agosto 1, 2013
Il fantasma del boot sector
Il mio potere su di te
cresce ancora più forte
(c) Andrew Lloyd Webber – Il fantasma dell’opera
La continua battaglia tra tecnologie malware e anti-malware funziona sempre allo stesso modo. Chi entra per primo nella memoria del computer, prende il controllo e si protegge da altre applicazioni. Dall’alto della posizione di comando si può vigilare tutta la situazione e mantenere in ordine il sistema: nel caso siano i malware a vincere, ovviamente ‘”l’ordine” si trasfomerà nel caos più totale, grazie al quale essi possono agire indisturbati e impuniti.
In sostanza, o tutto o niente, dove il tutto non è altro che il controllo del computer.
Il bootstrap comincia con l’esecuzione del boot sector, una regione speciale dell’hard disk in cui sono immagazzinate le istruzioni circa quali applicazioni caricare, dove e quando. La cosa più preoccupante è che una delle fasi riguarda l’avvio del sistema operativo. I cyberciminali si sono molto interessati al boot sector in quanto non c’è modo di rilevare se è stato infettato. A venire in aiuto degli hacker ci sono dei malware speciifici, i bootkit.
Fasi dell’avvio del computer
Leggendo questo post, scoprirete cosa sono i bootkit e come possiamo proteggerci da loro.
A dire il vero, i bootkit nascono qualche tempo fa. A metà degli anni Ottanta erano tra i virus più diffusi. Brain, il primo virus progettato per il DOS, era proprio un bootkit. Ma i cacciatori di virus riuscirono presto a trattarli per cui, coloro che progettavano i virus, cominciarono a perdere interesse nei bootkit, concentrandosi su altri metodi più efficaci come i macro-virus per MS Office o gli Internet worm.
Una seconda ondata di bootkit fu registrata nel 2007, con la nuova versione del trojan spyware Sinowal, che riusciva a infettare i boot sector. Per le compagnie di antivirus si trattò di una vera e propria doccia fredda, in quanto si pensava che i bootkit appartenessero omai al passato (agli anni Novanta), e molti dei prodotti in commercio non erano affatto capaci di proteggere il boot sector.
Al giorno d’oggi, sebbene i bootkit non costituicano una minaccia su scala mondiale, i nostri report confermano che la loro presenza è ancora pericolosa. Del resto, le forze oscure dell’informatica nascondono sempre qualche asso nella manica…
Se i bootkit sono così intelligenti e difficili da individuare, allora come mai non sono così diffusi? Ci dobbiamo davvero preoccupare di loro e di sviluppare tecnologie di difesa adeguate?
Innanzitutto, si stima che nel mondo i computer infettati da bootkit siano 10 milioni circa, un numero piuttosto ridotto, e li rende un problema “minore” rispetto ad altre minacce.
In secondo luogo, questo metodo d’infezione viene utilizzato per attacchi mirati promossi da enti governativi (ricordiamo, ad esempio l’ignobile FinSpy). Sarete tutti d’accordo che essere coinvolti in una guerra cibernetica non sia il massimo della vita.
Infine, creare un bootkit implica il dominio di competenze elevate in quanto a programmazione di sistema, che molti hacker di ultima ora certamente non hanno. I bootkit sono intelligenti e difficili da individuare, è vero, ma non sono invincibili. Difendersi da loro non è affatto facile, ma comunque possibile. Vi spieghiamo come.
Infezioni da bootkit nel 2013
(informazioni fornite unicamente da utenti Kaspersky Lab)
Partiamo dal ciclo di vita di un bootkit.
Di solito tutto comincia con una vulnerabilità nel sistema operativo o nel software installati sul computer. Entrare semplicemente in un sito Internet può mettere a rischio il computer e, se viene trovato un punto debole, il bootkit è pronto ad attaccare. Entrando nello specifico, viene caricato sul computer un file dannoso, da cui parte l’infezione.
Il bootkit scrive se stesso nel boot sector e sposta i contenuti originali in un punto protetto dell’hard disk, criptandoli. Ogni volta che si accende il computer, il bootkit carica nella memoria i suoi moduli, che contengono diversi payload dannosi (come un trojan bancario) o altri programmi che gli servono per passare inosservato, come un rootkit. Quest’ultimo è fondamentale per non far scoprire l’infezione del computer: esso individua eventuali tentativi di verifica del boot sector effettuati dal sistema operativo e da altre applicazioni (antivirus compresi), e fa in modo che i contenuti originali del boot sector ritornino temporanemante nel posto originale. Tutto sembra a posto, anche se non è così!
Si potrebbe pensare che l’unico modo per risolvere il problema è avviare il computer avvalendosi di un hard disk con un sistema operativo pulito e un buon antivirus. Certamente è un’opzione. Tuttavia, siamo riusciti a sviluppare una tecnologia che aiuta a combattere i bootkit (anche quelli sconosciuti) dall’interno, senza dover ricorrere a operazioni di chirurgia invasive.
Nei nostri prodotti, sia per aziende che per privati, è compreso un emulatore per bootstrap. Così come accade con un emulatore per il sistema operativo o per il browser, esso crea un ambiente artificiale in cui viene riprodotto il processo di boot del computer. Il bootkit pensa che sia arrivato il momento di entrare in azione e noi siamo lì ad aspettarlo al varco! L’oggetto sospetto viene inviato ai nostri esperti di virus attraverso il servizio KSN basato su cloud, e loro si occuperanno di sviluppare la protezione adeguata e di aggiornare il database. Da questo momento in poi la tecnologia fa il suo corso: l’antivirus individua il boot sector originale, cancella il bootkit e i relativi moduli, e infine ripristina il sistema. Se non avete tempo per consentire all’antivirus di effettuare questa procedura, potete tentare con la nostra utility gratuita KVRT.
Il bello di tutto ciò è che questo sistema vi protegge anche da bootkit sconosciuti. Innanzitutto, sfruttiamo l’analisi euristica locale per individuare attività sospette durante il processo di emulazione del boot. Successivamente, grazie al sistema KSN basato su cloud, impieghiamo metodolgie statistiche per individuare le anomalie causate dal bootkit.
Come qualsiasi altro emulatore, anche quello per il boot richiede un dispendio di risorse non indifferente. Vi chiederete allora se è strettamente necessario effettuare periodicamente un’analisi approfondita del boot sector. L’attivazione di questo efficace sistema di protezione può essere programmata, il che costituisce un grande vantaggio: decidendo, ad esempio, di effettuare la scansione di notte o quando non avete bisogno del computer, vi metterà al riparo da minacce concrete senza che ciò influisca sulle vostre abitudini.
Cos’altro dire a questo punto?
Indubbiamente, i bootkit si evolveranno nel tempo e diventeranno sempre più sofisticati. Prendiamo ad esempio il malware polimorfico XPAJ, che riesce a penetrare anche nelle ultime difese sviluppate da Windows e a occultare il suo bootkit. Non dimentichiamoci dei bioskit, che riescono a entrare ancora più a fondo nel sistema.
Va aggiunto che questa classe di malware è un’arma che solo un numero ristretto di cybercriminali è in grado di utilizzare. I quali di certo non vogliono attirare l’attenzione!
In molti prodotti anti-virus non ci sono sistemi di protezione contro i bootkit. Vi proponiamo qui di seguito i risultati di un test comparativo svolto di recente su vari prodotti riguardante la capacità di individuarli. Tali risultati non sono affatto confortanti, comunque sembra esserci un piccolo barlume di speranza…
Noi di Kaspersky Lab continuiamo a lavorare. Pensiamo, inventiamo, cerchiamo e curiamo… in poche parole, salviamo il mondo!