Di tutto un pò sul mondo della tecnologia e non solo!
Di tutto un pò sul mondo della tecnologia e non solo!

Attenti al rootkit!

TRIPWIRE: VERIFICA DELL’INTEGRITA’ DEL SISTEMA

Ovviamente, i semplici tools anti-rootkits non bastano, e quindi bisogna trovare un programma che permette di capire quando vengono eseguite sul sistema modifiche non autorizzate. Tripwire può essere il programma che ci serve! L’idea è quella di analizzare il sistema appena installato e creare un database dei files con tutte quelle informazioni che consentono successivamente di effettuare un controllo di integrità. Dal sito http://sourceforge.net/projects/tripwire/ si può iniziare a scaricare il pacchetto sorgente.

Una volta scaricato il pacchetto si esegue il comando tar (con le stesse opzioni utilizzate nella parte per il software Chkrootkit) per scompattare i sorgenti, poi, si accede alla directory appena creata e si configura la directory di installazione con il seguente comando.

[root@prova]# ./configure –prefix=/opt/tripwire

In questo caso si installa tripwire nella directory opt.

Quindi, si lancia il comando “make & make install” da root e l’installazione dovrebbe iniziare. Durante questa fase viene richiesta una passphrase che vi servirà nelle fasi successive.

Una volta terminata l’installazione, ha luogo il primo step e cioè l’inizializzazione di tripwire che in questo caso corrisponde al seguente comando.

[root@prova]# /opt/tripwire/sbin/tripwire –init

A questo punto, viene richiesta la passphrase e il sistema dopo un bel pò di tempo è pronto per una verifica di integrità dei files registrati nel database di tripwire con il comando seguente.

[root@prova]# /opt/tripwire/sbin/tripwire –check

Potete eseguire quest’ultimo comando ogni volta che volete controllare l’integrità del vostro sistema e scoprire così se qualcuno ha modificato qualche file a vostra insaputa.

IL CASO DEL ROOTKIT SNASKO

Questo tipo di rootkit, classificato da Karspesky Lab come Rootkit.Linux.Snakso.a, è stato sviluppato per funzionare all’interno del Kernel o Kernelspace, attacca piattaforme GNU/Linux a 64 bit e sembra esser stato disegnato per colpire la versione kernel 2.6.32-5-amd64. In particolare, alcuni fle di sistema (come /etc/rc.local e la funzione del kernel vfs_readdir) vengono modificati per caricare automaticamente l’elemento estraneo e nascondere ogni traccia dalle analisi dell’amministratore.

Il rootkit in questione viene utilizzato per infettare i sistemi Microsoft utilizzando un sistema GNU/Linux come un vettore. In poche parole, il rootkit modifica le pagine (inserendo del codice) che il server web installato sulla macchina GNU/Linux invia ai client e quindi agli ignari utenti. Comunque, per maggiori informazioni leggete il seguente articolo:

https://www.securelist.com/en/blog/208193935/New_64_bit_Linux_Rootkit_Doing_iFrame_Injections

MA COME POSSO CREARE UN ROOTKIT DI TEST?

Grazie alle fatiche di  Dhiru Kholia e Matias Fontanini è possibile scaricare e “testare” il codice sorgente di un rootkit creato a fini didattici. Il rootkit è stato “testato” su sistemi con kernel >= 3.0 e 2.6.26 e il codice sorgente lo potete trovare al seguente indirizzo internet:  https://github.com/mfontanini/Programs-Scripts/tree/master/rootkit. Potete leggere l’articolo completo di implementazione del rootkit al seguente indirizzo: http://average-coder.blogspot.it/2011/12/linux-rootkit.html. Dopo aver compreso il codice,si può fare più attenzione a ciò che si scarica e a ciò che si installa nel proprio sistema GNU/Linux.

CONCLUSIONI

In questo breve articolo, abbiamo visto come il nostro sistema può essere protetto dai rootkit con tre strumenti GNU/Linux molto interessanti. Nei prossimi giorni integrerò l’articolo con altre informazioni sperando di interessare qualcuno!

No votes yet.
Please wait...

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

6 + 11 =

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.