SubVirt: il prototipo dei nuovi malware secondo Microsoft

[Redazione di Hardware Upg]

Link all'Articolo: http://www.hwupgrade.it/articoli/sic...oft_index.html

Microsoft mostra i dati di una ricerca, condotta in collaborazione con l'università del Michigan, in cui illustra una possibile tecnologia di sviluppo per i futuri malware. Esiste il prototipo ma non l'antidoto e questo particolare irrita gli specialisti di sicurezza informatica.

Click sul link per visualizzare l'articolo.

[Ombra77]

A me sembra tanto uno stratagemma per spingere le piattaforme integranti TPM.

[Max Power]

Fantastico.

[DevilsAdvocate]

Bello perche' MS, pur di supportare TPM (e' non e' neanche cosi' sicuro che TPM
possa proteggere da malwares come questi, visto che potrebbero intervenire a
livello BIOS con l'acpi e quindi prima del kernel e delle varie tecniche di crittatura)
cerca di "aiutare" gli scrittori di malware a scrivere software piu' aggressivo....

Tra parentesi ho qualche dubbio sui cronometri in uso alla Microsoft, 53 secondi per
avviare Linux e 23 per avviare XP..... che diavolo di Linux hanno usato? Ma
soprattutto, per avviare in 23 secondi XP, c'era qualcos'altro installato oltre
alla shell ed internet explorer????

[Ombra77]

Quote:

Originariamente inviato da DevilsAdvocate

Bello perche' MS, pur di supportare TPM (e' non e' neanche cosi' sicuro che TPM
possa proteggere da malwares come questi, visto che potrebbero intervenire a
livello BIOS con l'acpi e quindi prima del kernel e delle varie tecniche di crittatura)
cerca di "aiutare" gli scrittori di malware a scrivere software piu' aggressivo....

Tra parentesi ho qualche dubbio sui cronometri in uso alla Microsoft, 53 secondi per
avviare Linux e 23 per avviare XP..... che diavolo di Linux hanno usato? Ma
soprattutto, per avviare in 23 secondi XP, c'era qualcos'altro installato oltre
alla shell ed internet explorer????

il mouse probabilmente, pare addirittura una tastiera ps2...

in ogni modo è palesemente una assurdità per chi ha un minimo di conoscenza di sistemi operativi; dall'altro lato sono gran paroloni che spingeranno gli utenti a dotarsi presto di dispositivi TC compliant per essere al sicuro (da loro stessi più che altro).

tenetevi stretto il vostro vecchio hardware.

[bjt2]

Qualcuno conosce il SMM (System Management Mode)? E' una modalità di esecuzione delle CPU x86 ancora più a basso livello... Vi siete mai chiesti come in alcuni portatili (mi ricordo un Dell), anche a S.O. avviato (era una Mandrake 8, quindi non è che potesse avere chissà quale supporto a questa feature) con la pressione di una hotkey visualizzavano il BIOS e permettevano di tornare al S.O.? Beh, con il SMM... E' tutto invisibile. Si programma da BIOS in certi registri. Ovviamente anche da kernel mode si può fare, ma Windows lo evita accuratamente appunto perchè qualche BIOS (non tutti) potrebbe aver implementato qualche feature particolare, tipo il BIOS sempre disponibile, controlli volume / luminosità via hotkey ecc...

Beh, credo che anche sfruttando il SMM si possa creare un rootkit...

Oooops! Ora ho svelato un altro trucco ai malware writers.... Che cattivone che sono!

Seriamente... Invito gli interesati a scaricarsi i manuali dettagliati di un qualsiasi processore recente (io ho usato quelli di un A64/Opteron dal sito di AMD, ma credo che anche gli INTEL supportino il SMM...)

[ronthalas]

23 secondi per XP... beh da qualche parte dovranno pur fare pubblicità gratuita anti-Linux no?

Penso sarebbe carino poter approfondire ulteriormente, con ottica aziendale, il rischi connessi a questa faccenda... se è vero che un VMBR si può notare agli occhi di un utente esperto, ciò non è detto lo si possa notare così facilmente su un server, specie se questo non viene guardato molto di frequente o è semi custodito... Server che mediamente non hanno un boot di 53 secondi... (il Dell 2800 a freddo ci mette un minuto solo per il BIOS e gli SCSI-RAID)

[bist]

Quote:

Originariamente inviato da DevilsAdvocate

Tra parentesi ho qualche dubbio sui cronometri in uso alla Microsoft, 53 secondi per
avviare Linux e 23 per avviare XP..... che diavolo di Linux hanno usato? Ma
soprattutto, per avviare in 23 secondi XP, c'era qualcos'altro installato oltre
alla shell ed internet explorer????

Veramente da quello che ho sempre visto i tempi sono quelli... Linux ci mette di più ad avviarsi di Windows (a partità di servizi offerti... certo che se uno avvia Linux con un kernel minimale ci mette anche 10 secondi ).

Quote:

Va però considerato che in sistemi Windows un rallentamento dello start up è "fisiologico" con il passare del tempo.

Questo non è vero quantomeno con XP.

[Cybor069]

.. se la VM anzichè il virus è l'antivirus ?

ovviamente l'antivirus-VM andrebbe installato assieme alla macchina per grantire una certa sicurezza...

Ve lo immaginate un Symant*ec Security VM .... brrrr.... :-)

[bjt2]

Ma se fanno un malware che flasha la BIOS e ci si installa sopra???

[Cybor069]

Facciamo una flash protetta da switch hardware sulla mb.

[eraser]

Quote:

Originariamente inviato da bjt2

Ma se fanno un malware che flasha la BIOS e ci si installa sopra???

prova tu a fare un firmware, quale il bios, generico per tutte le schede madri che funzioni bene e che faccia partire il pc

Il massimo che puoi fare, e che ha fatto il virus Chernobyl durante la fine degli anni 90, è rovinarti la scheda madre sovrascrivendo il bios

[Cimmo]

Quote:

Originariamente inviato da bist

Questo non è vero quantomeno con XP.

ah perche' hanno eliminato il registro di sistema in XP? Mi era sfuggita questa.
Il degrado di Windows nel tempo, soprattutto se si installano/disinstallano molte applicazioni e' inevitabile.
Il registro non torna mai come prima e mano a mano raccoglie della roba che non serve piu', ma che rimane, sporca e rallenta il pc.

Lascia stare che poi se usi software di terze parti puoi "pulirlo" o altre amenita', rimane una tecnologia obsoleta e piena di insidie...

[Cimmo]

Quote:

Originariamente inviato da bjt2

Ma se fanno un malware che flasha la BIOS e ci si installa sopra???

Tecnicamente possibile, pero' difficile perche' data la grande varieta' di bios dovresti farne uno compatibile con tutti o tanti bios a seconda della mobo (impossibile), l'unica cosa che puo' fare e' eliminarlo per rendere inservibile la macchina.

[TROJ@N]

Quote:

Originariamente inviato da DevilsAdvocate

per avviare in 23 secondi XP, c'era qualcos'altro installato oltre alla shell ed internet explorer????

Mah confermo che con un Raptor senza tenere in considerazione le scermate iniziali di bios, il caricamento di winXp proSP2...a partire da schermo nero con barra di caricamento fino a desktop completamente aperto mi impiega 20 secondi al massimo,anche meno...30 max complessivamente....chiaramente ciò non accade a chi ha un SO ridotto a una latrina con 100 autoesecuzioni assieme a win...io ne ho 30-35....ma si può averne anche 22 compreso AV...

[bjt2]

Ma si è detto che questo "malware" MS sta in 100MB compressi, più di 200MB decompressi... Credo che ci stiano comodamente le BIOS modificate per tutte le schede madri prodotte sulla terra...

[Cimmo]

Quote:

Originariamente inviato da bjt2

Ma si è detto che questo "malware" MS sta in 100MB compressi, più di 200MB decompressi... Credo che ci stiano comodamente le BIOS modificate per tutte le schede madri prodotte sulla terra...

non e' quello il problema, e' il fatto che chi li testa TUTTI i bios? E quando escono nuove mobo? No ci vuole qualcos'altro... o magari una mod che funzia per "molti" bios

[SpyroTSK]

@ bjt2: Virus che scrivono il bios ce ne sono, pochi ma ce ne sono.

Per quanto riguarda la virtualizzazione di SO era ormai 2-3 anni che stavo pensando a una cosa simile e le mie idee erano proprio queste.
Non è nemmeno molto difficile fare una cosa simile, basta studiarsi i metodi di virtualizzazione.

Una possibile cura a questo rootkit potrebbe essere mettere una sorta di bios sugli hard disk in modo che il virus writer si dovranno studiare la macchina della vittima prima di poterne "assaporare il gusto"

Per il blocco della scrittura sul bios c'è già, software ma almeno c'è.
Volendo si potrebbe fare una protezione hardware con 2 chip e un ponticello, se il ponticello è su 1-2 si ha sola lettuna (switcha sul chip che LEGGE solamente il bios) e se è su 2-3 è in scrittura (switcha sul chip con lettura/scrittura per flashare e modificare le impostazioni) oppure torniamo nell'era del 286 che era tutto da ponticellare.

[Serpico78]

Una cosa non mi è chiara :
come ci è arrivato sul sistema?
E come ha avuto i privilegi di root per scrivere sull'Mbr?

[bjt2]

Comunque c'è il System Management Mode. Credo che sia nel documento per BIOS Developer degli A64... Lì è spiegato in dettaglio tutto quello che si può fare... Una sorta di super modalità al di sopra persino del S.O....