Analizzare Stuxnet con i Tools Sysinternals

Negli ultimi mesi ho più volte affrontanto l’argomento Stuxnet, in particolar modo dal punto di vista della cyberwarfare e del suo impatto sul mondo della politica. Per chi non lo sapesse, Stuxnet è il worm più celebre dell’anno, l’evento cyber-geopolitico del momento; la sua caratteristica principale è il suo comportamento, finalizzato al sabotaggio di particolari sistemi per la gestione delle centrifughe delle centrali nucleari, con un ‘attenzione particolare per le centrali iraniane. Qualcuno nella vicenda spionistica di Stuxnet ci ha pure lasciato le penne.

In questo post voglio invece spostare l’attenzione sull’aspetto tecnico del fantomatico worm in questione. Innanzitutto suggerisco la lettura del W32 Stuxnet Dossier prodotto da Symantec.

Eccomi finalmente al tema del post, ovvero all’analisi di Stunext tramite l’uso dei tools di Sysinternals. Chi segue l’informatica da un po’ di tempo, e in particolar modo Windows e i suoi meandri più segreti, sicuramente ha sentito parlare di Sysinternals e forse in particolare di uno dei suoi co-fondatori, Mark Russinovich.

Fondato nel 1996 da Russinovich stesso e da Bryce Cogswell, Sysinternals (acquisito da Microsoft nel 2006), è il punto di riferimento per chi vuole approfondire gli aspetti più oscuri del prodotto principe di casa Microsoft, ovvero Windows. Nel corso degli anni Sysinternals ha prodotto documenti di analisi e soprattutto tools di ogni genere per il monitoraggio e la diagnostica del sistema.

Negli ultimi mesi Russinovich ha pubblicato sul suo blog tre  due articoli (a breve pubblicherà un terzo episodio) dedicati all’analisi di Stuxnet con questi tools:

In questi articoli Mark ha dimostrato come utilizzare Process Explorer, Autoruns, VMMap, per “pedinare” le attività worm nel sistema. Con l’ausilio di Autoruns Mark ha scoperto il cuore del worm (i drivers mrxcls.sys e mrxnet.sys), ed ha scoperto anche che basta eliminare questi file ed effettuare il reboot per eliminare la minaccia! Un worm così sofisticato che si elimina in maniera così semplice. Con gli altri strumenti di analisi Russinovich ha poi “visto” Stuxnet iniettare codice in processi di sistema da dove poter così agire indisturbato.

Nel secondo articolo viene mostrato l’uso di Process Monitor, un tool in grado di loggare e mostrare tutti gli accessi di un processo al file system, il registry e il network, utile per completare l’analisi del comportamento del malware. Mark ha insistito in particolar modo sulle funzioni di filtro degli eventi, caratteristica fondamentale se si vuole evitare di affogare ed essere distratti in migliaia di dati non essenziali. Inutile sottolineare che si tratta di un’attività che necessita di conoscenze medio/alte per poter essere portata a termine con qualche risultato.

Chiaramente l’analisi dinamica del worm effettuata con questi strumenti, ovviamentre in un ambiente controllato (con un Windows Xp come cavia in questo caso) non sostituisce (ci mancherebbe!) l’analisi statica e il reverse engineering, attività complementari dell’analisi del malware.

Suggerisco di leggere con attenzione questi articoli, e di approfondire l’uso di questi tools, utili non solo nell’analisi di virus e animaletti vari, ma sono anche potenti strumenti di diagnostica utili per tentare dki capire dov’è si nasconde l’intoppo.

Di passata segnalo anche che Mark Russinovich ha recentemente pubblicato un romanzo in stile Crichton e Clancy (lo dice lui). Per chi fosse interessato il titolo del romanzo è “Zero Day” (intrigante nevvero?).

3 Comments
  1. Russinovich ha creato dei tools molto potenti ed efficaci, questo secondo me dimostra la sua competenza e soprattutto la sua capacità di saper individuare varie prospettive di analisi utili dalle quali sono scaturiti i suoi strumenti. Così facendo è andato a colmare le lacune che hanno gli strumenti base inclusi direttamente in Windows. Nella collezione di software di sysinternals ci sono strumenti per tutti i gusti e sia l’utente semplicemente appassionato di informatica che quello avanzato possono trovare utili questi programmi, sfruttando le loro potenzialità in maniera diversa. Ricordo che c’erano delle registrazioni video di alcuni seminari di Mark su Technet; in uno dava dei consigli su come eliminare dei malware. Se non ricordo male spiegava come spesso vengano “tirati in piedi” due processi che si guardano le spalle a vicenda, ossia quando uno viene terminato l’altro subito interviene a ripristinandolo e rendendo vano il tentativo di eliminazione. In questi casi consigliava un trucchetto: sospendere i processi del malware e solo dopo passare a “killarli” 😉

  2. Pingback: upnews.it

Comments are closed.