Documents
Resources
Learning Center
Upload
Plans & pricing Sign in
Sign Out

BOLLETTINO DI SICUREZZA INFORMAT

VIEWS: 7 PAGES: 9

									 STATO MAGGIORE DELLA DIFESA
     II Reparto Informazioni e Sicurezza
           Ufficio Sicurezza Difesa
  Sezione Gestione del Rischio – CERT Difesa CC




BOLLETTINO DI SICUREZZA
     INFORMATICA


                                            N. 1/2009



      Il bollettino può essere visionato on-line su:
            Internet: www.cert.difesa.it
            Intranet: www.riscert.difesa.it
              Il rootkit del Master Boot Record

Introduzione .................................................................................... 1 
Il Master Boot Record (MBR) .............................................................. 1 
Il rootkit del Master Boot Record......................................................... 2 
  Fasi dell’infezione: ......................................................................... 2 
  Informazioni aggiuntive: ................................................................. 3 
Ripristino del sistema:....................................................................... 3



                                                                   Difficoltà: Medio - Alta




            Le minacce nascoste: I File corrotti

Introduzione: ................................................................................... 5 
Quali tipi di file possono essere corrotti: .............................................. 5 
Quali problemi può causare un file malevolo:........................................ 5 
Come proteggersi: ............................................................................ 6 



                                                                 Difficoltà: Medio - Bassa




                                                A cura di:
                                                SMD II Reparto Informazioni e Sicurezza
                                                Ufficio Sicurezza Difesa
                                                Sezione Gestione del Rischio - CERT Difesa
                                                         Rootkit del Master Boot Record




              Il rootkit del Master Boot Record

Introduzione
Il nuovo trend delle infezioni virali per quanto riguarda l'ambito informatico
potrebbe essere costituito dai cosiddetti stealth MBR Rootkit, tecnologie in
grado di compromettere Windows dall'esterno sovrascrivendo il Master
Boot Record (MBR) degli hard disk ospitanti il sistema operativo e
occultando     sapientemente    la   loro   presenza   anche   alle    più   recenti
tecnologie antirootkit.


Il Master Boot Record
Il MBR è in genere la primissima sezione (di dimensione pari a 512 byte)
dell’hard-disk ed è il setto-
re di avvio che contiene la
sequenza di comandi ne-
cessaria per l'avvio del si-
stema operativo, ossia il
bootloader.
Il MBR di un disco, di soli-
to, include la tabella delle partizioni del disco stesso, che è usata dal PC
per puntare e caricare il settore di avvio della partizione segnata come at-
tiva: questo permette al BIOS di caricare qualunque sistema operativo
senza bisogno di sapere esattamente dove si trova all'interno della sua
partizione.
Bisogna specificare che il processo d'avvio è diverso a seconda che il disco
sia partizionato o meno. In entrambi i casi il BIOS trasferisce il controllo al
primo settore del disco dopo averlo letto in memoria. Successivamente, se
il disco è partizionato, il settore contiene il codice di selezione della parti-
zione che carica il primo settore della partizione selezionata al suo posto e
trasferisce il controllo a questo; altrimenti, se non ha partizioni, è il settore
stesso che carica il sistema operativo.



                                                                                     1 
                                                       Rootkit del Master Boot Record




Il rootkit del Master Boot Record
Gli utenti maggiormente a rischio per questo tipo di codice malevolo sono
tutti coloro che navigano sul web con una
versione   del    browser    non      aggiornata.
L’infezione infatti si diffonde attraverso alcu-
ni siti web che ospitano exploit studiati per
infettare pc con software e/o sistema opera-
tivo non aggiornati.
Gran parte dei siti web monitorati che ven-
gono utilizzati per diffondere questa infezio-
ne sono iniettati in “iframe”(o “Inline Frame)
nascosti all’interno di pagine web compromesse. Gli iframe sono speciali
frame che consentono agli sviluppatori di inserire frame all'interno della
pagina come se si trattasse di oggetti qualsiasi, in altri termini permettono
la creazione di vere e proprie finestre all'interno della pagina, con contenu-
ti indipendenti dal resto del documento.


Fasi dell’infezione:
                                                      Una volta che il drop-
                                                      per (file vettore utiliz-
                                                      zato per installare un
                                                      virus su un computer
                                                      evitando che gli antivi-
                                                      rus ne individuino la
                                                      presenza)       viene    ese-
                                                      guito, esso:
•   memorizza al settore 62 del disco una copia del MBR originale;
•   sovrascrive il Master Boot Record originale con il proprio codice che tra
    le altre informazioni contiene anche le indicazioni circa la posizione del
    rootkit all’interno del disco);
•   scrive il driver del rootkit in uno spazio libero e inutilizzato dell’hard
    disk che solitamente coincide con gli ultimi settori del disco.


                                                                                   2 
                                                       Rootkit del Master Boot Record




A questo punto durante il successivo riavvio del sistema (un reboot può
anche essere programmato automaticamente dal malware stesso), il codi-
ce scritto nel Master Boot Record riuscirà a controllare qualunque cosa vie-
ne caricata dal sistema operativo. Questa posizione gli permette inoltre di
poter modificare il kernel non appena viene letto dall’hard disk, in modo
tale che il driver del rootkit sia caricato nel sistema. Questa operazione
non necessita di nessuna chiave registro né della presenza di alcun file.
Per nascondersi all’interno di Windows, il rootkit modifica le routine
IRP_MJ_READ e IRP_MJ_WRITE del driver disk.sys, responsabile in
Windows dell’accesso ai dischi. Quando si tenta di leggere il Master Boot
Record, il rootkit mostrerà come risposta il codice memorizzato al settore
62, cioè il codice originale. In aggiunta, il driver caricato sarà anche re-
sponsabile di alcune connessioni verso host remoti.


Informazioni aggiuntive:
La maggior parte del codice utilizzato dal malware è stato copiato dal pro-
getto BootRoot che dimostra, per scopi non malevoli, come alcune modifi-
che al codice del boot sector possano, di conseguenza, apportare cambia-
menti al kernel di Windows anche in ambiente NT.
In alcuni test preliminari Windows Vista è risultato solo parzialmente vul-
nerabile: se UAC è disabilitato, il rootkit può sovrascrivere il Master Boot
Record mentre, se UAC è abilitato, il tentativo di sovrascrittura viene bloc-
cato. Inoltre, anche se il codice viene scritto nel MBR, il rootkit non riesce
a prendere il controllo del sistema a causa del processo di boot differente
da quello di Windows XP.


Ripristino del sistema:
Una soluzione semplice ma efficace per rimuovere un rootkit da una mac-
china infetta è quella di utilizzare la Console di ripristino e lanciare il co-
mando "fixmbr", che consente di riparare il codice di avvio principale della
partizione di avvio:




                                                                                   3 
                                                          Rootkit del Master Boot Record




Una operazione preliminare all’utilizzo della console di ripristino è quella di
disattivare il ripristino della configurazione del Sistema seguendo le se-
guenti indicazioni:
                                      •   premere il tasto destro del mouse
                                          sull'icona Risorse del Computer;
                                      •   selezionare la voce Proprietà;
                                      •   aprire la scheda Ripristino configu-
                                          razione di Sistema;
                                      •   spuntare la voce Disattiva ripristi-
                                          no configurazione di sistema;
                                      •   confermare la modifica, con Appli-
                                          ca e, poi Ok.
                                   (Riattivare il Ripristino Configurazione Si-
                                   stema solo a disinfezione terminata).
A questo punto per utilizzare la console di ripristino:
1. Inserire il disco di ripristino di Windows XP nell'unità disco floppy oppu-
    re inserire il CD di Windows XP nell'unità CD-ROM, quindi riavviare il
    computer. Se richiesto, fare clic per selezionare qualsiasi opzione ne-
    cessaria per avviare il computer dall'unità CD-ROM;
2. Quando viene visualizzata la schermata "Installazione", premere R per
    avviare la Console di ripristino di emergenza;
3. Nel caso di un sistema ad avvio multiplo, selezionare l'installazione a
    cui accedere dalla Console di ripristino di emergenza;
4. Quando richiesto, digitare la pswd di amministratore e premere INVIO;
5. Al prompt dei comandi digitare
    fixmbr quindi premere INVIO e
    seguire le istruzioni per ripristi-
    nare il Master Boot Record;
6. Per uscire dalla Console di ripri-
    stino di emergenza e riavviare il
    computer, digitare exit al prompt
    dei comandi, quindi premere In-
    VIO.

                                                                                      4 
                                                     Le minacce nascoste: i file corrotti




             Le minacce nascoste: i File corrotti

Introduzione:
Il codice malevolo non è sempre nascosto all’interno di pagine web o in file
dal formato non standard. Gli attaccanti potrebbero, infatti, corrompere ti-
pi di file che l’utente normalmente considera e riconosce come sicuri e at-
tendibili.


Quali tipi di file possono essere corrotti:
Come detto, gli autori di codice malevolo potrebbero essere in grado di in-
serire il proprio codice all’interno di file comunemente noti come sicuri.
Una tecnica in tal senso è quella di manipolare file creati con programmi di
word processor, fogli elettronici o file immagine, inserendo in essi codice
malevolo: a questo punto un soggetto malintenzionato procederà alla loro
distribuzione tramite email o pubblicandoli all’interno di siti web.
Nella maggior parte dei casi, la creazione di file ad ‘hoc da parte di poten-
ziale attaccanti è una conseguenza della scoperta di vulnerabilità presenti
proprio all’interno del software di creazione o gestione dei file stessi. Le
vunerabilità, per essere sfruttate, possono necessitare della combinazione
di alcuni elementi come l’esecuzione di un determinato software eseguito
in uno specifico sistema operativo, oppure interessare il software indipen-
dentemente dalla piattaforma: queste vulnerabilità spesso consentono agli
attaccanti di inserire ed eseguire codice senza essere individuati


Quali problemi può causare
un file malevolo:
Esistono vari tipi di codice malevolo
quali virus, worm e trojan horse: in
ogni caso, gli effetti generati sono di-
versi anche all’interno di ciascuna ca-
tegoria. Il codice opportunamente scritto potrebbe, infatti, essere stato


                                                                                       5 
                                                       Le minacce nascoste: i file corrotti




creato per sfruttare una o più funzioni o generare differenti effetti negativi,
quali, ad esempio:
   •   limitazione delle potenzialità del computer di elaborare le informa-
       zioni attraverso il consumo di memoria o di banda di connessione
       (rendendo il PC particolarmente lento o addirittura bloccandolo);
   •   installazione, modifica o cancellazione di file sul sistema compro-
       messo;
   •   garanzia di accesso, per l’attaccante, alle risorse del computer;
   •   utilizzo del PC per perpetrare attacchi contro altri sistemi (includen-
       doli ad esempio in botnet per condurre attacchi massivi).


Come proteggersi:
   •   utilizzare e mantenere aggiornati i software antivirus –
       il software AV riconosce da virus noti in modo da identificarli e ri-
       muoverli prima che possano arrecare danno. Considerando che gli
       autori di virus creano continuamente nuovo codice malevolo o nuove
       definizioni di viris esistenti, è molto importante mantenere il softwa-
       re AV costantemente aggiornato alla versione e definizione più re-
       centi;
   •   utilizzare particolare attenzione con gli allegati alle email –
       non aprire i file allegati ai messaggi inattesi di posta elettronica,
                             specialmente provenienti da utenti non cono-
                             sciuti o ritenuti inaffidabili. Effettuare comunque
                             la scansione con l’antivirus dell’allegato prima di
                             aprirlo, in quanto, l’attaccante potrebbe aver
                             spoofato la sorgente della email allo scopo di
       impersonare fraudolentemente un soggetto ritenuto affidabile (tru-
       sted), mentre il mittente potrebbe inviare messaggi di posta elettro-
       nica in cui gli eventuali allegati contengono, a sua insaputa, codice
       malevolo;
   •   usare cautela quando si effettua download da siti web –
       evitare di scaricare file da siti ritenuti non affidabili. Se il sito da cui
       si sta effettuando il download è sicuro, verificare l’attendibilità del

                                                                                         6 
                                                  Le minacce nascoste: i file corrotti




    relativo certificato. In ogni caso, prima di aprire un file scaricato da
    un sito web, è consigliabile salvarlo in un disco ed effettuare ma-
    nualmente la verifica di sicurezza con un antivirus aggiornato.
•   Mantenere aggiornato il software –
    Installare, appena rilasciati, tutti gli aggiornamenti e tutte le patch
                                        per il software installato sul pro-
                                        prio PC, considerando che la mag-
                                        gior parte delle vulnerabilità ven-
                                        gono sfruttate non appena noto
                                        che un prodotto ne è affetto. Si
                                        consiglia di attivare l’opzione di
                                        aggiornamento        automatico          per
                                        tutti quei software che offrono
    questa opportunità.
•   Ottimizzare le configurazioni di sicurezza –
    Applicare i più alti livelli di sicurezza disponibili, tenuto conto delle
    proprie esigenze, dei client di posta elettronica (Outlook, Thunder-
    bird, etc..) e dei browser (Internet Explorer, Mozilla Firefox, Opera,
    etc..) utilizzati.




                                                                                    7 

								
To top