Ricevi gli aggiornamenti nella tua email:




mag
1st

Analizzare Stuxnet con i Tools Sysinternals

Author: Angelo Righi | Security

Negli ultimi mesi ho più volte affrontanto l’argomento Stuxnet, in particolar modo dal punto di vista della cyberwarfare e del suo impatto sul mondo della politica. Per chi non lo sapesse, Stuxnet è il worm più celebre dell’anno, l’evento cyber-geopolitico del momento; la sua caratteristica principale è il suo comportamento, finalizzato al sabotaggio di particolari sistemi per la gestione delle centrifughe delle centrali nucleari, con un ‘attenzione particolare per le centrali iraniane. Qualcuno nella vicenda spionistica di Stuxnet ci ha pure lasciato le penne.

In questo post voglio invece spostare l’attenzione sull’aspetto tecnico del fantomatico worm in questione. Innanzitutto suggerisco la lettura del W32 Stuxnet Dossier prodotto da Symantec.

Eccomi finalmente al tema del post, ovvero all’analisi di Stunext tramite l’uso dei tools di Sysinternals. Chi segue l’informatica da un po’ di tempo, e in particolar modo Windows e i suoi meandri più segreti, sicuramente ha sentito parlare di Sysinternals e forse in particolare di uno dei suoi co-fondatori, Mark Russinovich.

Fondato nel 1996 da Russinovich stesso e da Bryce Cogswell, Sysinternals (acquisito da Microsoft nel 2006), è il punto di riferimento per chi vuole approfondire gli aspetti più oscuri del prodotto principe di casa Microsoft, ovvero Windows. Nel corso degli anni Sysinternals ha prodotto documenti di analisi e soprattutto tools di ogni genere per il monitoraggio e la diagnostica del sistema.

Negli ultimi mesi Russinovich ha pubblicato sul suo blog tre  due articoli (a breve pubblicherà un terzo episodio) dedicati all’analisi di Stuxnet con questi tools:

In questi articoli Mark ha dimostrato come utilizzare Process Explorer, Autoruns, VMMap, per “pedinare” le attività worm nel sistema. Con l’ausilio di Autoruns Mark ha scoperto il cuore del worm (i drivers mrxcls.sys e mrxnet.sys), ed ha scoperto anche che basta eliminare questi file ed effettuare il reboot per eliminare la minaccia! Un worm così sofisticato che si elimina in maniera così semplice. Con gli altri strumenti di analisi Russinovich ha poi “visto” Stuxnet iniettare codice in processi di sistema da dove poter così agire indisturbato.

Nel secondo articolo viene mostrato l’uso di Process Monitor, un tool in grado di loggare e mostrare tutti gli accessi di un processo al file system, il registry e il network, utile per completare l’analisi del comportamento del malware. Mark ha insistito in particolar modo sulle funzioni di filtro degli eventi, caratteristica fondamentale se si vuole evitare di affogare ed essere distratti in migliaia di dati non essenziali. Inutile sottolineare che si tratta di un’attività che necessita di conoscenze medio/alte per poter essere portata a termine con qualche risultato.

Chiaramente l’analisi dinamica del worm effettuata con questi strumenti, ovviamentre in un ambiente controllato (con un Windows Xp come cavia in questo caso) non sostituisce (ci mancherebbe!) l’analisi statica e il reverse engineering, attività complementari dell’analisi del malware.

Suggerisco di leggere con attenzione questi articoli, e di approfondire l’uso di questi tools, utili non solo nell’analisi di virus e animaletti vari, ma sono anche potenti strumenti di diagnostica utili per tentare dki capire dov’è si nasconde l’intoppo.

Di passata segnalo anche che Mark Russinovich ha recentemente pubblicato un romanzo in stile Crichton e Clancy (lo dice lui). Per chi fosse interessato il titolo del romanzo è “Zero Day” (intrigante nevvero?).


Altri articoli:

Cosa succede nel Sistema?
Per molti anni Sysinternals.com è stato un punto di riferimento per gli utenti Microsoft \"avanzati\"...

TCPView, la Rete sotto controllo
Worm, crackers, rotture di scatole varie sempre più frequenti. Antivirus e firewall ci danno una mano,...

PillolHacking.Net: I Migliori Articoli del 2010
Quello che si conclude è l’anno di Wikileaks e di Stuxnet, del controverso Assange e dell’esplosione...

Stuxnet Uccide
Mentre il mondo è distratto dalle peripezie di Wikileaks e del suo istrionico fondatore, la vicenda...



Se vuoi essere sicuro di ricevere tutti gli aggiornamenti di PillolHacking gratuitamente nella tua email, iscriviti inserendo il tuo indirizzo qui sotto:


3 responses. Wanna say something?

  1. Dani
    mag 3, 2011 at 20:32:03
    #1

    Russinovich ha creato dei tools molto potenti ed efficaci, questo secondo me dimostra la sua competenza e soprattutto la sua capacità di saper individuare varie prospettive di analisi utili dalle quali sono scaturiti i suoi strumenti. Così facendo è andato a colmare le lacune che hanno gli strumenti base inclusi direttamente in Windows. Nella collezione di software di sysinternals ci sono strumenti per tutti i gusti e sia l’utente semplicemente appassionato di informatica che quello avanzato possono trovare utili questi programmi, sfruttando le loro potenzialità in maniera diversa. Ricordo che c’erano delle registrazioni video di alcuni seminari di Mark su Technet; in uno dava dei consigli su come eliminare dei malware. Se non ricordo male spiegava come spesso vengano “tirati in piedi” due processi che si guardano le spalle a vicenda, ossia quando uno viene terminato l’altro subito interviene a ripristinandolo e rendendo vano il tentativo di eliminazione. In questi casi consigliava un trucchetto: sospendere i processi del malware e solo dopo passare a “killarli” ;)

  2. Angelo Righi
    giu 2, 2011 at 13:02:49
    #2

    Interessante, non lo conoscevo ;)

1 Trackback(s)

  1. mag 3, 2011: upnews.it

Post a Comment