Memoria contraffatta

Il post seguente è stato tradotto per gentile concessione di Schneier on Security

Uno spaventoso sviluppo dei rootkit:

I rootkit, tipicamente, modificano alcune zone della memoria del sistema operativo (SO) in esecuzione per effettuare l’hijack dell’execution control. Ciò costringe l’SO a presentare risultati non corretti ai software di rilevamento (antivirus, antirootkit).

Ad esempio i rootkit possono nascondere file, registri, processi, ecc, ai software di rilevamento. Quindi i rootkit, generalmente, modificano la memoria. E gli strumenti antirootkit esaminano le zone di memoria per identificare tali modifiche sospette e avvisare gli utenti.

Questo particolare rootkit modifica inoltre una locazione di memoria (installa un hook), per impedire l’accesso corretto al disco da parte del software di rilevamento. Diciamo che la locazione sia X, che sia nota per essere modificata da altre famiglie di rootkit e che non riguardi solo questo particolare rootkit.

Ora, poiché il contenuto della locazione X è noto per essere modificato generalmente dai rootkit, la maggior parte degli strumenti antirootkit verificherà il contenuto della locazione di memoria X per vedere se è stato modificato.

[...]

Nel caso di questo rootkit particolare, il contenuto originale (cosa ci si aspetta) della locazione X è stato spostato dal rootkit in una posizione diversa, Y. Quando uno strumento antirootkit tenta di leggere il contenuto della locazione X, leggerà il contenuto della locazione Y. Quindi, il tool antirootkit penserà che tutto è come dovrebbe essere senza avvisare l’utente della presenza di attività sospette.

Fonte: Forged Memory


Posted in Bruce Schneier, Traduzioni inglese-italiano and tagged by with no comments yet.

Lascia un Commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

È possibile utilizzare questi tag ed attributi XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>