Nuovi scenari per il “camuffamento” di malware. Che si possono celare in aree nascoste del sistema
I laboratori di ricerca Microsoft in collaborazione con l’Università
del Michigan hanno sviluppato dei prototipi di rootkit basati sull’uso di "virtual
machine" in grado di aprire nuovi scenari per il "camuffamento"
di malware che consentano di mantenere il controllo di un sistema "vittima"
da parte di un aggressore remoto.
Il rootkit "proof-of-concept" è stato battezzato SubVirt:
è in grado di attaccare sia sistemi Windows che Linux proprio sfruttando
il concetto di macchina virtuale.
Gli strumenti anti-rootkit oggi disponibili effettuano un’analisi delle discrepanze
rilevate all’interno del registro e dei file di sistema, ma la tattica risulta
infruttuosa se il rootkit si nasconde in aree che non possono essere analizzate.
Assumendo la prospettiva di un potenziale aggressore, i ricercatori Microsoft
e quelli dell’Università del Michigan si pongono così l’obiettivo
di aiutare chi sviluppa software di sicurezza ad armarsi per tempo contro una
categoria di malware che potrebbe ben presto cominciare a circolare.
Una macchina virtuale è da intendersi come un’istanza del sistema operativo
che opera "a metà strada" tra l’hardware ed il sistema operativo
ospitante. Ponendosi ad un livello più basso rispetto al sistema operativo
in uso, la macchina virtuale (VM) è in grado di controllare i livelli
superiori in maniera trasparente.
