Rootkit: Cosa sono e come eliminarli

 COSA SONO 

I rootkit sono i nemici più infimi, i più difficili da rilevare e contrastare rispetto a tutte le altre categorie di malware, e vengono chiamati in gergo Ghostware.

Sono programmi che riescono a rendersi totalmente invisibili a livello utente, quindi anche a programmi di rilevazione vari ( antivirus, antispyware, etc ), permettendo quindi di celare alla perfezione qualsiasi tipo di malware (virus, trojan, etc) anche se questo è nelle firme del database del vostro antivirus.

Solo recentemente alcuni software come Rootkitrevealer (di Mark Russinovich) e altri riescono a rilevarne certuni, ma non possono rilevarli tutti in quanto scansionano il sistema e mostrano eventuali discrepanze nel filesystem come *potenziali* rootkit solo a livello utente.

I rootkit non sono pericolosi solo per sistemi Windows, ma anche per molti Unix like (Linux, BSD, Mac OS X), è infatti su questi sistemi che sono nati i primissimi rootkit, oltre 10 anni or sono, usati dagli hacker per nascondere le proprie intrusioni.

TIPOLOGIE

Possiamo categorizzare i rootkit in varie classi:

Per durata vitale :

  • Rootkits Persistenti
    Assimilabile ad un programma malevolo che si attiva ad ogni riavvio del Sistema Operativo.
  • Memory-Based Rootkit
    Non hanno codice memorizzato in modo persistente (ovvero nell’HD), perciò non sopravvivono al Reboot.

 

Per modo di esecuzione :

  • Rootkit livello utente
    Nascondono la loro presenza intercettando le API del Sistema Operativo, mediante Hooks che ritornano informazioni false. La presenza dei files è nascosta a tutti i meccanismi di esplorazione, compreso l’Explorer di Windows, inoltre anche le chiavi di registro che interessano il Rootkit possono essere camuffate o nascoste. Nel caso di RootKit persistenti, lo stesso programma che compone il rootkit può essere contenuto nel registro di Windows.
  • Rootkit livello kernel
    Sono molto più complessi e sofisticati, possono intercettare e mistificare con falsi dati tutte le chiamate effettuate a basso livello dal’OS.

I rootkit, essendo a tutti gli effetti software di occultamento, permettono di celare file, chiavi di registro, processi in memoria e socket in ascolto. La loro pericolosità è relativa all’uso che se ne fa, e purtroppo con un uso efferato diventano armi in grado di mettere KO un intero sistema, potendo infatti nascondere virus, trojan, spyware e quanto di peggio c’è nella rete.

Tutto ha inizio da una segnalazione nel blog di Mark Russinovich, dove dimostra che Sony BGM inseriva all’interno dei suoi CD un rootkit; basta inserire e ascoltare un CD e si è automaticamente infettati. Il sistema è stato infatti usato da Sony per tutelare i suoi interessi, ovvero impedire la copia dei CD, senza però che questo fosse minimamente segnalato all’utente e ovviamente senza il suo consenso. Da quì in poi iniziò la tempesta. Quà trovate tutta la cronologia presa dal sito boingboing.net sulla vicenda Sony. E dire che bastava avere l’autorun dei CD (premendo anche SHIFT) disabilitato per non incorrere in questi problemi.

 

COME EVITARLI

Ci sono 3 metodi piuttosto efficaci per prevenire rootkit (e non solo questi).

Account Limitato – Usare il PC con account limitato non è certamente la cura, però previene molti malware tra cui molti rootkit.

HIPS – (Host Intrusion Prevention System) Analizza in tempo reale quello che un’applicazione esegue all’interno del sistema e lo notifica all’utente. Chiaramente, un pò come avviene per i firewall, bisogna avere una certa accortezza nel permettere o negare certe regole, altrimenti non sapendo bene cosa si fà si rende vano l’utilizzo di questa tipologia di software.

Sandbox – Esegue le applicazioni (browser o qualsiasi applicazione) in un’area protetta in modo che alla fine dell’utilizzo il sistema non salva gli eventuali cambiamenti e tracce. Questo garantisce privacy e sicurezza ( anche eventuali virus eseguiti in modalità sandboxed sono innocui, perchè restano appunto all’interno dell’area protetta senza toccare il sistema). Usatela per eseguire applicazioni sconosciute e di dubbia provenienza.

COME ELIMINARLI 

Vi elenco alcuni programmi per l’eliminazione di rootkit :

  • Strider Ghostbuster – Progetto di MS, che se avrà un seguito sarà senz’altro il più efficace. Esegue in primis una scansione del sistema usando le API di alto livello come i programmi sopra elencati e ne salva i risultati. Successivamente si riavvia il sistema con un CD di boot che legge offline il filesystem, salvandone il risultato. Si confrontano i risultati della scansione online e offline ed eventuali discrepanze vengono segnalate come potenziale rootkit.

LINKS

http://www.antirootkit.com/

Blue Pill 

http://www.rootkit.com/

Linux Kernel Rootkits

Annunci

Pubblicato il 6 gennaio 2008, in Sicurezza con tag , , . Aggiungi il permalink ai segnalibri. Lascia un commento.

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: