c.m.g
02-07-2007, 14:22
il primo bootkit
(notizia del 4 maggio 2007)
A fare compagnia ai rootkit ora arrivano i bootkit.
SecurityFocus ha pubblicato un'intervista (http://www.securityfocus.com/columnists/442) ai due autori indiani di Vbootkit, il primo rootkit che prende il controllo del sistema direttamente nella fase di boot:
A bootkit is a rootkit that is able to load from a boot-sectors (master boot record, CD , PXE , floppies etc) and persist in memory all the way through the transition to protected mode and the startup of the OS. It's a very interesting type of rootkit. All rootkits install when the OS is running because they use the OS' features to load (and also they use the Administrator privileges to install), but bootkits are different, they use the boot media to attack the OS , and thus survive. Vbootkit is a bootkit specific for Windows Vista.
Per inserire questo proof-of-concept nel sistema vi è bisogno dell'accesso fisico alla macchina, il che rappresenta ovviamente una importante limitazione. Ma una volta colpita una delle macchine in rete, in teoria il bootkit dovrebbe poter essere in grado di "infettare" anche le altre:
Now, just take another interesting scenario. vbootkit is running on a system in a company, it captures all MAC address, and at 00:00, in the silence of the midnight, the vbootkit system starts remote booting, and delivers the vbootkit code as boot code though PXE, so slowly and steadily, the whole organization gets going on vbootkit...
Una "feature" interessante dei bootkit è quella di consentire l'uso del sistema anche senza la famosa attivazione richiesta da Microsoft, cosa che mi fa pensare che potremmo iniziare presto a vederli nel mercato delle copie illegali del sistema operativo.
I due autori per ora non hanno rilasciato il codice sorgente al pubblico, fornendo tuttavia ai produttori di antivirus una stringa per il riconoscimento del programma.
(notizia del 4 maggio 2007)
A fare compagnia ai rootkit ora arrivano i bootkit.
SecurityFocus ha pubblicato un'intervista (http://www.securityfocus.com/columnists/442) ai due autori indiani di Vbootkit, il primo rootkit che prende il controllo del sistema direttamente nella fase di boot:
A bootkit is a rootkit that is able to load from a boot-sectors (master boot record, CD , PXE , floppies etc) and persist in memory all the way through the transition to protected mode and the startup of the OS. It's a very interesting type of rootkit. All rootkits install when the OS is running because they use the OS' features to load (and also they use the Administrator privileges to install), but bootkits are different, they use the boot media to attack the OS , and thus survive. Vbootkit is a bootkit specific for Windows Vista.
Per inserire questo proof-of-concept nel sistema vi è bisogno dell'accesso fisico alla macchina, il che rappresenta ovviamente una importante limitazione. Ma una volta colpita una delle macchine in rete, in teoria il bootkit dovrebbe poter essere in grado di "infettare" anche le altre:
Now, just take another interesting scenario. vbootkit is running on a system in a company, it captures all MAC address, and at 00:00, in the silence of the midnight, the vbootkit system starts remote booting, and delivers the vbootkit code as boot code though PXE, so slowly and steadily, the whole organization gets going on vbootkit...
Una "feature" interessante dei bootkit è quella di consentire l'uso del sistema anche senza la famosa attivazione richiesta da Microsoft, cosa che mi fa pensare che potremmo iniziare presto a vederli nel mercato delle copie illegali del sistema operativo.
I due autori per ora non hanno rilasciato il codice sorgente al pubblico, fornendo tuttavia ai produttori di antivirus una stringa per il riconoscimento del programma.