Khobe: nessun allarme reale dietro la tecnica che renderebbe inutili gli antivirus


Da diversi giorni si discute in rete di un presunto attacco malware che sarebbe in grado di superare i meccanismi di protezione di tutti i più importanti antivirus. KHOBE, acronimo di Kernel HOok Bypassing Engine, è la presunta nuova tipologia di attacco definita dal gruppo di ricerca indipendente Matousec che permetterebbe di bypassare qualsiasi sistema antivirus presente sulla macchina e procedere all’esecuzione di codice malevolo. Secondo i ricercatori sarebbe possibile superare i programmi antivirus sfruttando il driver che li lega profondamente al sistema operativo. 

Il metodo funzionerebbe inviando all'antivirus un sample di codice benigno che supererebbe i controlli di sicurezza. In seguito, in una finestra ridotta di tempo, questo codice verrebbe rimpiazzato con uno di tipo maligno in grado di funzionare senza destare sospetti. Nell'attacco avrebbe un peso la tempistica. Nei sistemi multi-core, dato che spesso uno dei thread è incapace di tenere traccia degli altri thread che funzionano simultaneamente, il metodo dovrebbe essere efficace. Tutto questo sistema richiede che il software antivirus usi SSDT (System Service Descriptor Table), collegato per modificare parti di kernel OS

A quanto pare, durante i test i software vulnerabili sarebbero stati 34, ma probabilmente solo perché le prove non hanno coinvolto più prodotti. Gli antivirus “aggirabili”, insomma, secondo Matousec potrebbero essere di più. La tecnica funzionerebbe anche quando si usa Windows con un account con privilegi limitati. L’attacco attualmente sarebbe possibile eseguirlo sui sistemi basati con Windows XP, che in questo momento ha una quota di mercato pari al 60%. 

G Data fà il punto della situazione e spiega perché, in concreto, non ci sia nessun allarme reale. Secondo quanto diffuso in rete  sarebbe stato scoperto, dunque, un nuovo metodo in grado di bypassare la protezione antivirus di tutti i più famosi software per la sicurezza. Il tutto sarebbe basato su un proof-of-concept (KHOBE) che consiste nell’inviare porzioni di codice benigno che il software antivirus riterrebbe innocuo per poi sfruttare questo passaggio di dati al fine di sostituire rapidamente il codice benigno con del malware. In altre parole si utilizzerebbe il codice benigno come esca o cavallo di troia per poi inviare al suo posto del malware. 

G Data ha esaminato il problema e ha scoperto che l’allarme è più fittizio che reale. «Sorprende la quantità di articoli pubblicati in rete su KHOBE, nonostante di tratti di un attacco puramente “accademico” e non realmente affidabile», spiega Ralf Benzmüller, Manager di G Data SecurityLabs. G Data è voluta così andare alla fonte di questa notizia e verificare davvero come stanno le cose. Per questo motivo G Data ha inviato una e-mail a questo gruppo di ricerca per comprendere quali sarebbero state le presunte vulnerabilità del proprio software. La risposta ricevuta non solo è stata anonima, ma ha presentato anche alcuni aspetti piuttosto strani:
  • è stato genericamente detto che il software G Data presenteva solo “qualche” problema;
  • i dettagli tecnici sarebbero stati meglio descritti in un documento ancora in fase di ultimazione e che poi sarebbe stato messo in vendita;
  • è stato offerto il codice sorgente e un servizio di audit.
Ad un’ulteriore richiesta sul prezzo del documento, sulle tempistiche della sua disponibilità e sul perché la risposta è anonima è stato poi risposto che il prezzo è a quattro cifre (quindi qualche migliaio di dollari), ma se tutte le aziende produttrici di antivirus avessero sottoscritto il documento, la cifra sommata sarebbe stata nell’ordine delle sei cifre e che qualcuno avrebbe fornito assistenza una volta pagato quanto richiesto.

G Data tiene sempre in considerazione gli sforzi profusi per cercare e mettere in atto un nuovo attacco, ma considera innanzitutto esagerata la cifra richiesta. In secondo luogo G Data si domanda perché tale informazione sia stata comunicata e diffusa in rete senza documentazione a sostegno. Non si capisce, infine, perché ogni comunicazione debba sempre essere anonima. Risulta dunque piuttosto strano che, in una situazione del genere, dopo che tale notizia è diventata di dominio pubblico, non venga rivelata l’identità dell’interlocutore e, inoltre, sia stata richiesto del denaro per informazioni e documenti non ancora disponibili.

Il presunto exploit, tuttavia, avrebbe dei limiti: bisognerebbe caricare sul sistema che si vuole colpire un grande quantitativo di codice. Questa situazione renderebbe impraticabile attacchi shellcode o che dovrebbero essere, come già detto, veloci e furtivi. Inoltre, potrebbe essere eseguito solo quando un attacker è già in grado di far funzionare codice binario sul PC - obiettivo. I ricercatori di Matousec affermano che questa tecnica potrebbe essere combinata con un exploit di un altro software, una versione vulnerabile di Adobe Reader o Java Virtual Machine di Oracle, per installare malware senza destare il sospetto degli antivirus.

Ciò nonostante G Data ha già risolto il problema nei suoi prodotti quindi KHOBE non rappresenta una minaccia. Da un lato Matousec avrebbe dovuto rivelare la propria identità e usare un modo più responsabile per diffondere notizie riguardo nuovi attacchi. Dall’altro, chi ha ripreso e rilanciato la notizia in tutto il mondo avrebbe dovuto verificare e controllare la fonte prima di pubblicare notizie che possono essere interpretate e percepite come la fine di ogni software antivirus.

Nessun commento:

Posta un commento