Black Hat: Rootkit VM e Rilevamento

Durante la conferenza dedicata alla sicurezza Black Hat USA 2007 (Briefings, 1-2 Agosto), è andato in scena un dibattito sulle possibilità di rilevare i malware di nuova generazione basati sulle emrgenti tecnologie di virtualizzazione. Abbiamo già parlato precedentemente di questo nuovo di tipo di minaccia che si affaccia nel panorama della sicurezza, riportando le notizie su "Blue Pill", un prototipo di rootkit basato su macchina virtuale (sfruttando la tecnologia AMD SVM/Pacifica), sviluppato da Joanna Rutkowska, ricercatrice che studia gli stealth malware per l'azienda di sicurezza COSEINC e di altri simili codici, come "Vitriol", un rootkit HVM-based che sfrutta l'estensioni di virtualizzazione hardware Intel VT-x, realizzato da Dino Dai Zovi, dirigente dell'azienda di penetration-testing Matasano Security. Maggiori dettagli nelle news precedenti. n questi mesi è andato in scena un dibattito tra questi esperti di sicurezza riguardo le possibilità di rilevare questo tipo di malware, solitamente definiti come "impossibili da isolare" su una macchina infetta. Nello specifico, a fine Giugno, Matasano Security aveva lanciato una sfida a Rutkowska, affermando di essere in grado, sfruttando tecniche di "timing determination" e simili, di riconoscere una macchina infetta con Blue Pill. Questa particolare sfida non è stata poi portata sul campo, perché i ricercatori coinvolti non si sono messi d'accordo sulle "regole da rispettare". Tuttavia la discussione ed i due punti di vista (Rutkowska afferma che è molto difficile se non potenzialmente impossibile rilevare malware simili al suo prototipo) sono stati portati sullo stage del Black Hat USA 2007. Nella sua presentazione, "Don't Tell Joanna, The Virtualized Rootkit Is Dead", i ricercatori di Matasano Security hanno descritto nel dettaglio come sia possibile utilizzare dei contatori esterni al sistema per rilevare un rootkit virtualizzato, andando a calcolare l'utilizzo delle risorse della CPU ed altri footprint. Rutkowska ha però affermato, nella sua presentazione "IsGameOver(), anyone?" che queste tecniche possono essere allo stesso modo rese vane dall'implementazione del malware stesso. Secondo Rutkowska infatti, tramite una tecnica, denominata non a caso "Blue Chicken", il rootkit stesso è in grado di rilevare i tentativi di "timing determination" disattivandosi temporaneamente per evitare il rilevamento. Dato che l''hypervisor si piazza nel mezzo, emulando il sistema, è anche in grado di determinare se qualcuno sta tentando di effettuare un attacco di timing contro il rootkit. La ricercatrice evidenzia che ovviamente non è sempre possibile determinare quando un simile attacco poi viene arrestato. Il rootkit può tuttavia attendere. Tutti gli attacchi di timing presentano infatti un lato negativo: sono "processor-intensive" e utilizzano molte risorse CPU (fino al 50%), quindi nono possono essere eseguiti continuamente. Rutkowska ha anche mostrato come Blue Pill possa essere installato su un sistema tramite driver vulnerabili (e secondo la ricercatrice non è difficile trovarli) oppure tramite driver appositamente studiati per lo scopo. Infatti, secondo Rutkowska, è facile registrare un driver nocivo. Alla ricercatrice sono bastate due ore e $250, e sicuramente se avesse pubblicato questo driver sul suo sito questo si sarebbe rivelato un download molto popolare (essendo pronto per essere inserito ed accettato in Windows Vista). Rutkowska ha anche mostrato gli sviluppi fatti in questi mesi sul suo prototipo. La ricercatrice a riscritto interamente il codice del rootkit, includendo una nuova capacità: il supporto per gli ambienti virtualizzati annidati. Se infatti, precedentemente bastava creare un ambiente virtualizzato aggiuntivo nel sistema per rendersi conto di star lavorando già in una macchina virtuale (le simulazioni annidate causano un crash del sistema), ora Blue Pill è in grado di gestire questo scenario (fino a 20 simulazioni annidate). Bisogna evidenziare che finora non sono stati segnalati prototipi di rootkit VM in-the-wild, realizzati per attaccare i sistemi degli utenti finali. Tuttavia questo tipi di tecnologia sta venendo già discussa negli ambienti underground e sembra che Rutkowska abbia aperto una sorta di "vaso di Pandora", da cui molto probabilmente emergerà una nuova generazione di malware molto minacciosi, in particolare quando Vista sarà adottato più largamente e questi attacchi attireranno (economicamente) l'attenzione dei cybercriminali.

Commenti

Posta un commento

Post popolari in questo blog

GMail piu sicura.

Google ha implementato tre nuove funzioni per la sicurezza in Gmail, finalizzate in modo specifico alla lotta contro le mail di phishing. L’idea è di fare in modo che gli utenti siano meglio informati sulla provenienza dei messaggi mail, consentendo loro di prestare maggiore attenzione alle mail sospette e di potersi dunque difendere. La prima funzione fa sì che tutti i messaggi ricevuti da indirizzi mail che non sono tra i contatti di Gmail mostrino l’indirizzo email completo del mittente, invece del classico indirizzo condensato, forse più “user friendly” ma anche più ambiguo. Google analizzerà anche parte dell’header delle email che arrivano da mittenti nuovi o sospetti. La seconda funzione prevede che Gmail indichi quando un messaggio è stato spedito usando dei servizi di invio dal web, del tipo “Condividi”, che si trovano su molti social network o su altre piattaforme. Gmail informerà chiaramente il destinatario che sta ricevendo un messaggio dal tale amico tramite il tale sito w...
Continua a leggere

IBM sforna chip a base di grafene

  Nuova pietra miliare nel campo della tecnologia elettronica a base di grafene : un team IBM guidato dal professor Yu-Ming Lin ha realizzato quello che gli stessi creatori definiscono il primo circuito integrato di grafene al mondo. Ennesimo passo avanti nell'adozione pratica del nuovo materiale che è già valso il Premio Nobel per la fisica ai suoi scopritori. Yu-Ming Lin ha già escluso la possibilità che il grafene possa, in un futuro anche lontano, sostituire completamente il silicio nella produzione di microchip completi, nondimeno la ricerca prosegue per adattare le straordinarie proprietà del materiale monomolecolare a base di carbonio all'elettronica digitale e non solo. Il circuito integrato sviluppato da IBM è un mixer di frequenze per le comunicazioni a banda larga, "uno dei circuiti più essenziali e importanti in sostanzialmente tutti i dispositivi per le comunicazioni" nelle parole dello stesso dottor Yu-Ming Lin.L'importante risultato è stato ragg...
Continua a leggere

Come velocizzare i Browser piu diffusi con RAM Disk

  Forse non tutti lo sanno, che buona parte  di RAM che magari non utilizzate, è possibile la si puo far diventare un disco fisso virtuale ( RAM Disk ) su cui spostare la cache del browser. Quali sono i benefici ? Ovviamente una navigazione rapida grazie alla maggior velocità con cui vengono trasferiti i dati sulla RAM rispetto ai classici hard disk. Procedimento :   Installare il software gratuito RAMDisk ( download ); Avviare RAMDisk Configuration Utility dal menu Start di Windows; Impostare la grandezza che si desidera attribuire al RAM Disk digitandola nel campo Disk Size (consigliato da 400MB in su); Mettere il segno di spunta accanto alla voce FAT32 Partition (file system che con le partizioni di piccole dimensioni pare essere più performante); Fare click sul pulsante Start RAMDisk per avviare la creazione della partizione virtuale basata sulla RAM in cui andremo poi a spostare la cache del browser; Rispondere in maniera affermativa alla richiest...
Continua a leggere