|
|||||||
|
|
|
 |
|
|
Strumenti |
30-12-2006, 16:36
|
#1 |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
i giochi "pericolosi" di nV 25.... 56k Warning!
Scusate se il titolo del thread non è troppo aderente a quello che sarà il proseguo del post ma (aimè) proprio non avevo idea di che nome dargli...
 Cmq sia, cosa ho fatto? Bè, semplicemente, ho deciso di mettere alla prova l'armamentario di cui dispongo (in firma...) per vedere come reagiva di fronte a quelle che oggi sono indiscutibilmente le più grosse minacce del "navigatore", e cioè i ROOTKIT.  Premesso che non sono un tecnico ma un semplice amatore, con questo post non ho certo la presunzione di volervi insegnare alcunchè (anche perchè, poi, se continuate la lettura, vedrete da soli che "da imparare non c'è proprio nulla"...) ma solo di farvi vedere quello che è accaduto realmente sul mio Pc. Sarebbero anzi graditi eventuali commenti tecnici se qualcuno volesse integrare o spiegare meglio i meccanismi di funzionamento di questi malwares, spesso e volentieri veri e propri gioielli di tecnologia informatica ma, pur sempre, grandissimi figli di ** visto sia quello che potenzialmente possono combinare sui nostri sistemi sia per la loro difficoltà di rimozione. NB: per i test che seguono mi sono avvalso di sample liberamente reperibili su siti specializzati (h**p://rootkit.com/index.php) e di un sample rintracciabile su sysinternals, in particolare, quello realizzato da PE386 e scaricabile da qui: http://h**p://forum.sysinternals.com...?TID=8527&PN=2 Alla fine, per scrupolo, ho provveduto a RIPRISTINARE l'intero SO con un'immagine che mi ero precedentemente fatto. Per quanto "innocui", questi sample sono pur sempre rootkit veri e propri per cui NON installateli! Ok, finite le raccomandazioni, i "fatti". Come 1° cosa ho disabilitato l'intero REAL TIME di KAV6, quindi i moduli file antivirus e Web antivirus. Il motivo è semplice. Simulare degli 0-days (per i meno pratici, minacce di cui ancora le software house antivirus non hanno rilasciato firme, per cui "a tutti gli effetti" è come se questi sample fossero "vere e proprie novità"...), lasciando cosi' tutto l'ONERE dell'intercettazione alla componente HIPS del mio sistema. Di KIS 6 attivo, allora, c'era SOLO il PDM (=il nuovo modulo contro rootkit e compagnia bella) per cui, come dicevo poc'anzi, i test si sono scontrati contro Process Guard, RegDefend e il PDM. LEZIONE che ne ho tratto: talvolta la tecnologia dei malwares è migliore di quella delle nostre difese per quanta sia la cura riposta nella scelta delle stesse.... (vedi in proposito http://h**p://forum.sysinternals.com...?TID=8857&PN=2 dove in 1° pagina fa per l'appunto bella mostra di se questo: "ACTIVE Rustock.b - FULLY INVISIBLE by NOD32. // my comment: tech level of rustock is greatly higher than nod32" o, per KAV6, quest'altro: "Active rootkits vs KAV 6.0 Proactive defense - ON All protection - enabled ...... KAV detects only inactive rootkits." In sostanza, disponiamo di soluzioni "molto fragili" contro le "novità"  e (probabilmente) l'UNICA vera MEDICINA è configurabile con la nostra abitudine d'uso del Pc:o impariamo A NON CLICCARE SU QUALSIASI COSA (STRANA) ABBIAMO DI FRONTE, o ciccia.... E ora, i fatti che mi hanno portato alla "LEZIONE" sopra. FUto advanced "contro tutti":  intercettato da PG, non si arriva neppure al PDM &/o a RegDefend. (ho scelto di "aggredire" il processo ctfmon.exe, PID 1532)  Vanquish:  (qui si "sveglia" anche il PDM anche se PG ha fatto tutto il lavoro "sporco"...) HackerDefender:  RKDemo:  PHIDE di PE386 SE lo si blocca fin dall'inizio, bene....  altrimenti, TROMBATO! (e questa la posto grande...)  Ecco il "gioiello" all'opera, in barba a TUTTI i miei HIPS.... Process Guard blocca l'installazione del driver del rootkit ma, anche cosi', phide_ex va tranquillo e beato nella lista dei processi e in C: appare un bel logghettino dove si può leggere chiaramente quello che il programmatore "ci dice".....  Per dovere di cronaca ribadisco che ho acconsentito DI PROPOSITO all'esecuzione del file, SICURO PERO' che PG continuasse a fare il suo dovere come neglia altri casi.....ma, come dicevo, 'sto sample è mooolto rognoso.... Nell'unico caso in cui il PDM del KIS6 poteva dire la sua (il lavoro, infatti, fino ad ora era stato svolto da ProcessGuard senza chiamare in causa nient'altro...), in realtà LUI se ne stava beato in vacanza in Polinesia..... Secondo me dai test sopra c'è di che riflettere visto che i ROOTKIT sono la vera piaga dei prossimi anni.... Se già gli utenti "protetti" vengono aperti come carciofi (se pur in casi sporadici..), figuriamoci gli utenti "normali" che non usano grandi armamentari per tutelare la propria macchina e che, per di più, CLICCANO SU OGNI COSA CHE VEDONO "purchè RESPIRI"... Auguri alle software house che cmq hanno ancora molto lavoro da svolgere.... Ultima modifica di nV 25 : 18-02-2007 alle 13:55. Motivo: editati i link...non si sa mai... |
|
|
|
30-12-2006, 16:56
|
#2 |
|
Senior Member
Iscritto dal: Aug 2006
Messaggi: 4350
|
nV 25, per curiosità prima di ripristinare il S.O. con l'immagine hai provato a "terminare" il "mostrino" con Sophos,Gmer e compagnia bella ?
|
|
|
|
|
30-12-2006, 17:09
|
#3 | |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Quote:
Phide_ex è stato terminato tranquillamente con un semplice click da task manager.... Il fatto che fosse visibile è probabilente dovuto al nuovo meccanismo del PDM (il famoso "task manager protection"...) o ad una sua installazione (forse) non perfetta dovuta a PG.... Sò troppo poco per entrare nel merito, sorry... E' per quello che spero anche in qualche commento "tecnico" di eraser e compagnia bella.... Gli altri rootkit, invece, non hanno avuto il tempo di vivere visto che sono stati "spezzati" sul nascere.... Cmq c'è ben poco da stare allegri..... PS: è cosa certa xò che riprovo PHIDE vs ProSecurity (al posto del mio mitico PG): a 'sto punto, son troppo curioso di vedere cosa succede.... Se trovassi il link a Gromozon, mi piaceva vederlo sulla mia pelle....per quello, cmq, cerco meglio su sysinternals.... Ultima modifica di nV 25 : 30-12-2006 alle 17:12. |
|
|
|
|
|
30-12-2006, 17:16
|
#4 |
|
Senior Member
Iscritto dal: Aug 2005
Messaggi: 1267
|
Quali files vuoi di gromozon?se ti servono,te li posso spedire
Ciao e buon anno
__________________
Il dubbio è il padre del sapere. 
|
|
|
|
|
30-12-2006, 17:21
|
#5 | |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Quote:
Immaginavo che qualcuno avesse sample a giro.... ..e che sarebbe bastato chiedere....Bè, cmq sia, faccio prima 1 ricerchina e nel frattempo decido se "l'azzardo" valga la candela (in cuor mio, cmq, direi di si'....), visto che ormai son deciso a mettere alla frusta la mia "suite" HIPS... L'unico fastidio, semmai, è quello di ripristinare tutto.... PS: mi daresti qualche info in + sul rootkit PHIDE? (con parole semplici, txs...)
|
|
|
|
|
|
30-12-2006, 17:36
|
#6 |
|
Senior Member
Iscritto dal: Aug 2006
Messaggi: 4350
|
Trojan.Rootkit.Phide.BType Malware
Type Description Malware ("malicious software") consists of software with clearly malicious, hostile, or harmful functionality or behavior and that is used to compromise and endanger individual PCs as well as entire networks. Category Rootkit Category Description A Rootkit is software that cloaks the presence of files and data to evade detection, while allowing an attacker to take control of the machine without the user's knowledge. Rootkits are typically used by malware including viruses, spyware, trojans, and backdoors, to conceal themselves from the user as well as from malware detection software such as anti-virus and anti-spyware applications. Rootkits are also used by some adware applications and DRM (Digital Rights Management) programs to thwart the removal of that unwanted software by users. Level High Level Description High risks are typically installed without user interaction through security exploits, and can severely compromise system security. Such risks may open illicit network connections, use polymorphic tactics to self-mutate, disable security software, modify system files, and install additional malware. These risks may also collect and transmit personally identifiable information (PII) without your consent and severely degrade the performance and stability of your computer. File Traces 3239.exe cb9999dade31b48ceab148ddf97e38ec.sys Può servirti ? Ultima modifica di sampei.nihira : 30-12-2006 alle 17:42. |
|
|
|
|
30-12-2006, 17:52
|
#7 |
|
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28998
|
che link avevi postato nel primo reply?al limite inseriscili e rendili non cliccabili
edit:ho visto ora 
Ultima modifica di juninho85 : 30-12-2006 alle 17:55. |
|
|
|
|
30-12-2006, 18:03
|
#8 | |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Quote:
no.... Grazie cmq dell'aiuto, Sampei Il No è legato al fatto che mi piacerebbe sapere <come funziona> (è un .exe "all inclusive", vedi infatti la descrizione dell'autore: He contains in itself hidden process and hidden driver... ..... Scorrendo il thread, si vedono questi commenti: "MP_ART: It is not so easy to detect phide_ex, but possible..." ma anche questo: "EP_X0FF: Detection of hidden process was trivial problem. A problem just to code workable detector. More interesting and difficult is detect hidden driver. It is not anymore driver, just piece of code...." (NB: entrambi si riferiscono ai tool di rimozione stile gmer e compagnia e non agli hips.... apparentemente poi sui processi nascosti sembrano dire cose opposte...) A me + che altro interessa sapere come funziona per capire PERCHE' ha battuto Process Guard ( e se lo ha battuto, poi, a prescindere da quello che è il log che dice "phide_ex is fu**ing your sistem"): perchè allora io lo vedo nei processi se MP_ART dice che non sia facile vederlo e se, + che altro, il fine dei rootkit è quello di celarsi (hidden di su, hidden di giù...)? E' dovuto al PDM? E' il driver che parrebbe essere correttamente bloccato da PG che gli impedisce di nascondersi? E se si, come diavolo ha fatto allora a proseguire la sua azione mostrandomi il log? Insomma, vorrei delucidazioni "sulla meccanica" del malware.... PS: ho editato il post iniziale togliendo i link diretti (anche se in verità per scaricare questi tecnological demo occorre fare ulteriori passaggi, ma cmq...) Ultima modifica di nV 25 : 30-12-2006 alle 18:40. |
|
|
|
|
|
30-12-2006, 18:04
|
#9 |
|
Member
Iscritto dal: Aug 2006
Messaggi: 107
|
Non sono un esperto di sicurezza, pero' vedendo questi test secondo me ci si puo' rendere conto di due cose:
1) come gia' detto altre volte, e come ribadito da nV 25, la "testa" dell'utente e il suo comportamento sul web costituiscono la prima linea di difesa contro qualsiasi tipo di attacco. 2) anche se non perfetti, anche se tutt'altro che infallibili, i software HIPS sono importanti. Bisogna familiarizzare con questi programmi e affiancarli agli ormai "noti" antivirus e firewall, cosi' da avere una maggiore "copertura" per quel che riguarda la sicurezza... (invece e' ancora pieno di gente che ritiene inutili questi programmi)... Speriamo che le case produttrici di software HIPS migliorino i loro prodotti e li rendano sempre piu' impenetrabili!
|
|
|
|
|
30-12-2006, 18:18
|
#10 |
|
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22121
|
nv25, se ti può interessare ti posto questo link trovato in rete dove ci sono scritte cose interessanti:
http://www.zonapc.it/articoli/rootkit/rootkit.php spero ti sia d'aiuto. 
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. |
|
|
|
|
30-12-2006, 18:25
|
#11 | |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Quote:
Grazie poi anche a Sampei, molto gentile come sempre (anzi, scusa se apparentemente sono risultato "offensivo": in realtà ho max rispetto e stima). PS: qualche tecnico che ci faccia capire? Pmonti, ci sei? eraser?????? lucas84? ecc ecc in parole semplici, eh....
|
|
|
|
|
|
30-12-2006, 18:31
|
#12 | |
|
Senior Member
Iscritto dal: Aug 2006
Messaggi: 4350
|
Quote:
Mi hai ringraziato ben 2 volte.....e non ho fatto molto....più di così In effetti il capitolo ROOTKIT è affascinante. E noi tutti dobbiamo ancora imparare molto.... |
|
|
|
|
|
30-12-2006, 20:02
|
#13 |
|
Senior Member
Iscritto dal: Aug 2005
Messaggi: 1267
|
phide mi crasha su v.m.,mi ricordo che poco tempo fa l'avevo provato su un pc normale ed il processo compariva nel task manager(spero di non ricordami male)in questo momento ho solo questo pc,comunque ho altri rootkits + o meno conosciuti,se ti servono basta chiedere
Ciao
__________________
Il dubbio è il padre del sapere.
|
|
|
|
|
30-12-2006, 20:50
|
#14 | |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Quote:
Visto cmq che sembri ferrato in materia, mi dai qualche info maggiore? Del tipo: clicco sull'exe, e poi? che accade al sistema? come fa (materialmente e in parole semplici) ad avviarsi? e la storia del suo driver? (guarda PG come reagisce).... PS: se i rootkit sono dei sample di test (tecnological demo), bè, si può anche fare, in caso contrario non me la sento di sfidare troppo la sorte... Ultima modifica di nV 25 : 30-12-2006 alle 20:53. |
|
|
|
|
|
30-12-2006, 22:13
|
#15 |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
avrei trovato un'altra serie di rootkittini "da paura" (roba stile Rustock.b, qualche Gromozonino e compagnia bella):
che faccio, provo e vi faccio vedere come è andata?  PS: se mi decido e sentite il colpo, non pensate che abbiano anticipato i festeggiamenti per l'arrivo dell'anno nuovo: è SOLO segno del fatto che il mio Pc è andato arrosto... Ne approfitto per fare gli auguri di buon anno a tutti visto che a breve saluto il mondo del Pc una volta per tutte: potrete finalmente dire di nV 25: "ei fu..." 
|
|
|
|
|
30-12-2006, 23:33
|
#16 |
|
Senior Member
Iscritto dal: Mar 2004
Città: Rimini
Messaggi: 10296
|
Ciao,
mi raccomando, non infettate mezzo mondo con i vostri esperimenti perniciosi Mi piacerebbe intervenire seguendo a fondo gli esperimenti ma, a causa di casa e studio in ristrutturazione, (muratori, pavimentisti idraulici & c.) sono in regime di operatività ridotta fin dallo scorso mese di Ottobre e ne avrò fino al prossimo Febbraio.
__________________
sometimes they come back *** Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3" I5 2435M SSD Samsung 830-256GB |
|
|
|
|
30-12-2006, 23:49
|
#17 | |
|
Senior Member
Iscritto dal: Apr 2006
Città: Milano
Messaggi: 12425
|
Quote:
 Wè non fare scherzi. C'è un motivo particolare? D'accordo che sei milanista, ma poi per il resto hai tante belle qualità. Pensa che ti vengo a leggere pure sul tuo blog anche se non aggiorni mai ti leggo (e continuerei a leggerti) con piacere. Auguri di buon anno .... anche a wgator  P.s: se lasci hw posso rubarmi (anche io) il tuo avatar? 
|
|
|
|
|
|
30-12-2006, 23:58
|
#18 |
|
Senior Member
Iscritto dal: Aug 2006
Messaggi: 4350
|
Saluto l'audace nV25........
Ma prima di andare...... La stessa prova simulata 0-days, ma questa volta con NOD32 2.7 ? |
|
|
|
|
31-12-2006, 00:21
|
#19 | |
|
Bannato
Iscritto dal: Mar 2004
Città: Galapagos Attenzione:utente flautolente,tienilo a mente
Messaggi: 28998
|
Quote:
|
|
|
|
|
|
31-12-2006, 01:48
|
#20 | |
|
Bannato
Iscritto dal: Sep 2006
Città: Palermo
Messaggi: 1241
|
Quote:
 Il grande NV 25 se ne vuole andare ??? Quel bravo a ragazzo a cui ho fregato l'avatar ??? Non scherzare... Cmq il thread è molto interessante... Spero di capire qulkosa in più... Ciao a Tutti e Buon Anno
|
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 02:25.
