Analizzare nuove e rare tipologie di infezioni è qualcosa di molto utile e permette di prendersi un break dal classico trend quotidiano di malware che sono tutto fuorché tecnicamente interessanti.

Chiunque nel mondo della sicurezza informatica ha potuto assistere a ciò che è successo nel corso degli ultimi anni: un aumento del numero di malware in circolazione ma una drastica diminuzione della complessità del codice. La maggior parte dei malware non hanno molto di interessante da analizzare, spesso sono varianti o versioni ricompresse o criptate di varianti già conosciute. Qesto non significa comunque che non vengano rilasciate infezioni complesse, ma semplicemente che sono più rare di prima.

Chi ha provato a pulire un PC altamente infetto potrà facilmente ammettere che spesso è più facile e veloce reinstallare tutto piuttosto che tentare di rimuovere le infezioni attive. Proprio qui entrano in gioco una nuova tipologia di software.Sempre più utenti stanno cominciando ad utilizzare software di sicurezza che sono in grado di effettuare una “foto istantanea” del sistema e di redirigere successivamente tutto ciò che avviene – modifiche ai file o alle configurazioni di sistema – in una sorta di contenitore temporaneo. Poi, al riavvio del sistema, tutte le modifiche vengono eliminate così da lasciare il sistema intatto così come era stato trovato prima di aver effettuato tutte le varie modifiche.

Questra è una soluzione fantastica per chiunque voglia lasciare uno o più PC a disposizione di un pubblico con la sicurezza che il sistema non venga alterato. La stessa soluzione è utilizzata da chi vuole poter testare software senza installarli definitivamente nel sistema.

È in fondo un gioco semplice, dove bisogna seguire solo alcuni semplici passi: salvare lo stato del sistema, fare qualsiasi cosa si voglia, riavviare il sistema e ogni modifica effettuata verrà cancellata.

Deve essere stato un incubo per alcuni clienti l’aver scoperto che, pur dopo vari riavvii del sistema, un software nocivo rimaneva sempre lì. Più che altro perché chi utilizza questi software è convinto che qualsiasi modifica venga filtrata ed eliminata al riavvio, di conseguenza non pensa di dover utilizzare altri software di sicurezza per prevenire eventuali infezioni. Sanno già che, anche se un malware infetta il PC, sarà cancellato al successivo riavvio.

Ci sono state molte chiacchiere online riguardo un nuovo malware capace di superare i filtri di questi software di sicurezza, così da scrivere direttamente sul disco e sopravvivare ad un riavvio di sistema. Ma è vero o falso? Purtroppo è vero, ma era qualcosa che doveva succedere prima o poi. Il problema è più che altro di design e di come questi software siano implementati.

Quando un software prova a leggere o scrivere un file sul disco, la richiesta passa attraverso una catena di driver che la gestisce. Ogni volta che un driver finisce il proprio lavoro, invia la richiesta al successivo driver e così via fino a quando la richiesta è soddisfatta e il software riceve le informazioni che aveva richiesto.

La richiesta è gestita inizialmente da un file system driver, che la invia poi al famoso driver disk.sys. Quest’ultimo altro non è che un’interfacci utilizzata dal sistema per comunicare con gli hard disk fisici. Quì è dove questi software di sicurezza solitamente lavorano, filtrando ogni tentativo di scrittura su disco e ridirigendolo verso un deposito temporaneo. È una soluzione sicuramente efficace.

Tuttavia ora nascono due problemi. Il primo è che gli utenti credono di poter fare qualsiasi cosa quando sono protetti da questi software poiché tanto al successivo riavvio il sistema viene ripulito automaticamente. Il successivo passaggio è dunque che qualsiasi cosa viene eseguita con privilegi di amministratore. A chi interessa se un kernel mode rootkit si installa nel PC? Tanto qualsiasi modifica viene cancellata al riavvio. Sbagliato.

Ci si muove in un campo minato. Anche se protetti da questi software di sicurezza, se viene eseguito un software con privilegi di amministratore si dà automaticamente accesso alla zona del kernel di Windows. Una volta entrati lì, un eventuale malware e il software di sicurezza giocano allo stesso gioco, con le stesse regole.

Disk.sys non è l’ultimo driver invocato da una richiesta di lettura/scrittura su disco. Una volta terminato il proprio lavoro, la catena continua fino ad arrivare al driver atapi.sys, che è il reale responsabile della comunicazione tra il sistema e gli hard disk.

Si può dunque provare ad immaginare cosa succederebbe se un malware fosse in grado di comunicare direttamente al driver atapi.sys, senza passare per la solita catena dei driver.

Questo è quello che il malware, conosciuto come SafeSys, sta facendo. È, cioè, in grado di sovrascrivere un file di sistema così da poter essere eseguito al successivo riavvio, anche se teoricamente dovrebbe venire eliminato.

Non scenderò ulteriormente nei dettagli sul funzionamento del malware, quello che ho scritto dovrebbe essere sufficiente per far capire alle persone che affidarsi ad un solo software di sicurezza non aiuta a prevenire le infezioni.

Prevx blog