Attenti ai rootkit di nuova generazione

di Pasquale Miele

Pubblicato 7 Settembre 2007
Aggiornato 12 Febbraio 2018 20:50

logo PMI+ logo PMI+

Durante l’ultima edizione della conferenza Black Hat USA, è andato in scena un grande dibattito tra la ricercatrice Joanna Rutkowska, esperta nella programmazione di rootkit, e Dino Dai Zovi, dirigente dell’azienda Matasano security; il tema centrale della discussione è stato un nuovo prototipo di rootkit basato sulla virtualizzazione delle macchine.

Per comprendere meglio questo concetto vi consiglio di leggere l’articolo su tweakness.net, in cui troverete varie informazioni su questo nuovo modello di malware.

In particolare si è discusso molto del rootkit Blue Pill, creato dalla ricercatrice, secondo la quale questo nuovo tipo di malware risulta del tutto “invisibile” a qualsiasi sistema di sicurezza. Al contrario, i ricercatori di Matasano Security, hanno reso noto che, attraverso una particolare tecnica, è possibile rilevare tale prototipo di malware.

Questo metodo di rilevazione è detto “Timing determination” e consiste nell’utilizzare contatori esterni al sistema, in grado di analizzare varie informazioni come, per esempio, l’utilizzo della CPU da parte del sistema.

Rutkowska, dal canto suo, ha dichiarato che questa tecnica può essere facilmente resa nulla utilizzandone un’altra denominata “Blue Chicken“: basta infatti rivedere il codice sorgente del rootkit per far si che quest’ultimo si disattivi ogni qual volta viene effettuato un’attacco di “Timing determination”.

C’è però da dire che non è possibile essere certi di quando, precisamente, ognuno di questi attacchi venga portato al termine. È anche vero però che ogni attacco può avere una breve durata, in quanto utilizza il 50% della CPU, altrimenti si rischia di mandare in fumo l’intera scheda madre.

Sembra quindi che la “smanettona” abbia avuto la meglio sul gruppo di ricercatori: se da un lato si può essere felici per lei, dall’altro c’è da essere molto preoccupati, perchè sono certo che questa nuova tipologia di malware non ci farà dormire sogni tranquilli.