6 poteva dire la sua (il lavoro, infatti, fino ad ora era stato svolto da ProcessGuard senza chiamare in causa nient'altro...), in realtà LUI se ne stava beato in vacanza in Polinesia.....
Secondo me dai test sopra c'è di che riflettere visto che i ROOTKIT sono la vera piaga dei prossimi anni....
Se già gli utenti "protetti" vengono aperti come carciofi (se pur in casi sporadici..), figuriamoci gli utenti "normali" che non usano grandi armamentari per tutelare la propria macchina e che, per di più, CLICCANO SU OGNI COSA CHE VEDONO "purchè RESPIRI"...
Auguri alle software house che cmq hanno ancora molto lavoro da svolgere....