Attenti al rootkit!
Novembre 7, 2013TRIPWIRE: VERIFICA DELL’INTEGRITA’ DEL SISTEMA
Ovviamente, i semplici tools anti-rootkits non bastano, e quindi bisogna trovare un programma che permette di capire quando vengono eseguite sul sistema modifiche non autorizzate. Tripwire può essere il programma che ci serve! L’idea è quella di analizzare il sistema appena installato e creare un database dei files con tutte quelle informazioni che consentono successivamente di effettuare un controllo di integrità. Dal sito http://sourceforge.net/projects/tripwire/ si può iniziare a scaricare il pacchetto sorgente.
Una volta scaricato il pacchetto si esegue il comando tar (con le stesse opzioni utilizzate nella parte per il software Chkrootkit) per scompattare i sorgenti, poi, si accede alla directory appena creata e si configura la directory di installazione con il seguente comando.
[root@prova]# ./configure –prefix=/opt/tripwire
In questo caso si installa tripwire nella directory opt.
Quindi, si lancia il comando “make & make install” da root e l’installazione dovrebbe iniziare. Durante questa fase viene richiesta una passphrase che vi servirà nelle fasi successive.
Una volta terminata l’installazione, ha luogo il primo step e cioè l’inizializzazione di tripwire che in questo caso corrisponde al seguente comando.
[root@prova]# /opt/tripwire/sbin/tripwire –init
A questo punto, viene richiesta la passphrase e il sistema dopo un bel pò di tempo è pronto per una verifica di integrità dei files registrati nel database di tripwire con il comando seguente.
[root@prova]# /opt/tripwire/sbin/tripwire –check
Potete eseguire quest’ultimo comando ogni volta che volete controllare l’integrità del vostro sistema e scoprire così se qualcuno ha modificato qualche file a vostra insaputa.
IL CASO DEL ROOTKIT SNASKO
Questo tipo di rootkit, classificato da Karspesky Lab come Rootkit.Linux.Snakso.a, è stato sviluppato per funzionare all’interno del Kernel o Kernelspace, attacca piattaforme GNU/Linux a 64 bit e sembra esser stato disegnato per colpire la versione kernel 2.6.32-5-amd64. In particolare, alcuni fle di sistema (come /etc/rc.local e la funzione del kernel vfs_readdir) vengono modificati per caricare automaticamente l’elemento estraneo e nascondere ogni traccia dalle analisi dell’amministratore.
Il rootkit in questione viene utilizzato per infettare i sistemi Microsoft utilizzando un sistema GNU/Linux come un vettore. In poche parole, il rootkit modifica le pagine (inserendo del codice) che il server web installato sulla macchina GNU/Linux invia ai client e quindi agli ignari utenti. Comunque, per maggiori informazioni leggete il seguente articolo:
https://www.securelist.com/en/blog/208193935/New_64_bit_Linux_Rootkit_Doing_iFrame_Injections
MA COME POSSO CREARE UN ROOTKIT DI TEST?
Grazie alle fatiche di Dhiru Kholia e Matias Fontanini è possibile scaricare e “testare” il codice sorgente di un rootkit creato a fini didattici. Il rootkit è stato “testato” su sistemi con kernel >= 3.0 e 2.6.26 e il codice sorgente lo potete trovare al seguente indirizzo internet: https://github.com/mfontanini/Programs-Scripts/tree/master/rootkit. Potete leggere l’articolo completo di implementazione del rootkit al seguente indirizzo: http://average-coder.blogspot.it/2011/12/linux-rootkit.html. Dopo aver compreso il codice,si può fare più attenzione a ciò che si scarica e a ciò che si installa nel proprio sistema GNU/Linux.
CONCLUSIONI
In questo breve articolo, abbiamo visto come il nostro sistema può essere protetto dai rootkit con tre strumenti GNU/Linux molto interessanti. Nei prossimi giorni integrerò l’articolo con altre informazioni sperando di interessare qualcuno!