BOLLETTINO DI SICUREZZA INFORMATICA



Documenti analoghi
Procedure di ripristino del sistema.

Procedure di ripristino del sistema.

Istruzioni per la configurazione di Internet Explorer

Procedure di ripristino del sistema.

Navigazione Web e comunicazione Utilizzo del Browser Navigazione di base

Procedura di creazione di un set di dischi di ripristino del sistema.

Risolvere i problemi di avvio di Windows XP

CERTIFICATI DIGITALI. Manuale Utente

F-Secure Mobile Security per Nokia E51, E71 ed E75. 1 Installazione ed attivazione Client 5.1 F-Secure

Internet Explorer 7. Gestione cookie

Consiglio regionale della Toscana. Regole per il corretto funzionamento della posta elettronica

Programma per l elaborazione delle buste paga. dei collaboratori domestici VERSIONE /07/2010

Procedura di creazione di un set di dischi di ripristino del sistema.

Guida all Uso. L a t u a i m p r e s a, c h i av e i n m a n o. Guida_BusinessKey.indd :53:34

Servizio on-line di Analisi e Refertazione Elettrocardiografica

ISTRUZIONI PER L UTILIZZO DEL PORTALE APPLICAZIONI GRUPPO PIAZZETTA

Istruzioni per l installazione del software per gli esami ICoNExam (Aggiornate al 15/01/2014)

Alcune configurazioni del browser Internet Explorer e del runtime Java necessarie per utilizzare l'interfaccia GIS del sistema gestionale ARTEA.

GUIDA ALL ABILITAZIONE DELL INSTALLAZIONE DEI CONTROLLI ACTIVEX

LaCie Ethernet Disk mini Domande frequenti (FAQ)

installazione

Programma applicativo di protezione LOCK Manuale per l utente V2.22-T05

MANUALE PARCELLA FACILE PLUS INDICE

Corso di Alfabetizzazione Informatica

Che cosa è un VIRUS?

Istruzioni di installazione di IBM SPSS Modeler Text Analytics (licenza per sito)

Guida di Pro Spam Remove

Istruzioni per l uso della Guida. Icone utilizzate in questa Guida. Istruzioni per l uso della Guida. Software di backup LaCie Guida per l utente

IRSplit. Istruzioni d uso 07/10-01 PC

Guida dettagliata all'aggiornamento di Windows 8.1

Acer erecovery Management

MANUALE DI INSTALLAZIONE OMNIPOINT

CycloAgent v2 Manuale utente

Corso basi di dati Installazione e gestione di PWS

Proteggiamo il PC con il Firewall di Windows Vista

Area Cliente Guida di avvio

Guida all Uso. L a t u a i m p r e s a, c h i av e i n m a n o. Pantone Grigio Cool Gray 11 Giallo 123 C. Quadricromia. Giallo - C: 0 M:30,5 Y:94 K:0

PREMESSA. Procedure di protezione che, ovviamente, dovranno essere riabilitate al termine dell'installazione.

F-Secure Mobile Security per Windows Mobile 5.0 Installazione e attivazione dell F-Secure Client 5.1

Guida di Pro PC Secure

Guida dettagliata all'aggiornamento di Windows 8.1

Utilizzo di Blue s. Avvio di Blue s C A P I T O L O 7. Come avviare il programma e inserire la password

Studio Legale. Guida operativa

Versione 2.0. Manuale d uso. Software per la gestione. degli applicativi Bticino. TiManager 03/07-01 PC

ISTRUZIONI PER L UTILIZZO DELLA SCHEDA INFORMATIZZATA E MODALITA DI INVIO DEI DATI - L. R. 162/98 PROGRAMMA

1 CIRCOLO SPINEA (VE) CORSO CONOSCENZA E MANUTENZIONE DEL COMPUTER APRILE 2010

Creare e ripristinare immagine di sistema con Windows 8

5-1 FILE: CREAZIONE NUOVO DOCUMENTO

S4NET. Configurazione di Internet Explorer. Rev. 3.0 del 13/01/2010

. A primi passi con microsoft a.ccepss SommarIo: i S 1. aprire e chiudere microsoft access Start (o avvio) l i b tutti i pro- grammi

NOTE OPERATIVE. Prodotto Inaz Download Manager. Release 1.3.0

Procedura per il ripristino del software del dispositivo USB

2015 PERIODO D IMPOSTA

Motorola Phone Tools. Guida rapida

MANUALE UTENTE Fiscali Free

SPSS Statistics per Windows - Istruzioni di installazione per (Licenza per utenti singoli)

HORIZON SQL MENU' FILE

Istruzioni operative instal azione FirmaVerifica3.0 Pag.1 di 27

Introduzione. Introduzione a NTI Shadow. Panoramica della schermata iniziale

16/01/2009 AGGIORNAMENTO SOFTWARE LS7 AGGIORNAMENTO SOFTWARE LS7

Istruzioni per il cambio della password della casella di posta

GUIDA ALLE SOLUZIONI

Istruzioni per installare EpiData e i files dati ad uso di NetAudit

Manuale Operativo per la firma digitale

Manuale NetSupport v Liceo G. Cotta Marco Bolzon

Identità e autenticazione

1. opzione 1, ubuntu accanto a windows

IMPORTANTE PER ESEGUIRE QUESTA INSTALLAZIONE NEI SISTEMI OPERATIVI NT-2000-XP, BISOGNA AVERE I PRIVILEGI AMMINISTRATIVI.

Internet Explorer 6. Gestione cookie

ATLAS Installazione : INSTALLAZIONE DI ATLAS 2.x

Informazioni relative al Decreto legislativo 30 giugno 2003, n Codice in materia di protezione dei dati personali

Comando Generale Arma dei Carabinieri

TEST: Hardware e Software

Nokia C110/C111 scheda LAN senza filo Manuale di installazione

Kroll Ontrack Servizi RDR Guida rapida

Guida Rapida di Syncronize Backup

ATTENZIONE: note rilasciate dalla Regione Lazio (produttore del Software FLUR2014) e che si prega di leggere attentamente:

Procedura di aggiornamento del firmware Display Remoto IntellyGreenPV

Installazione o aggiornamento di 3CAD Azzurra Arredobagno

Manuale Operativo per la firma digitale

Acer erecovery Management

Installazione del software Fiery per Windows e Macintosh

Note di rilascio. Aggiornamento disponibile tramite Live Update a partire dal. Il supporto per Windows XP e Office 2003 è terminato

Samsung Auto Backup FAQ

Guida alle operazioni di base per la manutenzione del PC

Istruzioni per l'aggiornamento del firmware degli SSD client Crucial

Durante la prova compare il messaggio Esame fallito

Guida Utente Cos è aworkbook Cataloghi e sessioni Prodotti Assortimenti Risorse Presentazioni 11 Procedura d ordine

Aggiornamento dei dati dell obiettivo per il controllo distorsione

MANUALE PER CONSULTARE LA RASSEGNA STAMPA VIA WEB

1 Introduzione Installazione Configurazione di Outlook Impostazioni manuali del server... 10

Manuale Amministratore Legalmail Enterprise. Manuale ad uso degli Amministratori del Servizio Legalmail Enterprise

7 SETTORE Agenzia del Lavoro. Manuale di registrazione e di creazione della dichiarazione di disponibilità al lavoro on line

Il tuo manuale d'uso. SONY ERICSSON W200I

PROCEDURA DI INSTALLAZIONE DEI SOFTWARE E DEL DRIVER USB AIM

Laplink FileMover Guida introduttiva

Il tuo manuale d'uso. F-SECURE MOBILE SECURITY 6 FOR ANDROID

MANUALE DI INSTALLAZIONE OMNIPOINT

Operazioni da eseguire su tutti i computer

Transcript:

STATO MAGGIORE DELLA DIFESA II Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa Sezione Gestione del Rischio CERT Difesa CC BOLLETTINO DI SICUREZZA INFORMATICA N. 1/2009 Il bollettino può essere visionato on-line su: Internet: www.cert.difesa.it Intranet: www.riscert.difesa.it

Il rootkit del Master Boot Record Introduzione... 1 Il Master Boot Record (MBR)... 1 Il rootkit del Master Boot Record... 2 Fasi dell infezione:... 2 Informazioni aggiuntive:... 3 Ripristino del sistema:... 3 Difficoltà: Medio - Alta Le minacce nascoste: I File corrotti Introduzione:... 5 Quali tipi di file possono essere corrotti:... 5 Quali problemi può causare un file malevolo:... 5 Come proteggersi:... 6 Difficoltà: Medio - Bassa A cura di: SMD II Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa Sezione Gestione del Rischio - CERT Difesa

Rootkit del Master Boot Record Il rootkit del Master Boot Record Introduzione Il nuovo trend delle infezioni virali per quanto riguarda l'ambito informatico potrebbe essere costituito dai cosiddetti stealth MBR Rootkit, tecnologie in grado di compromettere Windows dall'esterno sovrascrivendo il Master Boot Record (MBR) degli hard disk ospitanti il sistema operativo e occultando sapientemente la loro presenza anche alle più recenti tecnologie antirootkit. Il Master Boot Record Il MBR è in genere la primissima sezione (di dimensione pari a 512 byte) dell hard-disk ed è il settore di avvio che contiene la sequenza di comandi necessaria per l'avvio del sistema operativo, ossia il bootloader. Il MBR di un disco, di solito, include la tabella delle partizioni del disco stesso, che è usata dal PC per puntare e caricare il settore di avvio della partizione segnata come attiva: questo permette al BIOS di caricare qualunque sistema operativo senza bisogno di sapere esattamente dove si trova all'interno della sua partizione. Bisogna specificare che il processo d'avvio è diverso a seconda che il disco sia partizionato o meno. In entrambi i casi il BIOS trasferisce il controllo al primo settore del disco dopo averlo letto in memoria. Successivamente, se il disco è partizionato, il settore contiene il codice di selezione della partizione che carica il primo settore della partizione selezionata al suo posto e trasferisce il controllo a questo; altrimenti, se non ha partizioni, è il settore stesso che carica il sistema operativo. 1

Rootkit del Master Boot Record Il rootkit del Master Boot Record Gli utenti maggiormente a rischio per questo tipo di codice malevolo sono tutti coloro che navigano sul web con una versione del browser non aggiornata. L infezione infatti si diffonde attraverso alcuni siti web che ospitano exploit studiati per infettare pc con software e/o sistema operativo non aggiornati. Gran parte dei siti web monitorati che vengono utilizzati per diffondere questa infezione sono iniettati in iframe (o Inline Frame) nascosti all interno di pagine web compromesse. Gli iframe sono speciali frame che consentono agli sviluppatori di inserire frame all'interno della pagina come se si trattasse di oggetti qualsiasi, in altri termini permettono la creazione di vere e proprie finestre all'interno della pagina, con contenuti indipendenti dal resto del documento. Fasi dell infezione: Una volta che il dropper (file vettore utilizzato per installare un virus su un computer evitando che gli antivirus ne individuino la presenza) viene eseguito, esso: memorizza al settore 62 del disco una copia del MBR originale; sovrascrive il Master Boot Record originale con il proprio codice che tra le altre informazioni contiene anche le indicazioni circa la posizione del rootkit all interno del disco); scrive il driver del rootkit in uno spazio libero e inutilizzato dell hard disk che solitamente coincide con gli ultimi settori del disco. 2

Rootkit del Master Boot Record A questo punto durante il successivo riavvio del sistema (un reboot può anche essere programmato automaticamente dal malware stesso), il codice scritto nel Master Boot Record riuscirà a controllare qualunque cosa viene caricata dal sistema operativo. Questa posizione gli permette inoltre di poter modificare il kernel non appena viene letto dall hard disk, in modo tale che il driver del rootkit sia caricato nel sistema. Questa operazione non necessita di nessuna chiave registro né della presenza di alcun file. Per nascondersi all interno di Windows, il rootkit modifica le routine IRP_MJ_READ e IRP_MJ_WRITE del driver disk.sys, responsabile in Windows dell accesso ai dischi. Quando si tenta di leggere il Master Boot Record, il rootkit mostrerà come risposta il codice memorizzato al settore 62, cioè il codice originale. In aggiunta, il driver caricato sarà anche responsabile di alcune connessioni verso host remoti. Informazioni aggiuntive: La maggior parte del codice utilizzato dal malware è stato copiato dal progetto BootRoot che dimostra, per scopi non malevoli, come alcune modifiche al codice del boot sector possano, di conseguenza, apportare cambiamenti al kernel di Windows anche in ambiente NT. In alcuni test preliminari Windows Vista è risultato solo parzialmente vulnerabile: se UAC è disabilitato, il rootkit può sovrascrivere il Master Boot Record mentre, se UAC è abilitato, il tentativo di sovrascrittura viene bloccato. Inoltre, anche se il codice viene scritto nel MBR, il rootkit non riesce a prendere il controllo del sistema a causa del processo di boot differente da quello di Windows XP. Ripristino del sistema: Una soluzione semplice ma efficace per rimuovere un rootkit da una macchina infetta è quella di utilizzare la Console di ripristino e lanciare il comando "fixmbr", che consente di riparare il codice di avvio principale della partizione di avvio: 3

Rootkit del Master Boot Record Una operazione preliminare all utilizzo della console di ripristino è quella di disattivare il ripristino della configurazione del Sistema seguendo le seguenti indicazioni: premere il tasto destro del mouse sull'icona Risorse del Computer; selezionare la voce Proprietà; aprire la scheda Ripristino configurazione di Sistema; spuntare la voce Disattiva ripristino configurazione di sistema; confermare la modifica, con Applica e, poi Ok. (Riattivare il Ripristino Configurazione Sistema solo a disinfezione terminata). A questo punto per utilizzare la console di ripristino: 1. Inserire il disco di ripristino di Windows XP nell'unità disco floppy oppure inserire il CD di Windows XP nell'unità CD-ROM, quindi riavviare il computer. Se richiesto, fare clic per selezionare qualsiasi opzione necessaria per avviare il computer dall'unità CD-ROM; 2. Quando viene visualizzata la schermata "Installazione", premere R per avviare la Console di ripristino di emergenza; 3. Nel caso di un sistema ad avvio multiplo, selezionare l'installazione a cui accedere dalla Console di ripristino di emergenza; 4. Quando richiesto, digitare la pswd di amministratore e premere INVIO; 5. Al prompt dei comandi digitare fixmbr quindi premere INVIO e seguire le istruzioni per ripristinare il Master Boot Record; 6. Per uscire dalla Console di ripristino di emergenza e riavviare il computer, digitare exit al prompt dei comandi, quindi premere In- VIO. 4

Le minacce nascoste: i file corrotti Le minacce nascoste: i File corrotti Introduzione: Il codice malevolo non è sempre nascosto all interno di pagine web o in file dal formato non standard. Gli attaccanti potrebbero, infatti, corrompere tipi di file che l utente normalmente considera e riconosce come sicuri e attendibili. Quali tipi di file possono essere corrotti: Come detto, gli autori di codice malevolo potrebbero essere in grado di inserire il proprio codice all interno di file comunemente noti come sicuri. Una tecnica in tal senso è quella di manipolare file creati con programmi di word processor, fogli elettronici o file immagine, inserendo in essi codice malevolo: a questo punto un soggetto malintenzionato procederà alla loro distribuzione tramite email o pubblicandoli all interno di siti web. Nella maggior parte dei casi, la creazione di file ad hoc da parte di potenziale attaccanti è una conseguenza della scoperta di vulnerabilità presenti proprio all interno del software di creazione o gestione dei file stessi. Le vunerabilità, per essere sfruttate, possono necessitare della combinazione di alcuni elementi come l esecuzione di un determinato software eseguito in uno specifico sistema operativo, oppure interessare il software indipendentemente dalla piattaforma: queste vulnerabilità spesso consentono agli attaccanti di inserire ed eseguire codice senza essere individuati Quali problemi può causare un file malevolo: Esistono vari tipi di codice malevolo quali virus, worm e trojan horse: in ogni caso, gli effetti generati sono diversi anche all interno di ciascuna categoria. Il codice opportunamente scritto potrebbe, infatti, essere stato 5

Le minacce nascoste: i file corrotti creato per sfruttare una o più funzioni o generare differenti effetti negativi, quali, ad esempio: limitazione delle potenzialità del computer di elaborare le informazioni attraverso il consumo di memoria o di banda di connessione (rendendo il PC particolarmente lento o addirittura bloccandolo); installazione, modifica o cancellazione di file sul sistema compromesso; garanzia di accesso, per l attaccante, alle risorse del computer; utilizzo del PC per perpetrare attacchi contro altri sistemi (includendoli ad esempio in botnet per condurre attacchi massivi). Come proteggersi: utilizzare e mantenere aggiornati i software antivirus il software AV riconosce da virus noti in modo da identificarli e rimuoverli prima che possano arrecare danno. Considerando che gli autori di virus creano continuamente nuovo codice malevolo o nuove definizioni di viris esistenti, è molto importante mantenere il software AV costantemente aggiornato alla versione e definizione più recenti; utilizzare particolare attenzione con gli allegati alle email non aprire i file allegati ai messaggi inattesi di posta elettronica, specialmente provenienti da utenti non conosciuti o ritenuti inaffidabili. Effettuare comunque la scansione con l antivirus dell allegato prima di aprirlo, in quanto, l attaccante potrebbe aver spoofato la sorgente della email allo scopo di impersonare fraudolentemente un soggetto ritenuto affidabile (trusted), mentre il mittente potrebbe inviare messaggi di posta elettronica in cui gli eventuali allegati contengono, a sua insaputa, codice malevolo; usare cautela quando si effettua download da siti web evitare di scaricare file da siti ritenuti non affidabili. Se il sito da cui si sta effettuando il download è sicuro, verificare l attendibilità del 6

Le minacce nascoste: i file corrotti relativo certificato. In ogni caso, prima di aprire un file scaricato da un sito web, è consigliabile salvarlo in un disco ed effettuare manualmente la verifica di sicurezza con un antivirus aggiornato. Mantenere aggiornato il software Installare, appena rilasciati, tutti gli aggiornamenti e tutte le patch per il software installato sul proprio PC, considerando che la maggior parte delle vulnerabilità vengono sfruttate non appena noto che un prodotto ne è affetto. Si consiglia di attivare l opzione di aggiornamento automatico per tutti quei software che offrono questa opportunità. Ottimizzare le configurazioni di sicurezza Applicare i più alti livelli di sicurezza disponibili, tenuto conto delle proprie esigenze, dei client di posta elettronica (Outlook, Thunderbird, etc..) e dei browser (Internet Explorer, Mozilla Firefox, Opera, etc..) utilizzati. 7

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back