Italiano
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
CasaBootkit: evoluzione e metodi di rilevamento
I criminali informatici sono costantemente alla ricerca di nuovi modi per imporsi a lungo termine nel sistema preso di mira con i massimi privilegi ed evitare il rilevamento, ad esempio, da parte degli strumenti antivirus. La maggior parte degli strumenti di protezione vengono avviati insieme al sistema operativo, quindi se il malware viene caricato prima del sistema operativo, la probabilità di rilevamento diminuisce. Un altro obiettivo degli sviluppatori di malware è mantenere il controllo e i privilegi dopo la reinstallazione del sistema operativo. Ciò richiede che il malware venga caricato in un software di basso livello: il firmware del dispositivo o i primi settori del disco rigido. Ecco come sono comparsi i bootkit.
Un bootkit è un codice dannoso che viene eseguito prima dell'avvio del sistema operativo. L'obiettivo principale di un bootkit è quello di prendere piede nel sistema e proteggere altri malware dal rilevamento da parte degli strumenti di sicurezza.
Reale o concettuale?
In precedenza si pensava che i bootkit esistessero principalmente come proof of concept. Un proof of concept (PoC) è una dimostrazione della sfruttabilità di una vulnerabilità. forma e non utilizzata negli attacchi reali. Tuttavia, sono trascorsi solo due anni dalla comparsa del primo PoC e del primo attacco bootkit.
I PoC Bootkit sono di particolare interesse per analisti e ricercatori perché forniscono informazioni su quali metodi e tecniche potrebbero essere utilizzati dagli aggressori e cosa cercare per fornire protezione preventiva.
Gli sviluppatori di malware stanno ora aggiungendo funzionalità bootkit alle loro creazioni, tra cui Satana, Petya e varie botnet, come TrickBot. I gruppi APT sono anche utenti attivi di bootkit, ad esempio Careto, Winnti (APT41), FIN1 e APT28.
Nel preparare questo rapporto, abbiamo analizzato 39 famiglie di bootkit, sia in forma PoC che riscontrate in attacchi reali dal 2005 al 2021.
I criminali informatici generalmente utilizzano il phishing mirato via e-mail per iniettare malware nell'infrastruttura; ecco come vengono distribuiti, ad esempio, i bootkit Mebromi e Mosaic Regressor. Un altro percorso di distribuzione avviene attraverso i siti Web, inclusa la tecnica di compromissione drive-by, utilizzata per infettare gli obiettivi con i malware Pitou e Mebroot; i criminali informatici che distribuivano quest'ultimo hanno violato più di 1.500 risorse web e vi hanno inserito il malware. Il bootkit FispBoot è arrivato sui dispositivi che erano stati inizialmente infettati dal trojan Trojan-Downloader.NSIS.Agent.jd, che le vittime scaricavano sotto forma di videoclip.
La differenza tra un bootkit e un rootkit
I bootkit vengono spesso confusi con i rootkit Un rootkit è un programma (insieme di programmi) per nascondere la presenza di malware nel sistema. . La differenza principale è che i bootkit iniziano a funzionare anche prima dell'avvio del sistema operativo. Hanno lo stesso livello di controllo dei caricatori legittimi (Master Boot Record (MBR), Volume Boot Record (VBR) o UEFI) e interferiscono con il processo di avvio del sistema operativo, consentendo loro di monitorare e modificare il processo di avvio, nonché di introdurre , ad esempio, codice dannoso, che aggira i meccanismi di sicurezza. I bootkit spesso creano l'ambiente per l'introduzione clandestina di rootkit a livello di kernel.
Il Master Boot Record (MBR) contiene informazioni e codice necessari per avviare correttamente il dispositivo. È memorizzato nei primi settori del disco rigido. Il Volume Boot Record (VBR) o l'Initial Program Loader (IPL) carica i dati necessari per avviare il sistema operativo. È memorizzato nel primo settore di una partizione sul disco rigido.
Funzionalità del bootkit
Molto spesso, i bootkit hanno le seguenti caratteristiche:
Alcuni bootkit consentono agli aggressori di aggirare l'autenticazione; i PoC dei bootkit Vbootkit x64 e DreamBoot, ad esempio, hanno questa capacità.
Bootkit come strumenti per attacchi altamente mirati
Sviluppare il proprio bootkit non è un compito banale per un utente malintenzionato, ma nella vita reale i bootkit sono abbastanza comuni. Ad esempio, gli aggressori che spiavano diplomatici e membri di organizzazioni non governative provenienti da Africa, Asia ed Europa hanno utilizzato il bootkit Mosaic Regressor per penetrare nei sistemi presi di mira. Dopo aver analizzato un attacco utilizzando un altro bootkit all'avanguardia, MoonBounce, i ricercatori sono rimasti stupiti dalla profonda conoscenza degli aggressori dell'infrastruttura IT della vittima. Hanno visto che gli aggressori avevano studiato a fondo il firmware del dispositivo, il che suggerisce che si trattasse di un attacco altamente mirato.