STATO MAGGIORE DELLA DIFESA II Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa Sezione Gestione del Rischio CERT Difesa CC BOLLETTINO DI SICUREZZA INFORMATICA N. 1/2009 Il bollettino può essere visionato on-line su: Internet: www.cert.difesa.it Intranet: www.riscert.difesa.it
Il rootkit del Master Boot Record Introduzione... 1 Il Master Boot Record (MBR)... 1 Il rootkit del Master Boot Record... 2 Fasi dell infezione:... 2 Informazioni aggiuntive:... 3 Ripristino del sistema:... 3 Difficoltà: Medio - Alta Le minacce nascoste: I File corrotti Introduzione:... 5 Quali tipi di file possono essere corrotti:... 5 Quali problemi può causare un file malevolo:... 5 Come proteggersi:... 6 Difficoltà: Medio - Bassa A cura di: SMD II Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa Sezione Gestione del Rischio - CERT Difesa
Rootkit del Master Boot Record Il rootkit del Master Boot Record Introduzione Il nuovo trend delle infezioni virali per quanto riguarda l'ambito informatico potrebbe essere costituito dai cosiddetti stealth MBR Rootkit, tecnologie in grado di compromettere Windows dall'esterno sovrascrivendo il Master Boot Record (MBR) degli hard disk ospitanti il sistema operativo e occultando sapientemente la loro presenza anche alle più recenti tecnologie antirootkit. Il Master Boot Record Il MBR è in genere la primissima sezione (di dimensione pari a 512 byte) dell hard-disk ed è il settore di avvio che contiene la sequenza di comandi necessaria per l'avvio del sistema operativo, ossia il bootloader. Il MBR di un disco, di solito, include la tabella delle partizioni del disco stesso, che è usata dal PC per puntare e caricare il settore di avvio della partizione segnata come attiva: questo permette al BIOS di caricare qualunque sistema operativo senza bisogno di sapere esattamente dove si trova all'interno della sua partizione. Bisogna specificare che il processo d'avvio è diverso a seconda che il disco sia partizionato o meno. In entrambi i casi il BIOS trasferisce il controllo al primo settore del disco dopo averlo letto in memoria. Successivamente, se il disco è partizionato, il settore contiene il codice di selezione della partizione che carica il primo settore della partizione selezionata al suo posto e trasferisce il controllo a questo; altrimenti, se non ha partizioni, è il settore stesso che carica il sistema operativo. 1
Rootkit del Master Boot Record Il rootkit del Master Boot Record Gli utenti maggiormente a rischio per questo tipo di codice malevolo sono tutti coloro che navigano sul web con una versione del browser non aggiornata. L infezione infatti si diffonde attraverso alcuni siti web che ospitano exploit studiati per infettare pc con software e/o sistema operativo non aggiornati. Gran parte dei siti web monitorati che vengono utilizzati per diffondere questa infezione sono iniettati in iframe (o Inline Frame) nascosti all interno di pagine web compromesse. Gli iframe sono speciali frame che consentono agli sviluppatori di inserire frame all'interno della pagina come se si trattasse di oggetti qualsiasi, in altri termini permettono la creazione di vere e proprie finestre all'interno della pagina, con contenuti indipendenti dal resto del documento. Fasi dell infezione: Una volta che il dropper (file vettore utilizzato per installare un virus su un computer evitando che gli antivirus ne individuino la presenza) viene eseguito, esso: memorizza al settore 62 del disco una copia del MBR originale; sovrascrive il Master Boot Record originale con il proprio codice che tra le altre informazioni contiene anche le indicazioni circa la posizione del rootkit all interno del disco); scrive il driver del rootkit in uno spazio libero e inutilizzato dell hard disk che solitamente coincide con gli ultimi settori del disco. 2
Rootkit del Master Boot Record A questo punto durante il successivo riavvio del sistema (un reboot può anche essere programmato automaticamente dal malware stesso), il codice scritto nel Master Boot Record riuscirà a controllare qualunque cosa viene caricata dal sistema operativo. Questa posizione gli permette inoltre di poter modificare il kernel non appena viene letto dall hard disk, in modo tale che il driver del rootkit sia caricato nel sistema. Questa operazione non necessita di nessuna chiave registro né della presenza di alcun file. Per nascondersi all interno di Windows, il rootkit modifica le routine IRP_MJ_READ e IRP_MJ_WRITE del driver disk.sys, responsabile in Windows dell accesso ai dischi. Quando si tenta di leggere il Master Boot Record, il rootkit mostrerà come risposta il codice memorizzato al settore 62, cioè il codice originale. In aggiunta, il driver caricato sarà anche responsabile di alcune connessioni verso host remoti. Informazioni aggiuntive: La maggior parte del codice utilizzato dal malware è stato copiato dal progetto BootRoot che dimostra, per scopi non malevoli, come alcune modifiche al codice del boot sector possano, di conseguenza, apportare cambiamenti al kernel di Windows anche in ambiente NT. In alcuni test preliminari Windows Vista è risultato solo parzialmente vulnerabile: se UAC è disabilitato, il rootkit può sovrascrivere il Master Boot Record mentre, se UAC è abilitato, il tentativo di sovrascrittura viene bloccato. Inoltre, anche se il codice viene scritto nel MBR, il rootkit non riesce a prendere il controllo del sistema a causa del processo di boot differente da quello di Windows XP. Ripristino del sistema: Una soluzione semplice ma efficace per rimuovere un rootkit da una macchina infetta è quella di utilizzare la Console di ripristino e lanciare il comando "fixmbr", che consente di riparare il codice di avvio principale della partizione di avvio: 3
Rootkit del Master Boot Record Una operazione preliminare all utilizzo della console di ripristino è quella di disattivare il ripristino della configurazione del Sistema seguendo le seguenti indicazioni: premere il tasto destro del mouse sull'icona Risorse del Computer; selezionare la voce Proprietà; aprire la scheda Ripristino configurazione di Sistema; spuntare la voce Disattiva ripristino configurazione di sistema; confermare la modifica, con Applica e, poi Ok. (Riattivare il Ripristino Configurazione Sistema solo a disinfezione terminata). A questo punto per utilizzare la console di ripristino: 1. Inserire il disco di ripristino di Windows XP nell'unità disco floppy oppure inserire il CD di Windows XP nell'unità CD-ROM, quindi riavviare il computer. Se richiesto, fare clic per selezionare qualsiasi opzione necessaria per avviare il computer dall'unità CD-ROM; 2. Quando viene visualizzata la schermata "Installazione", premere R per avviare la Console di ripristino di emergenza; 3. Nel caso di un sistema ad avvio multiplo, selezionare l'installazione a cui accedere dalla Console di ripristino di emergenza; 4. Quando richiesto, digitare la pswd di amministratore e premere INVIO; 5. Al prompt dei comandi digitare fixmbr quindi premere INVIO e seguire le istruzioni per ripristinare il Master Boot Record; 6. Per uscire dalla Console di ripristino di emergenza e riavviare il computer, digitare exit al prompt dei comandi, quindi premere In- VIO. 4
Le minacce nascoste: i file corrotti Le minacce nascoste: i File corrotti Introduzione: Il codice malevolo non è sempre nascosto all interno di pagine web o in file dal formato non standard. Gli attaccanti potrebbero, infatti, corrompere tipi di file che l utente normalmente considera e riconosce come sicuri e attendibili. Quali tipi di file possono essere corrotti: Come detto, gli autori di codice malevolo potrebbero essere in grado di inserire il proprio codice all interno di file comunemente noti come sicuri. Una tecnica in tal senso è quella di manipolare file creati con programmi di word processor, fogli elettronici o file immagine, inserendo in essi codice malevolo: a questo punto un soggetto malintenzionato procederà alla loro distribuzione tramite email o pubblicandoli all interno di siti web. Nella maggior parte dei casi, la creazione di file ad hoc da parte di potenziale attaccanti è una conseguenza della scoperta di vulnerabilità presenti proprio all interno del software di creazione o gestione dei file stessi. Le vunerabilità, per essere sfruttate, possono necessitare della combinazione di alcuni elementi come l esecuzione di un determinato software eseguito in uno specifico sistema operativo, oppure interessare il software indipendentemente dalla piattaforma: queste vulnerabilità spesso consentono agli attaccanti di inserire ed eseguire codice senza essere individuati Quali problemi può causare un file malevolo: Esistono vari tipi di codice malevolo quali virus, worm e trojan horse: in ogni caso, gli effetti generati sono diversi anche all interno di ciascuna categoria. Il codice opportunamente scritto potrebbe, infatti, essere stato 5
Le minacce nascoste: i file corrotti creato per sfruttare una o più funzioni o generare differenti effetti negativi, quali, ad esempio: limitazione delle potenzialità del computer di elaborare le informazioni attraverso il consumo di memoria o di banda di connessione (rendendo il PC particolarmente lento o addirittura bloccandolo); installazione, modifica o cancellazione di file sul sistema compromesso; garanzia di accesso, per l attaccante, alle risorse del computer; utilizzo del PC per perpetrare attacchi contro altri sistemi (includendoli ad esempio in botnet per condurre attacchi massivi). Come proteggersi: utilizzare e mantenere aggiornati i software antivirus il software AV riconosce da virus noti in modo da identificarli e rimuoverli prima che possano arrecare danno. Considerando che gli autori di virus creano continuamente nuovo codice malevolo o nuove definizioni di viris esistenti, è molto importante mantenere il software AV costantemente aggiornato alla versione e definizione più recenti; utilizzare particolare attenzione con gli allegati alle email non aprire i file allegati ai messaggi inattesi di posta elettronica, specialmente provenienti da utenti non conosciuti o ritenuti inaffidabili. Effettuare comunque la scansione con l antivirus dell allegato prima di aprirlo, in quanto, l attaccante potrebbe aver spoofato la sorgente della email allo scopo di impersonare fraudolentemente un soggetto ritenuto affidabile (trusted), mentre il mittente potrebbe inviare messaggi di posta elettronica in cui gli eventuali allegati contengono, a sua insaputa, codice malevolo; usare cautela quando si effettua download da siti web evitare di scaricare file da siti ritenuti non affidabili. Se il sito da cui si sta effettuando il download è sicuro, verificare l attendibilità del 6
Le minacce nascoste: i file corrotti relativo certificato. In ogni caso, prima di aprire un file scaricato da un sito web, è consigliabile salvarlo in un disco ed effettuare manualmente la verifica di sicurezza con un antivirus aggiornato. Mantenere aggiornato il software Installare, appena rilasciati, tutti gli aggiornamenti e tutte le patch per il software installato sul proprio PC, considerando che la maggior parte delle vulnerabilità vengono sfruttate non appena noto che un prodotto ne è affetto. Si consiglia di attivare l opzione di aggiornamento automatico per tutti quei software che offrono questa opportunità. Ottimizzare le configurazioni di sicurezza Applicare i più alti livelli di sicurezza disponibili, tenuto conto delle proprie esigenze, dei client di posta elettronica (Outlook, Thunderbird, etc..) e dei browser (Internet Explorer, Mozilla Firefox, Opera, etc..) utilizzati. 7