I rootkit compromettono una rete in modo da consentire agli autori delle minacce di rientrare ogni volta che vogliono. Possono esfiltrare informazioni, eliminare file o installare altri malware. Ecco come stare al sicuro.
Rootkit
I rootkit sono una forma di malware particolarmente perniciosa. Sono molto difficili da rilevare e ancora più difficili da eliminare. Inoltre, danno all'attore della minaccia un enorme potere sul tuo sistema, inclusa la possibilità di andare e venire a loro piacimento. Ciò pone l'osservazione e la ricognizione a lungo termine completamente all'interno degli attori della minaccia’ afferrare.
I rootkit non sono nuovi. Sono in circolazione dai primi anni '90, quando è stato sviluppato il primo rootkit per Sun Microsystems’ Sistema operativo SunOS Unix. Questo si riflette nel nome. La “radice” parte si riferisce all'amministratore di sistema su sistemi operativi simili a Unix e al “kit” parte descrive la raccolta di strumenti software necessari per eseguire l'exploit.
Il primo rootkit progettato specificamente per il sistema operativo Windows era un malware chiamato NTRootkit. È stato creato da un ricercatore di sicurezza chiamato Greg Hoglund per promuovere l'interesse nello sviluppo di difese contro tali attacchi.
Una recente innovazione è stata lo sviluppo di rootkit per dispositivi Internet of Things (IoT). In parte questo è dovuto alla sorprendente proliferazione di dispositivi IoT. Più obiettivi hanno gli attori delle minacce, più sono felici. Ma la vera ragione per cui il criminale informatico li trova un obiettivo così attraente è la mancanza di una sicurezza solida, a volte del tutto, nella maggior parte dei dispositivi IoT.
Pubblicità
Qualsiasi punto di ingresso è utile per un attore di minacce. I dispositivi IoT hanno spesso le capacità di sicurezza più deboli di qualsiasi dispositivo connesso a una rete. Sono con connessione a Internet, connessi al Wi-Fi dell'organizzazione e quasi certamente non segmentati rispetto alla rete aziendale principale. Se il dispositivo IoT compromesso non soddisfa le loro esigenze come base nella rete, possono facilmente trovarlo e trasferirsi in un'altra posizione più adatta al loro scopo.
Come vengono installati i rootkit
I rootkit non possono autoreplicarsi come virus e worm. Devono essere distribuiti da qualche altro meccanismo come attacchi basati sull'ingegneria sociale come campagne e-mail di phishing, siti Web infetti o drop USB.
Le campagne di phishing inviano e-mail fraudolente mascherate da e-mail provenienti da fonti autentiche e affidabili. Le e-mail sono formulate con cura. Tentano di costringere il destinatario a fare clic su un collegamento o ad aprire un allegato infetto. L'allegato contiene un software chiamato contagocce. Una volta installato, scarica un ulteriore payload—il rootkit stesso—dai server dell'autore della minaccia. Le e-mail di phishing senza allegati contengono collegamenti che portano la vittima a siti Web infetti. Questi siti web sfruttano browser privi di patch per infettare il computer della vittima.
Un drop USB è un attacco più mirato. Le chiavi di memoria USB infette vengono lasciate in luoghi dove verranno trovate dai membri del personale dell'organizzazione presa di mira. La chiave di memoria USB è solitamente collegata a un set di chiavi. Questo avvia una serie di eventi volti a identificare il proprietario delle chiavi. Ovviamente nessuno si fa avanti per reclamarli. Prima o poi, qualcuno inserirà la chiave di memoria USB in un computer per cercare informazioni che identifichino il proprietario. Quelli che sembrano essere PDF o altri file di documenti sulla chiave di memoria USB sono in realtà programmi mascherati. Provare ad aprirne uno infetterà il computer.
Possono essere utilizzate anche tecniche trojan. È qui che un'applicazione software innocente viene riconfezionata dagli attori della minaccia in una routine di installazione diversa. L'installazione del software sembra procedere come previsto, ma il rootkit è stato installato insieme all'applicazione. I software piratati e craccati dai siti torrent sono spesso trojan.
Che cosa fa un rootkit
I rootkit scavano a fondo. Il contagocce può nascondersi nel BIOS o UEFI quindi anche se il disco rigido viene cancellato, il contagocce scarica semplicemente di nuovo il rootkit. È così che i rootkit possono sopravvivere magicamente riformattando completamente il disco rigido o persino sostituendo l'hardware e installando un disco rigido nuovo di zecca.
Pubblicità
Un rootkit si installa in modo tale da sembrare una parte integrata e legittima del sistema operativo stesso. Possono impedire il loro rilevamento da parte delle suite di protezione degli endpoint, possono rimuovere il software di protezione degli endpoint e possono includere tecniche per impedirne la rimozione anche se vengono rilevati dal software di protezione degli endpoint. Poiché ha privilegi a livello di amministratore un rootkit—e quindi, gli autori delle minacce—possono fare quello che vogliono.
Gli attori delle minacce amano particolarmente i rootkit a causa della backdoor privata che offre loro. È come un intruso in un edificio. Se devono forzare la serratura ogni volta che cercano di accedere, prima o poi verranno individuati. Ma se hanno la propria chiave o conoscono il codice della tastiera del citofono possono entrare e uscire a piacimento. Nel 2020 il tempo medio dall'infezione al rilevamento e al contenimento è stato di oltre 200 giorni. Questo è il motivo per cui i rootkit sono classificati come minacce persistenti avanzate.
Un rootkit può eseguire una delle seguenti operazioni:
- Installare una backdoor: questo consente gli attori delle minacce di avere un facile accesso ripetuto alla rete.
- Installa altro software dannosoNota: il rootkit potrebbe installare ulteriore malware come il software di keylogging. L'obiettivo è catturare le credenziali di autenticazione per l'online banking, altre piattaforme di pagamento o altri servizi a cui i criminali informatici sono interessati. Una volta che gli autori delle minacce hanno deciso di aver ricavato quanto più possibile dalla tua rete, possono installare ransomware come loro colpo d'addio. Sta diventando sempre più comune che una rete venga compromessa e che il materiale riservato dell'azienda venga esfiltrato prima che venga attivato l'attacco ransomware. Se la vittima dispone di un solido schema di ripristino di emergenza e si rifiuta di pagare il riscatto, i criminali informatici minacciano di rilasciare pubblicamente i documenti privati.
- Leggere, copiare, estrarre o eliminare i file : una volta che sono nella tua rete nulla è privato o immutabile.
- Modifica le configurazioni di sistemaNota: i rootkit modificheranno le impostazioni di sistema per nascondersi dal software di protezione degli endpoint e apparire legittimi ad altri componenti del sistema operativo. Modificherà le impostazioni per darsi il più alto livello di diritti di amministrazione e il permesso di interagire con il livello più basso di funzionalità del sistema operativo.
- Accesso e modifica dei file di registro: i rootkit modificheranno il sistema log per rendere impossibile la loro scoperta o indagine.
- Registra e monitora le sequenze di tasti: la registrazione delle sequenze di tasti è un modo semplice ed efficace per acquisire nomi utente e password, sia per i sistemi locali che per i sistemi online. Dopotutto, tutto ciò che scrivi passa attraverso la stessa tastiera.
Chi c'è dietro i rootkit?
I rootkit sono pezzi di codice estremamente sofisticati. La creazione di un rootkit efficace va oltre le capacità del criminale informatico medio. Tuttavia, i set di strumenti rootkit sono disponibili sul Dark Web. Questi mettono il potere dei rootkit nelle mani di qualsiasi programmatore ragionevolmente competente. Il codice di prova del concetto che dimostra le tecniche di rootkit è persino disponibile su GitHub.
Scrivere un rootkit da zero richiede molte risorse e competenze di sviluppo di alto livello. I cybergruppi offensivi sponsorizzati dallo stato—gruppi APT—che lavorano per conto delle loro forze armate o di altre agenzie sono una fonte nota di rootkit. Un esempio recente è il rootkit Drovorub. L'attribuzione della National Security Agency (NSA) e Federal Bureau of Investigation (FBI) ha identificato l'85° Centro servizi speciali principali (GTsSS) russo—noto anche come APT28 e Fancy Bear—come il gruppo dietro la minaccia.
Tipi di rootkit
I rootkit possono essere classificati in base ad alcuni dei loro comportamenti. Le varianti più comuni sono:
- rootkit del kernel: operano a livello del kernel. Il rootkit ottiene tutti i privilegi concessi al sistema operativo.
- Rootkit dell'applicazione: Funzionano a livello di applicazione. In genere, sostituiscono o modificano moduli, file o codice delle applicazioni. Ciò consente al rootkit e ai criminali informatici di spacciarsi per normale software consentito.
- Rootkit di memoria: operano nella memoria ad accesso casuale (RAM). Poiché vengono eseguiti nella RAM, non lasciano impronte digitali o firme di file sul disco rigido.
- Bootkit: un bootkit—o kit di bootloader—è un rootkit che influisce sui loader di avvio del sistema operativo come il Master Boot Record (MBR). Questi vengono inizializzati durante l'accensione del computer e prima che il sistema operativo sia completamente caricato. Ciò rende la loro rimozione estremamente difficile.
- Rootkit di libreria: questi rootkit si comportano come una patch o un hook del kernel. Bloccano o intercettano e modificano le chiamate di sistema. Possono anche sostituire Dynamic Link Libraries (DLLS) in sistemi basati su Windows o librerie in sistemi operativi simili a Unix.
- Rootkit firmware: Influenzano il firmware sui dispositivi di rete. Questo dà agli attori della minaccia’ controllo del dispositivo. Da questo punto d'appoggio, gli autori delle minacce possono spostarsi su altri dispositivi e computer in rete.
Rilevamento e rimozione
Arresti improvvisi inspiegabili o prestazioni molto scarse possono essere indicatori della presenza di un rootkit. Rootkit mal progettati basati su “autoassemblaggio” i kit di strumenti disponibili sul Dark Web possono introdurre instabilità nel sistema. poiché i rootkit interagiscono con il kernel e altri moduli del sistema operativo al livello più basso, i bug nel rootkit possono facilmente portare all'instabilità del sistema.
Pubblicità
I rootkit sono notoriamente difficili da rilevare perché possono nascondersi con così tanto successo dalle suite di sicurezza degli endpoint. Alcune delle suite di protezione degli endpoint di alto livello affermano di essere in grado di rilevare alcune varianti di rootkit, il che è di aiuto.
I software di sicurezza che includono tecniche di analisi comportamentale possono costruire un quadro del corretto funzionamento del tuo computer e delle abitudini di rete dei diversi tipi di ruoli che i tuoi utenti hanno. La deviazione dal comportamento previsto può essere un'indicazione di un rootkit sul sistema. Va notato che senza sistemi di rilevamento di fascia alta di solito è necessario l'intervento di uno specialista per identificare positivamente un rootkit compromesso e rimuoverlo.
- Il software di controllo della sicurezza prende le impronte digitali di riferimento dei file critici per il sistema. Il software è configurato per eseguire regolarmente la scansione del computer. Eventuali differenze tra i file su disco e le relative firme di riferimento indicano che i file sono stati alterati o sostituiti. Queste anomalie vengono segnalate per le indagini. Questa tecnica può trovare file modificati o sostituiti, patch del kernel, DLL e driver. Un esempio di questo tipo di strumento di controllo della sicurezza è il pacchetto Lynis open source con un plug-in di integrità dei file adatto.
- Il software di monitoraggio API può tenere traccia delle chiamate e dei dati restituiti dalle chiamate API. Qualsiasi scostamento dalle norme previste viene contrassegnato come sospetto.
la rimozione può essere un affare prolisso. L'avvio in modalità provvisoria non funziona con un rootkit. È necessario eseguire l'avvio da un CD o DVD contenente un sistema operativo. Ciò significa che il tuo disco rigido non è coinvolto nel processo di avvio e il software dropper rootkit non può modificare l'immagine sul CD o DVD.
Spesso il sistema operativo in cui è stato avviato non è lo stesso di quello normalmente eseguito dalla macchina. Su un PC Windows, ad esempio, potresti eseguire l'avvio da un Linux Live CD. È quindi possibile utilizzare un software di ricerca rootkit specializzato per identificare dove risiede il contagocce in modo che possa essere rimosso. Il disco rigido deve essere sostituito o completamente cancellato e reinstallato.
La prevenzione è la cura migliore
La stragrande maggioranza delle infezioni da rootkit dipende dall'interazione umana. Forse qualcuno è stato ingannato da un'e-mail di phishing o ha deciso di scaricare software da un sito torrent illegale. Ciò significa che il modo migliore per migliorare le tue difese contro la compromissione da parte dei rootkit è fornire formazione sulla consapevolezza della sicurezza informatica al tuo personale e disporre di politiche e procedure da seguire.
Una politica di utilizzo accettabile descrive in dettaglio cosa è e cosa non è considerato un uso accettabile delle risorse informatiche della tua organizzazione. I tuoi dipendenti possono accedere a qualsiasi tipo di sito Web durante la pausa pranzo o alcune categorie di siti Web sono vietate? Quali sono le regole per consentire loro di visualizzare la propria webmail personale? se utilizzano il desktop dell'ufficio per leggere la posta personale e cadono in un attacco di phishing, è la tua organizzazione a essere compromessa e non il computer domestico dell'utente.
Pubblicità
Una politica sulle password deve contenere una guida chiara per la creazione di password robuste, nonché le insidie da evitare. Non basare le password su nulla che possa essere socialmente ingegnerizzato come i nomi dei bambini o le date degli anniversari. Non riutilizzare le password su sistemi diversi. Dovresti sostenere i gestori di password e fornire un elenco di quelli approvati per l'uso. Implementa l'autenticazione a due fattori dove puoi.
Conduci sessioni di formazione brevi e precise che descrivano la minaccia rappresentata da malware e attacchi di phishing. Un attacco ransomware potrebbe minacciare la redditività finanziaria dell'organizzazione, quindi prestare attenzione alla sicurezza informatica non protegge solo l'azienda, ma protegge anche i tuoi dipendenti’ mezzi di sussistenza. Fornisci indicazioni su come individuare un'e-mail di phishing e cosa fare se ne ricevono una. Promuovere una cultura orientata alla sicurezza in cui le query basate sulla sicurezza e i doppi controlli sono valutati, non disapprovati.
Potrebbe essere utile collaborare con una società di sicurezza informatica ed eseguire esercizi di suscettibilità del personale come campagne di phishing benigne e Drop USB per identificare il personale che necessita di una formazione supplementare.
Con la maggior parte dei tipi di malware, il tuo personale è la tua truppa in prima linea. Dovresti consentire loro di essere il più efficace possibile nel proteggere la tua rete.
RELAZIONATO: Perché il tuo personale è il tuo anello debole per la sicurezza informatica