offerte prime day amazon

Prevx avverte: inizia l'era dei rootkit a 64bit

Prevx avverte: inizia l'era dei rootkit a 64bit

I sistemi operativi Microsoft Windows a 64 bit non sono più la panacea contro i rootkit, almeno non più.

di pubblicata il , alle 16:49 nel canale Sicurezza
MicrosoftWindows
 

I sistemi operativi Microsoft Windows a 64 bit non sono più la panacea contro i rootkit, almeno non più. La società britannica Prevx Ltd., specializzata in sicurezza informatica e produttrice dell'omonimo software di sicurezza, ha annunciato nel proprio blog aziendale la scoperta di un nuovo malware capace di infettare i sistemi Microsoft Windows a 64 bit, compresi gli ultimi arrivati Windows Vista e Windows 7.

"Una nuova era è ufficialmente iniziata: l'era dei rootkit a 64 bit", scrive nel (http://www.prevx.com/blog/154/TDL-rootkit-x-goes-in-the-wild.html) blog Marco Giuliani, Malware Technology Specialist per Prevx, che poi spiega più dettagliatamente le modalità di infezione.

Un rootkit è una tipologia di malware in grado di alterare il funzionamento del sistema operativo, modificandone il codice al fine di nascondere sé stesso ed eventuali altre infezioni all'interno del sistema colpito.

Secondo la società inglese il malware isolato non sarebbe nuovo, bensì si tratterebbe di una versione di un rootkit ben conosciuto da diversi mesi e denominato TDL3 rootkit, già protagonista nei mesi scorsi dei titoli di cronaca (http://www.hwfiles.it/news/aggiornamento-microsoft-ms10-015-causa-schermata-blu-colpa-di-un-malware_31645.html) a causa di una fastidiosa incompatibilità con gli aggiornamenti del sistema operativo Microsoft. Infatti i PC che erano stati colpiti da questo rootkit smisero lo scorso Febbraio di avviarsi subito dopo aver ricevuto gli aggiornamenti mensili rilasciati da Microsoft. Il rootkit risultava incompatibile con uno degli aggiornamenti, causando quindi l'impossibilità di avviare il sistema. La novità di questa nuova versione del rootkit è la capacità di alterare il funzionamento del kernel di Windows sia nei sistemi a 32 bit che nei sistemi a 64 bit.

I sistemi a 64 bit sono considerati da sempre molto più sicuri grazie a due tecnologie che Microsoft ha implementato al fine di prevenire l'intrusione di codice non autorizzato nella zona di memoria adibita al kernel. La prima è una stretta verifica della firma digitale dei driver, senza la quale nessun driver è autorizzato da Windows ad essere caricato nella regione di memoria del kernel. La seconda è la famigerata Microsoft Kernel Patch Protection, conosciuta meglio come PatchGuard, una tecnologia in grado di prevenire alterazioni al kernel di Windows al fine di arginare i comuni attacchi sferrati dai rootkit kernel mode.

Per aggirare queste due forti misure di sicurezza implementate da Microsoft, e risultate fino ad oggi molto efficaci per arginare gli attacchi - il rootkit prende di mira il Master Boot Record dell'hard disk, modificandolo al fine di intercettare il caricamento del sistema operativo.

"Per aggirare sia la tecnologia Kernel Patch Protection che la verifica della firma digitale, il rootkit modifica il master boot record al fine di intercettare le funzioni di avvio del sistema operativo, per poi modificarle e permettere di caricare il proprio codice nocivo all'interno del kernel del sistema. Facendo così, entrambe le misure di sicurezza implementate vengono totalmente aggirate", spiega Giuliani, che specifica tuttavia come il rootkit necessiti dei privilegi di amministratore per potersi installare nel sistema.

L'infezione arriva nel sistema tramite siti web che diffondono crack e tramite siti web a luci rosse, utilizzando sia tecniche di ingegneria sociale - convincendo cioè l'utente ad eseguire il malware nel sistema - sia attraverso exploit specifici.

"Il periodo di transizione dai sistemi a 32 bit ai sistemi a 64 bit è iniziato già da alcuni anni; lo sviluppo dei malware lo sta seguendo attentamente. Di sicuro i malware writer non si vogliono far cogliere impreparati" ha dichiarato poi Marco Giuliani.

Una volta che il sistema è infetto, il PC vittima è totalmente in mano ai pirati informatici. Il malware, infatti, comunica costantemente con i server di controllo, permettendo ai suoi creatori di installare nuovi malware nel sistema, redirigere la navigazione web, modificare i risultati delle ricerche nei browser al fine di indirizzare gli utenti ignari verso siti non sicuri. Anche i sistemi Windows a 64 bit, dunque, sembra siano caduti sotto i colpi dei pirati informatici, trovando il modo di entrare nel cuore del sistem, lì dove teoricamente non sarebbero potuti entrare. Una analisi dettagliata dell'infezione è disponibile in lingua inglese nel blog della società Prevx (http://www.prevx.com/blog/155/x-TDL-rootkit--follow-up.html).

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

34 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
deepdark30 Agosto 2010, 17:16 #1
Amministratore o super-amministratore?
Unrealizer30 Agosto 2010, 17:23 #2
Originariamente inviato da: deepdark
Amministratore o super-amministratore?


credo si tratti di una semplice autorizzazione UAC... in ogni caso, i BIOS non hanno una funzione per impedire la scrittura dell'MBR?
mi pare si chiami "Virus Warning" o qualcosa del genere, proprio perchè i vecchi virus colpivano spesso l'MBR di hd e floppy
Devil40230 Agosto 2010, 17:30 #3
@Unralizer: Su parecchi modelli di pc vecchi all'interno del bios, ho spesso trovato una funzione che riportava nella descrizione appunto, tale blocco...ma nei nuovi, sembra come scomparsa...non so se l'abbiano tolta, nascosta, fatto quel che diamine gli pare, ma non la trovo più...boh.
pabloski30 Agosto 2010, 17:31 #4
oddio, capirai che novità.....dire "lì dove teoricamente non sarebbero potuti entrare" è un pò eccessivo....chiunque lavora in questo settore sa benissimo che non c'è porta che tenga e l'unico sistema sicuro è un sistema isolato dal mondo esterno

windows a 64 bit era sicuro perchè, visto lo scarso market share, non era bersagliato dagli hacker che, tra l'altro, hanno rispolverato una tecnica vecchia quanto l'informatica stessa e cioè quella dei virus del master boot record
WarDuck30 Agosto 2010, 17:59 #5
Originariamente inviato da: pabloski
oddio, capirai che novità.....dire "lì dove teoricamente non sarebbero potuti entrare" è un pò eccessivo....chiunque lavora in questo settore sa benissimo che non c'è porta che tenga e l'unico sistema sicuro è un sistema isolato dal mondo esterno

windows a 64 bit era sicuro perchè, visto lo scarso market share, non era bersagliato dagli hacker che, tra l'altro, hanno rispolverato una tecnica vecchia quanto l'informatica stessa e cioè quella dei virus del master boot record


Windows 64 è sicuro per via di patch guard e per via del blocco dei drivers non firmati.

Tant'è che di per se non sono stati violati direttamente, ma si è ricorsi ad aggirarli colpendo il master boot sector per controllare il sistema operativo installato, qualunque esso sia.

E' chiaro che nel momento in cui puoi accedere al master boot sector puoi fare quello che vuoi, manipolando il codice che verrà eseguito al boot, prima che (e mentre) il sistema operativo si carica.

Ovviamente, cosa non di poco conto, servono i privilegi amministrativi per poter scrivere nel master boot record.
gionnico30 Agosto 2010, 18:27 #6
Originariamente inviato da: WarDuck
E' chiaro che nel momento in cui puoi accedere al master boot sector puoi fare quello che vuoi, manipolando il codice che verrà eseguito al boot, prima che (e mentre) il sistema operativo si carica.

Non è così, basta programmare boot loader e boot code avendo in mente questo.

Montare in sola lettura, proteggere da buffer overflow, PIE, ASLR, SSP e quant'altro.


Il sistema lo blindi se vuoi.
DanieleC8830 Agosto 2010, 18:32 #7
Originariamente inviato da: Alessandro Bordin]“I sistemi operativi Microsoft Windows a 64 bit [b]non sono più
la panacea contro i rootkit, almeno non più.”

Jacques de La Palice colpisce ancora!
WarDuck30 Agosto 2010, 18:47 #8
Originariamente inviato da: gionnico
Non è così, basta programmare boot loader e boot code avendo in mente questo.

Montare in sola lettura, proteggere da buffer overflow, PIE, ASLR, SSP e quant'altro.


Certo, ma nel momento in cui puoi modificare il codice che fa tutte le cosine che hai detto, prima che le faccia...
blackshard30 Agosto 2010, 18:53 #9
Altri soldini nelle tasche dei produttori di antivirus e compagnia bella.
Ginopilot30 Agosto 2010, 19:15 #10
E' deprimente che al mondo ci sia qualcuno, anche pagato, che si impegna a scrivere codice del genere.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^