Ecco un altro pezzo scritto una intera era geologica fa, informaticamente parlando. Era in corso una frenetica “corsa agli armamenti”. Da un lato il team di mentecatti intenti a creare codice sempre più difficile da analizzare (con largo impiego di tecniche contro il reverse engineering e capaci di mandare in tilt i debugger più sofisticati), sempre più efficace nel radicarsi nel computer compromesso e capace di contrastare i tentativi di rimozione. Dall’altro orde di poveri utenti col computer appestato ed inutilizzabile che vagavano disperati fra forum, newsgroup, blog e mailing list per chiedere aiuto. In mezzo i pochi che avevano capito con cosa si aveva a che fare e che cercavano di porre un freno all’epidemia.
Ci leggiamo alla fine per qualche oziosa considerazione.
Questo malware sta creando non poco scompiglio in giro per la Rete. Non sto a dilungarmi su come è fatto, come si rileva o come si rimuove, ma vorrei concentrarmi su un aspetto più filosofico, se me lo permettete.
Per prima cosa vorrei richiamare alcune delle caratteristiche peculiari di questo tipo di infezione:
- Il metodo di propagazione: è basato esclusivamente sull’inganno. Vengono creati siti-esca che contengono molte parole chiave combinate correttamente fra loro, tanto da sembrare pagine di risultati di motori di ricerca. In questo modo il punteggio quando si cercano tali parole diventa molto alto, ed è quasi certo che la pagina principale del sito-esca risulti fra le prime mostrate.
- Il vettore di infezione: vengono sfruttate vulnerabilità specifiche del browser o di oggetti correlati (plugin, estensioni, ecc.). In una variante viene colpito anche chi naviga con Firefox, attraverso un bug nel plugin di Windows Media Player. Per essere colpiti basta entrare nel sito-esca, che contiene link a numerosi script, residenti su altri server, per verificare il tipo di browser, il sistema operativo e poi decidere quale strada intraprendere per colpire. Questo è confermato dal fatto che se si entra in uno di questi siti con altri sistemi operativi, viene mostrata una pagina di copertura di un fantomatico Abuse Team rassicurante nel suo affermare “Site closed”.
- Il metodo di insediamento: il malware è composto da vari pezzi, ognuno dei quali si insedia in un punto differente del sistema operativo, e controlla una parte delle operazioni: un servizio di sistema, programmi in esecuzione automatica, estensioni del browser. Nessuna parte viene trascurata.
- L’autodifesa: il malware reagisce contro i tentativi di rimozione. Utility per la disinfezione vengono terminate appena avviate o ne viene impedita l’installazione; se si elimina un componente del malware, gli altri tentano di ripristinarlo; vengono usati trucchi particolari per rendere difficoltosa la cancellazione (ad esempio file con nomi riservati).
Per arrivare al punto, è un notevole pezzo di software, tanto da meritarsi l’appellativo di Italian Spaghetti Threat, non nel senso dispregiativo di “italiani mangiare-spaghetti suonare-mandolino”, ma al contrario ad indicare l’estrema complessità e l’intreccio fittissimo con cui è scritto il codice eseguibile del malware, come un piatto di spaghetti, appunto.
Ma vorrei attirare l’attenzione su un altro aspetto: la difficoltà di rimozione.
In gran parte dei malware di questa generazione, usati per zombificare i computer colpiti (vedi i vari Gaobot, SDbot, ecc.) la rimozione è una faccenda abbastanza semplice: un eseguibile all’avvio, un servizio di sistema e un paio di chiavi di registro. Possiamo dire che molta più energia viene spesa dal virus per introdursi nel computer vittima, tanto che molti di questi malware possono arrivare a sfruttare una decina di differenti vulnerabilità del sistema operativo, e quando dovessero fallire tutte, partono con un attacco a dizionario sulle password che proteggono le condivisioni disco.
Con Gromozon lo sforzo per invadere è irrisorio rispetto a quello profuso nelle strategie per non essere individuato e rimosso. Vengono sfruttate pochissime vulnerabilità del browser e del sistema operativo per introdursi nel computer vittima, e con un aggiornamento di solito si chiude la porta. Le altre tecniche di intrusione richiedono l’intervento “benevolo” dell’utente, a cui viene chiesto di eseguire un programma o di scaricare un ActiveX.
Le strategie per non essere individuato e rimosso sono invece molto più sofisticate. Un esempio: se viene eseguito dentro una macchina virtuale rimane inattivo. Questo perché il creatore di Gromozon sa che è una tecnica normalmente utilizzata dai produttori di antivirus per studiare il comportamento dei malware. Quando Gromozon irrompe con successo in un computer, il primo pezzo di codice mandato in esecuzione controlla di non essere dentro una Virtual Machine, e solo dopo essersi accertato che non c’è pericolo inizia a scaricare gli altri componenti dalla Rete.
Altro indice di sofisticazione è dato dall’uso della crittografia per nascondere le stringhe normalmente presenti dentro l’eseguibile. Anche avendo a disposizione i binari completi, le stringhe sono illeggibili e non è possibile ottenere informazioni importantissime sul funzionamento del malware, ad esempio il nome del server da cui scaricare i pezzi restanti, o in quali chiavi di registro va a scrivere.
Ed ancora, il fatto che riconosce i file e i nomi dei processi di gran parte dei tool di rimozione disponibili, terminandoli se trovati in esecuzione o impedendone del tutto l’installazione.
Tutti questi indizi danno di che pensare.
Per quale motivo lo sforzo di progettazione del malware è in maniera preponderante diretto alla difesa delle posizioni conquistate, piuttosto che al conquistarle?
La mia personalissima opinione è che viene in un certo senso seguita l’onda. L’attuale metodo di difesa nei computer casalinghi e nelle aziende è impostato con la strategia che scherzosamente definisco “Prendi un martello più grosso”.
Invece di agire nella direzione di chiudere le porte e le falle presenti nel sistema operativo e nelle applicazioni di contorno, e quindi impedire la via d’accesso al malware, ci si affida ai tool di rimozione a danno fatto.
Personalmente, ritengo che sia come tenere aperte tutte le porte e le finestre di casa, ed installare un allarme antifurto sofisticatissimo, mettere guardie armate in ogni stanza e trappole esplosive agli sportelli dei mobili. Fino a che entra un ladro sprovveduto incappa nelle difese, ma quando ne dovesse arrivare uno un po’ più smaliziato, che conosca a perfezione le difese, ci sarebbe poco da fare.
La situazione è esattamente la stessa: chi ha creato Gromozon ha studiato minuziosamente il comportamento del sistema operativo e dei tool di rimozione, ed ha perfettamente chiaro il quadro delle difese, come ha perfettamente chiara la situazione delle vie d’accesso. Una volta entrato in casa, disattiva l’antifurto, addormenta le guardie e disinnesca le trappole esplosive. Una volta dentro, chiude le porte e cambia le serrature: ci ha buttati fuori.
Non è una esagerazione: uno dei sistemi adottati per impedire la rimozione è la creazione di un utente amministratore con nome casuale, a cui assegnare la proprietà di tutti i pezzi che lo compongono, applicando poi la cifratura che mette a disposizione Windows con EFS. Di seguito togliere alcuni diritti agli altri utenti amministratori, quelli legittimi, in modo da impedire l’accesso ai file cifrati. Traducendo: nessun altro può vedere il contenuto di quei file, come non può toccarli mentre sono in esecuzione, neanche un utente amministratore. Poi, in realtà, si può riportare la situazione sotto controllo, ma, continuando il parallelo con la casa di prima, troveremo cadaveri e devastazioni in giro per tutte le stanze. E le operazioni da fare non sono alla portata di qualsiasi utente.
Questa strategia è confermata dal fatto che, in varianti successive, Gromozon ha rivolto la sua attenzione a tool di rimozione che prima funzionavano senza problemi, arrivando a colpire anche quelli.
Termino qui. Il punto su cui voglio invitare a riflettere è proprio questo: ha senso continuare a lavorare affidandosi solo a strumenti di protezione a posteriori ed a tool automatici? Non è forse più corretto valutare il livello di sicurezza generale del sistema operativo, delle applicazioni e le abitudini degli utenti, per poi intraprendere delle correzioni tese a chiudere finalmente porte e finestre?
Grazie per la vostra pazienza.
Riferimenti
Analisi dettagliata di Gromozon di Marco Giuliani. In una ulteriore variante di Gromozon il suo nome è stato incluso in chiaro negli eseguibili, nell’intento calunnioso di farlo pensare coinvolto nella creazione della pestilenza.
Analisi di Symantec, che assegna il nome di “italian spaghetti threat” a Gromozon.
La pillola rossa, un articolo di Joanna Rutkowska sulla possibilità di rilevare dall’interno una Virtual Machine da un programma senza particolari privilegi utente.
Oggi
Il team di mentecatti probabilmente è ancora attivo. Forse ha rivolto la propria insana attenzione ad altri modelli di infezione, o ha cambiato genere diventando esperto in phishing. Fatto sta che i pericoli in Rete sono sempre presenti, ed in continua evoluzione.
La presenza di siti web facilmente conquistabili e modificabili per le esigenze di infezione e spamming, sta forse spostando il vettore di attacco, che comunque si avvale dei soliti metodi (Javascript, IFRAME, falsi plugin video e falsi antivirus).
Qualcosa da leggere: