Attenti al rootkit!


TRIPWIRE: VERIFICA DELL’INTEGRITA’ DEL SISTEMA

Ovviamente, i semplici tools anti-rootkits non bastano, e quindi bisogna trovare un programma che permette di capire quando vengono eseguite sul sistema modifiche non autorizzate. Tripwire può essere il programma che ci serve! L’idea è quella di analizzare il sistema appena installato e creare un database dei files con tutte quelle informazioni che consentono successivamente di effettuare un controllo di integrità. Dal sito http://sourceforge.net/projects/tripwire/ si può iniziare a scaricare il pacchetto sorgente.

Una volta scaricato il pacchetto si esegue il comando tar (con le stesse opzioni utilizzate nella parte per il software Chkrootkit) per scompattare i sorgenti, poi, si accede alla directory appena creata e si configura la directory di installazione con il seguente comando.

[root@prova]# ./configure –prefix=/opt/tripwire

In questo caso si installa tripwire nella directory opt.

Quindi, si lancia il comando “make & make install” da root e l’installazione dovrebbe iniziare. Durante questa fase viene richiesta una passphrase che vi servirà nelle fasi successive.

Una volta terminata l’installazione, ha luogo il primo step e cioè l’inizializzazione di tripwire che in questo caso corrisponde al seguente comando.

[root@prova]# /opt/tripwire/sbin/tripwire –init

A questo punto, viene richiesta la passphrase e il sistema dopo un bel pò di tempo è pronto per una verifica di integrità dei files registrati nel database di tripwire con il comando seguente.

[root@prova]# /opt/tripwire/sbin/tripwire –check

Potete eseguire quest’ultimo comando ogni volta che volete controllare l’integrità del vostro sistema e scoprire così se qualcuno ha modificato qualche file a vostra insaputa.

IL CASO DEL ROOTKIT SNASKO

Questo tipo di rootkit, classificato da Karspesky Lab come Rootkit.Linux.Snakso.a, è stato sviluppato per funzionare all’interno del Kernel o Kernelspace, attacca piattaforme GNU/Linux a 64 bit e sembra esser stato disegnato per colpire la versione kernel 2.6.32-5-amd64. In particolare, alcuni fle di sistema (come /etc/rc.local e la funzione del kernel vfs_readdir) vengono modificati per caricare automaticamente l’elemento estraneo e nascondere ogni traccia dalle analisi dell’amministratore.

Il rootkit in questione viene utilizzato per infettare i sistemi Microsoft utilizzando un sistema GNU/Linux come un vettore. In poche parole, il rootkit modifica le pagine (inserendo del codice) che il server web installato sulla macchina GNU/Linux invia ai client e quindi agli ignari utenti. Comunque, per maggiori informazioni leggete il seguente articolo:

https://www.securelist.com/en/blog/208193935/New_64_bit_Linux_Rootkit_Doing_iFrame_Injections

MA COME POSSO CREARE UN ROOTKIT DI TEST?

Grazie alle fatiche di  Dhiru Kholia e Matias Fontanini è possibile scaricare e “testare” il codice sorgente di un rootkit creato a fini didattici. Il rootkit è stato “testato” su sistemi con kernel >= 3.0 e 2.6.26 e il codice sorgente lo potete trovare al seguente indirizzo internet:  https://github.com/mfontanini/Programs-Scripts/tree/master/rootkit. Potete leggere l’articolo completo di implementazione del rootkit al seguente indirizzo: http://average-coder.blogspot.it/2011/12/linux-rootkit.html. Dopo aver compreso il codice,si può fare più attenzione a ciò che si scarica e a ciò che si installa nel proprio sistema GNU/Linux.

CONCLUSIONI

In questo breve articolo, abbiamo visto come il nostro sistema può essere protetto dai rootkit con tre strumenti GNU/Linux molto interessanti. Nei prossimi giorni integrerò l’articolo con altre informazioni sperando di interessare qualcuno!

No votes yet.
Please wait...
Voting is currently disabled, data maintenance in progress.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

5 × 4 =

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.