In arrivo le nuove tecniche per i rootkits

In occasione dei prossimi convegni sulla computer security, vari hackers/security researchers stanno preparando il proprio materiale in tema di rootkits.
Sebastian Muñiz di Core Security ha sviluppato un rootkit per i router Cisco e sta pensando di presentarlo all’EuSecWest Conference che si terrà a Londra il 21 e 22 di maggio.
Sherri Sparks e Shawn Embleton di Clear Hat Consulting sfruttano un operational mode poco conosciuto dei processori Intel per nascondere il codice. Il loro lavoro sarà presentato alla conferenza Black Hat USA 08 il 6-7 agosto al Caesars Palace Hotel and Casino di Las Vegas.

Il rootkit sviluppato da Sparks e Shawn usa il System Management Mode (SMM) dei processori Intel per nascondere in memoria un key logger.
Il System Management Mode è pensato per individuare e reagire a eventi di sistema come errori della memoria e del chipset, estendendo le funzionalità della scheda madre e gestendo il controllo della temperatura e dell’alimentazione.
SMM è implementato su tutti i moderni processori x86 e x64, inclusi quelli prodotti da Via e AMD.
Il sistema operativo non è in grado di interrompere una chiamata SMM.
Quando il processore riceve un System Management Interrupt (SMI) non-maskable, viene sospesa l’esecuzione del s.o. stesso e dei programmi, salvato lo stato della macchina, ed eseguito il codice da una zona di memoria privilegiata e nascosta.
Uno dei pericoli è che il codice non può accedere alcun drivers del sistema operativo in modalità SMM, ma deve “dialogare” direttamente con l’hardware.

Alla CanSecWest Conference del 2006, Loic Duflot ha presentato un articolo in cui mostra come i superusers possano innalzare i propri privilegi grazie a SMM su un sistema OpenBSD. Al tempo pero’ non fu reso pubblico alcun rootkit per SMM.

Il rootkit per l’IOS Cisco sviluppato da Sebastian Muñiz di Core Security Technologies presumibilmente gira su diverse versioni del sistema operativo.
Un attaccante deve prima di tutto ottenere l’accesso alla macchina che vuole compromettere, magari mediante una vulnerabilità nota (della particolare versione) e code injection.
Il codice viene quindi memorizzato nel firmware e immediatamente eseguito una volta che il device viene riavviato.
Apparentemente, i router Cisco possono essere controllati e monitorati senza che nessuno se ne accorga.
Muñiz ha già fatto sapere che non rilascierà il codice sorgente per questo rootkit.

Preoccupante inoltre come recentemente, l’FBI abbia individuato moduli e appliances Cisco piratati, utilizzati dal governo e dai militari. L’ipotesi alquanto preoccupante è che qualcuno stia già utilizzando questi devices per scopi di spionaggio.
Il rootkit di Muñiz potrebbe dimostrare come questo pericolo non sia solamente teorico, ma effettivamente reale, anche Cisco non ha individuato nulla di anomalo nei dispositivi sequestrati dall’FBI.

Va ricordato a riguardo quanto successe in occasione del Black Hat 2005, quando Michael Lynn parlò di alcune vulnerabilità dei router Cisco che consentivano l’injection e l’esecuzione di codice malevole.
Cisco scatenò l’inferno tentando di impedire a Lynn di fare la presentazione, addirittura intentandogli causa.
L’avvocato Jennifer Granick di Electronic Freedom Foundation (EFF), che rappresentò Lynn nel caso contro Cisco, avverte che la cosa potrebbe ripetersi, con Cisco che potrebbe intentare causa contro Muñiz per violazione di segreti commerciali.
A quanto pare però Muñiz non sembra molto preoccupata dalla cosa visto la brutta figura che ci fece Cisco nel 2005.
Dice infatti: “Cisco si definisce come una società molto vicina e amichevole nei confronti di chi svolge ricerca… Ci penseranno bene prima di intentare un’azione legale.”.

FONTI:
* Security Researcher to release Cisco rootkit at EUSecWest, news sul blog di Nathan McFeters
* A New Breed of Rootkit: The System Management Mode (SMM) Rootkit, annuncio della presentazione di Shawn Embleton e Sherri Sparks al BlackHat USA 08
* Hackers present new rootkit techniques, by Heise Security

3 thoughts on “In arrivo le nuove tecniche per i rootkits

  1. vogliamo il vecchio LostInSide!

  2. Eheheh beh guarda potrei anche aprirlo un blog di quel genere… visto il periodo 😀
    Questo blog è troppo informatico… della vita reale e personale ormai c’è poco o nulla…

    Non si sa mai che in futuro decida di aprirlo 😀

  3. Pingback: In arrivo le nuove tecniche per i rootkits - Eurohackers.it Blog di informaica, notizie, programmazione, linux e tecnologia

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *