Protezione da rootkit con account limitato ?

uziel · 28-08-2006, 22:16

Mi chiedevo: se si accede ad Internet con account limitato (non come amministratore quindi) si è protetti maggiormente contro i famigerati rootkit o è inutile ?

manganese · 28-08-2006, 23:53

Questa è una domanda interessante.
Mi verrebbe da risponderti di nò (cioè è inutile il tipo di account) perchè il rootkit opera a un livello "più basso" nel sistema operativo (quindi se ne frega dei privilegi).
Ma mi piacerebbe sentire il parere di chi ne sà di più.

W.S. · 29-08-2006, 12:36

un rootkit ha proprio lo scopo di elevare i privilegi dell'utente attuale a quelli di root (admin) quindi, tutto sommato, "no".
Non è del tutto inutile però: non essendo amministratore, per ottenere diritti elevati bisogna forzare il sistema e se lo mantieni aggiornato è probabile che la maggior parte dei rootkit in giro non abbiano effetto.
Navigando come amministratore invece è molto più semplice installare qualcosa che permette all'attaccante di operare come root a piacimento.

uziel · 29-08-2006, 14:56

lucas84 · 29-08-2006, 15:19

ring0 ring1 ring2 e ring3 i rootikit possono funzionare con questi privilegi
Ring0=ammministratore
Ring1 e ring2=amministratore con privilegi minori
Ring3=User

eraser · 29-08-2006, 16:05

non è del tutto esatto

Innanzitutto molti sistemi operativi, tra i quali Windows e Linux, non fanno uso dei Ring 1 e 2 - sebbene potrebbero, ma l'architettura di Windows non ne richiede l'uso.

L'argomento dei rings, degli "anelli" è particolarmente delicato.

La famiglia di processori Intel x86 utilizza una particolare tecnica per tenere controllo degli accessi alle zone di memoria, chiamata appunto RINGS.
Esistono 4 rings: RING0 - ha il massimo dei privilegi, accesso completo alla macchina; RING1 e RING2 - meno privilegi del RING0; RING3 - l'anello più esterno, che ha i limiti maggiori per quanto riguarda l'accesso alle zone di memoria.

L'architettura di Windows non fa uso dei rings 1 e 2, sebbene possano essere utilizzati come detto prima.
Chi gira nel RING 0? Il kernel del sistema operativo, quello che ha necessità del controllo totale della macchina. Chi gira nel RING 3? La maggior parte dei programmi che si utilizzano tutti i giorni, vedi Word o il Internet Explorer.
Qual è lo scopo di un rootkit? arrivare ad avere accesso al RING 0, cioè controllo completo della macchina. Per fare questo deve passare per forza dal RING 3, ci deve essere un dropper o qualcosa che installa il rootkit.

Allora sorge la domanda: ma come si passa dal RING 3 al RING 0? Abbastanza complicato, dico comunque che parte del controllo è fatta via software e in alcune circostanze, chiamando determinate funzioni, è possibile fare questo salto.

Non necessariamente se un tool antirootkit gira in modalità administrator vuol dire che sta girando nel RING 0. Alcuni semplici tool antirootkit per esempio girano da account amministratore ma sono configurati per girare nel RING 3.

Ciò che significa? Che dal RING 0 è possibile avere accesso a tutte le zone di memoria, dal RING 3 è impossibile avere accesso alle zone di memoria dei RING inferiori. Ergo, se un rootkit sta girando in RING 0 e un tool antirootkit gira in RING 3, il rootkit può modificare a suo piacimento i risultati della scansione.

Giusto per precisare il fatto dei RING

Marco

ferx · 29-08-2006, 16:11

Quote:

Originariamente inviato da W.S.

un rootkit ha proprio lo scopo di elevare i privilegi dell'utente attuale a quelli di root (admin) quindi, tutto sommato, "no".
Non è del tutto inutile però: non essendo amministratore, per ottenere diritti elevati bisogna forzare il sistema e se lo mantieni aggiornato è probabile che la maggior parte dei rootkit in giro non abbiano effetto.
Navigando come amministratore invece è molto più semplice installare qualcosa che permette all'attaccante di operare come root a piacimento.

Interessante. E con un power user secondo te come si comporterebbe?

lucas84 · 29-08-2006, 16:19

I ring sono in base al processore poco centra il sistema operativo,l'ho messo come esempio per far capire a che livello possono essere installati i rootkit

lucas84 · 29-08-2006, 16:25

Per esempio Ewido rileva il malware Agent.uj, ma non lo riesce ad eliminarlo,la risposta di uno del team Ewido è stata questa

Downloader.Agent.uj uses Ring 3 "Rootkit"-Technology... Unfortunately, the ewido security suite is not yet capable of removing rootkits.

kmarraff · 29-08-2006, 16:34

Scusatemi se mi intrometto nella discussione, non credo che ci sia per il momento un antivirus capace di eliminare completamente LinkOptimizer
Colgo l'occasione per complimentarmi per la spiegazione di eraser, davvero molto chiara, ottima direi

eraser · 29-08-2006, 16:38

Quote:

Originariamente inviato da lucas84

Downloader.Agent.uj uses Ring 3 "Rootkit"-Technology... Unfortunately, the ewido security suite is not yet capable of removing rootkits.

Esattamente

Infatti è un rootkit user-mode

lucas84 · 29-08-2006, 16:38

Secondo me, non c'è interesse nell'eliminarlo,evidentemente non è un malware molto diffuso, altrimenti i cleners fioccavano

lucas84 · 29-08-2006, 16:39

Quote:

Originariamente inviato da eraser

Esattamente

Infatti è un rootkit user-mode

Appunto, solo per far capire a che livello potrebbero operare

Ciao

kmarraff · 29-08-2006, 16:42

Tu dici

eppure ultimamente non si parla d'altro

lucas84 · 29-08-2006, 16:44

in altre nazioni,da quello che ho letto non si vede,solo in Italia e Germania se non sbaglio,comunque non andiamo off-topic senno sballiamo il tema principale

eraser · 29-08-2006, 16:50

mah, non è correto

Secondo statistiche Prevx, che ho potuto controllare, il malware è stato avvistato anche in altre nazioni, vedi anche USA.

Comunque, non lo so come mai non si muova nessuno...ho parlato personalmente con Dr.Web e Kaspersky e mi hanno assicurato che avrebbero preso in analisi la situazione.

Prevx è quasi pronta per il removal tool a quanto ne so, lo ho quasi in fase di testing praticamente.

Fine OT

sto gromozon è un incubo per tutti

lucas84 · 29-08-2006, 16:53

Secondo altri, la larga diffusione è in Italia e Germania,poi anche in africa ci possono essere dei casi isolati

Kaspersky, non lo vede,bho non so il perchè,ciao

eraser · 29-08-2006, 16:54

Quote:

Originariamente inviato da lucas84

Secondo altri, la larga diffusione è in Italia e Germania,poi anche in africa ci possono essere dei casi isolati

Kaspersky, non lo vede,bho non so il perchè,ciao

non parlo ovviamente di casi isolati

lucas84 · 29-08-2006, 16:59

qui http://www.suspectfile.com/forum/viewtopic.php?t=272
c'è il kav installato

Fresco fresco

lucas84 · 29-08-2006, 17:01

Stavo pensando,ma se si prova a reinstallare il sistema su se stesso il malware scompare?bho qualche beta tester?

28-08-2006, 22:16	#1
uziel Senior Member Iscritto dal: Mar 2001 Città: Genova Messaggi: 930	Protezione da rootkit con account limitato ? Mi chiedevo: se si accede ad Internet con account limitato (non come amministratore quindi) si è protetti maggiormente contro i famigerati rootkit o è inutile ? __________________ CM 690 II Adv, ASRock Z77 Pro4 , Intel i5-2500K, CM Hyper 412S Noctua NF-S12A PWM fan, Enermax Liberty 620 W, Sapphire AMD Radeon 7850 2048MB GDDR5, 2x4 Gb DDR3 Geil Black Dragon 1600 Mhz , Asus Xonar D1 , Samsung 830 MZ-7PC128B, WD WD5000AAKS, Samsung HD501LJ, Seagate ST350020AS, Samsung SMXL2370

29-08-2006, 12:36	#3
W.S. Senior Member Iscritto dal: Nov 2005 Messaggi: 1868	un rootkit ha proprio lo scopo di elevare i privilegi dell'utente attuale a quelli di root (admin) quindi, tutto sommato, "no". Non è del tutto inutile però: non essendo amministratore, per ottenere diritti elevati bisogna forzare il sistema e se lo mantieni aggiornato è probabile che la maggior parte dei rootkit in giro non abbiano effetto. Navigando come amministratore invece è molto più semplice installare qualcosa che permette all'attaccante di operare come root a piacimento. __________________ [ W.S. ]

29-08-2006, 14:56	#4
uziel Senior Member Iscritto dal: Mar 2001 Città: Genova Messaggi: 930	__________________ CM 690 II Adv, ASRock Z77 Pro4 , Intel i5-2500K, CM Hyper 412S Noctua NF-S12A PWM fan, Enermax Liberty 620 W, Sapphire AMD Radeon 7850 2048MB GDDR5, 2x4 Gb DDR3 Geil Black Dragon 1600 Mhz , Asus Xonar D1 , Samsung 830 MZ-7PC128B, WD WD5000AAKS, Samsung HD501LJ, Seagate ST350020AS, Samsung SMXL2370 Ultima modifica di uziel : 29-08-2006 alle 15:00.

29-08-2006, 15:19	#5
lucas84 Senior Member Iscritto dal: Aug 2005 Messaggi: 1267	ring0 ring1 ring2 e ring3 i rootikit possono funzionare con questi privilegi Ring0=ammministratore Ring1 e ring2=amministratore con privilegi minori Ring3=User __________________ Il dubbio è il padre del sapere.

29-08-2006, 16:05	#6
eraser Senior Member Iscritto dal: Nov 2001 Città: Bastia Umbra (PG) Messaggi: 6395	non è del tutto esatto Innanzitutto molti sistemi operativi, tra i quali Windows e Linux, non fanno uso dei Ring 1 e 2 - sebbene potrebbero, ma l'architettura di Windows non ne richiede l'uso. L'argomento dei rings, degli "anelli" è particolarmente delicato. La famiglia di processori Intel x86 utilizza una particolare tecnica per tenere controllo degli accessi alle zone di memoria, chiamata appunto RINGS. Esistono 4 rings: RING0 - ha il massimo dei privilegi, accesso completo alla macchina; RING1 e RING2 - meno privilegi del RING0; RING3 - l'anello più esterno, che ha i limiti maggiori per quanto riguarda l'accesso alle zone di memoria. L'architettura di Windows non fa uso dei rings 1 e 2, sebbene possano essere utilizzati come detto prima. Chi gira nel RING 0? Il kernel del sistema operativo, quello che ha necessità del controllo totale della macchina. Chi gira nel RING 3? La maggior parte dei programmi che si utilizzano tutti i giorni, vedi Word o il Internet Explorer. Qual è lo scopo di un rootkit? arrivare ad avere accesso al RING 0, cioè controllo completo della macchina. Per fare questo deve passare per forza dal RING 3, ci deve essere un dropper o qualcosa che installa il rootkit. Allora sorge la domanda: ma come si passa dal RING 3 al RING 0? Abbastanza complicato, dico comunque che parte del controllo è fatta via software e in alcune circostanze, chiamando determinate funzioni, è possibile fare questo salto. Non necessariamente se un tool antirootkit gira in modalità administrator vuol dire che sta girando nel RING 0. Alcuni semplici tool antirootkit per esempio girano da account amministratore ma sono configurati per girare nel RING 3. Ciò che significa? Che dal RING 0 è possibile avere accesso a tutte le zone di memoria, dal RING 3 è impossibile avere accesso alle zone di memoria dei RING inferiori. Ergo, se un rootkit sta girando in RING 0 e un tool antirootkit gira in RING 3, il rootkit può modificare a suo piacimento i risultati della scansione. Giusto per precisare il fatto dei RING Marco __________________ :: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio ::

28-08-2006, 23:53	#2
manganese Senior Member Iscritto dal: Feb 2006 Messaggi: 642	Questa è una domanda interessante. Mi verrebbe da risponderti di nò (cioè è inutile il tipo di account) perchè il rootkit opera a un livello "più basso" nel sistema operativo (quindi se ne frega dei privilegi). Ma mi piacerebbe sentire il parere di chi ne sà di più.

29-08-2006, 16:19	#8
lucas84 Senior Member Iscritto dal: Aug 2005 Messaggi: 1267	I ring sono in base al processore poco centra il sistema operativo,l'ho messo come esempio per far capire a che livello possono essere installati i rootkit __________________ Il dubbio è il padre del sapere.

29-08-2006, 16:25	#9
lucas84 Senior Member Iscritto dal: Aug 2005 Messaggi: 1267	Per esempio Ewido rileva il malware Agent.uj, ma non lo riesce ad eliminarlo,la risposta di uno del team Ewido è stata questa Downloader.Agent.uj uses Ring 3 "Rootkit"-Technology... Unfortunately, the ewido security suite is not yet capable of removing rootkits. __________________ Il dubbio è il padre del sapere.

29-08-2006, 16:34	#10
kmarraff Senior Member Iscritto dal: May 2006 Città: Vasto Messaggi: 462	Scusatemi se mi intrometto nella discussione, non credo che ci sia per il momento un antivirus capace di eliminare completamente LinkOptimizer Colgo l'occasione per complimentarmi per la spiegazione di eraser, davvero molto chiara, ottima direi __________________ :--->:--->:---)

29-08-2006, 16:38	#12
lucas84 Senior Member Iscritto dal: Aug 2005 Messaggi: 1267	Secondo me, non c'è interesse nell'eliminarlo,evidentemente non è un malware molto diffuso, altrimenti i cleners fioccavano __________________ Il dubbio è il padre del sapere.

29-08-2006, 16:42	#14
kmarraff Senior Member Iscritto dal: May 2006 Città: Vasto Messaggi: 462	Tu dici eppure ultimamente non si parla d'altro __________________ :--->:--->:---)

29-08-2006, 16:44	#15
lucas84 Senior Member Iscritto dal: Aug 2005 Messaggi: 1267	in altre nazioni,da quello che ho letto non si vede,solo in Italia e Germania se non sbaglio,comunque non andiamo off-topic senno sballiamo il tema principale __________________ Il dubbio è il padre del sapere.

29-08-2006, 16:50	#16
eraser Senior Member Iscritto dal: Nov 2001 Città: Bastia Umbra (PG) Messaggi: 6395	mah, non è correto Secondo statistiche Prevx, che ho potuto controllare, il malware è stato avvistato anche in altre nazioni, vedi anche USA. Comunque, non lo so come mai non si muova nessuno...ho parlato personalmente con Dr.Web e Kaspersky e mi hanno assicurato che avrebbero preso in analisi la situazione. Prevx è quasi pronta per il removal tool a quanto ne so, lo ho quasi in fase di testing praticamente. Fine OT sto gromozon è un incubo per tutti __________________ :: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio ::

29-08-2006, 16:53	#17
lucas84 Senior Member Iscritto dal: Aug 2005 Messaggi: 1267	Secondo altri, la larga diffusione è in Italia e Germania,poi anche in africa ci possono essere dei casi isolati Kaspersky, non lo vede,bho non so il perchè,ciao __________________ Il dubbio è il padre del sapere.

29-08-2006, 16:59	#19
lucas84 Senior Member Iscritto dal: Aug 2005 Messaggi: 1267	qui http://www.suspectfile.com/forum/viewtopic.php?t=272 c'è il kav installato Fresco fresco __________________ Il dubbio è il padre del sapere.

29-08-2006, 17:01	#20
lucas84 Senior Member Iscritto dal: Aug 2005 Messaggi: 1267	Stavo pensando,ma se si prova a reinstallare il sistema su se stesso il malware scompare?bho qualche beta tester? __________________ Il dubbio è il padre del sapere.

Strumenti
Mostra una versione stampabile Invia questa pagina per email