Non sono sorpreso più di tanto nel vedere quanto rumore abbia provocato in tutto il mondo la nuova ricerca rilasciata da Joanna Rutkowska e dal suo team.
La ricerca è focalizzata sulle possibilità di sfruttare un bug scoperto nei sistemi basati su CPU Intel per riuscire ad eseguire del codice arbitrario in System Management Mode, la modalità di funzionamento più privilegiata nei processori Intel.
Come già sottolineato dalla stessa Joanna Rutkowska e Rafal Wojtczuk nel documento rilasciato, questo non è il primo attacco sviluppato nei confronti dell’SMM. Da alcuni anni abbiamo visto molti tentativi di muovere gli attacchi dal campo del sistema operativo, più in profondità del Ring0. Abbiamo visto dei proof of concept rootkit basati su hypervisor a Ring -1 e ora del malware in modalità SMM (che potrebbe essere definito come Ring -2).
Premettendo che non commenterò la ricerca in sé – potrebbe essere l’argomento per un altro post – vorrei invece focalizzarmi su alcuni punti importanti.
Il progetto bluepill è già conosciuto e pubblico da qualche tempo, così lo sono altri progetti quali SubVirt, ci sono anche proof of concept di infezioni del firmware delle schede PCI. La ricerca è un fattore intrinseco nell’uomo e permette a tutti di fare continuamente passi avanti.
Tuttavia va tutto visto secondo la giusta prospettiva.
Leggendo in alcuni forum, ho notato alcune persone spaventate da questo attacco che parlavano addirittura di buttare la propria CPU perché probabilmente vulnerabile a questi attacchi.
E’ vero, c’è la remota possibilità che possa accadere un’infezione, un rootkit che sfrutti un attacco all’SMM. Tuttavia è molto improbabile. Perché?
Semplice. I malware attuali sono utilizzati per rubare informazioni, numeri di carte di credito, informazioni bancarie, sottrarre soldi e identità digitali. I malware writer hanno capito che non c’è bisogno di utilizzare tecniche avanzate quale può essere un attacco tramite l’SMM, che è molto difficile da scrivere ed è hardware dipendente.
Poi ci sono gli attacker che invece vogliono trasformare il pc degli utenti in degli zombie per creare una botnet e venderla al miglior offerente o utilizzarla per estorsioni o per inviare spam. Anche qui ci sono svariati rootkit kernel mode che sono in grado di superare la maggior parte dei software antirootkit inclusi nelle suite di sicurezza antivirus.
Sì, ci sono tool antirootkit standalone online che sono in grado di individuare anche le ultime infezioni, ma sono troppo complicati e difficili da utilizzare per l’utente medio.
Attualmente gli attacchi sono progettati e sviluppati per essere veloci, efficienti e per cambiare continuamente al fine di rimanere invisibili. I malware writer hanno capito che se vogliono colpire le società di antivirus devono colpire il più veloce possibile, sapendo che le tecnologie attuali degli antivirus non riusciranno a tenere il loro passo e verrano così superate.
Noi alla Prevx vediamo questo trend continuamente, isolando migliaia di nuovi malware ogni giorno.
Da una ricerca interna è stato possibile vedere chiaramente come la maggior parte dei rootkit in the wild riescano a nascondersi agli occhi delle suite antivirus con una facilità estrema. Non hanno bisogno di sovrascrivere l’SMRAM – come i rootkit SMM fanno – o di utilizzare tecnologie di virtualizzazioni per prendere possesso del sistema operativo. Sono “semplici, elementari, kernel mode rootkit”.
Sì, non interessanti quanto i rootkit SMM, ma sono questi il vero nemico contro cui combattare ogni giorno. E il sistema operatio è ancora il campo di battaglia che tanto piace ai malware writer.
I SMM rootkit sono sicuramente una possibile minaccia ma sono molto meno pericolosi dei malware attuali che sono là fuori. Per registrare i tasti premuti, password e dati personali, non c’è bisogno di codice eseguito in SMM – in realtà è possibile farlo anche da user mode in un account limitato senza bisogno di alcun exploit.
Bisogna essere spaventati dagli SMM rootkit tanto da buttare la propria CPU? Assolutamente no. C’è bisogno di utilizzare più prodotti di sicurezza per rafforzare le barriere del sistema? Certamente.
--------Nessun post correlato.
Sono d’accordo con te. Queste tipologie di attacchi sono molto raffinate e appartengono in un certo qual modo alla ricerca pura nel campo della security.
Chi vuole colpire le masse usa di solito tecniche più consolidate. Mi sembra di scuola il caso di Conficker e delle sue varianti. Nulla di sconvolgentemente innovativo, ma molti vettori di attacco ed un aggiornamento continuo con nuove varianti del virus. Siamo ritornati anche alla diffusione su chiavetta USB del worm: banale ma estremamanete pericoloso!
Bel post comunque.
ciao
Ottimo articolo, come sempre.
A leggerlo, a prescindere dagli attacchi via SMM, sembra che non ci sia modo di difendersi dal malware (sempre avanti rispetto ai sistemi di protezione).
Anzi, al facilità con cui è possibile aggirare le protezioni sarebbe il motivo (e concordo con te) per cui non val la pena preoccuparsi di attacchi via SMM.
Alla fine l’articolo, che sembra scritto per tranquillizzare gli utenti sui rischi reali derivanti da attacchi SMM, li butta nel panico perchè il motivo per cui non ci sarebbe da preoccuparsi è che ci sono strade più semplici (e quindi più fruttuose) con cui i malware writers ottengono i loro scopi.
Però concludi l’articolo dicendo che “C’è bisogno di utilizzare più prodotti di sicurezza per rafforzare le barriere del sistema”.
Se è così semplice aggirarli, qualcuno si potrebbe chiedere a che servono e se non sarebbe più utile (o sufficiente) adottare altre best practises.