So che un rootkit può nascondere i processi dal sistema operativo ingannando lo spazio utente. Ma un rootkit può anche modificare i metadati dei processi in modo tale da non essere nemmeno riconosciuto da uno strumento forense RAM come la volatilità?
Sto chiedendo questo perché anche la volatilità deve cercare con uno schema o un metodo specifico per i processi eseguiti dal sistema da cui proviene il dump della RAM.
But can a rootkit also modify a processes metadata in a way that it won't even be recognized by a RAM forensic tool like volatility?
La risposta breve è, non proprio.
I rootkit cambiano regolarmente i metadati del processo. Le modifiche cosmetiche vengono apportate ai bit che non sono vitali per il processo in esecuzione e vengono apportate modifiche significative ai bit che eseguono il processo. Ma se apporti delle modifiche "in modo che non vengano nemmeno riconosciute" a uno strumento forense, molto probabilmente avrai apportato delle modifiche in modo che non vengano riconosciute come un processo dal funzionamento sistema.
In altre parole, il rootkit è costretto a fare in modo che il processo segua le regole abbastanza da permetterne l'esecuzione - e per lo stesso motivo, seguirà sempre le regole abbastanza da consentire a Volatility di esplorarlo.
In effetti, un sacco di ciò che fa la Volatilità è cercare incongruenze che sono insolite in un processo normale ma sono esattamente il tipo di manomissione che un rootkit farebbe. Oh, guarda, il puntatore di una determinata chiamata di sistema punta allo userspace, non a kernelspace come dovrebbe! Questo è un regalo.
Ora, ho detto "non proprio ..." La volatilità ha un numero di plugin predefiniti che seguono le regole per trovare cose fuori posto. È possibile scrivere un nuovo rootkit che non è immediatamente evidente a questi plugin? Sicuro. Le persone intelligenti escogitano nuovi trucchi tutto il tempo. Ma gli sviluppatori e gli utenti intelligenti e intelligenti di Volatility trovano queste cose: è possibile scorrere la memoria manualmente con Volatility, non si è costretti da ciò che i plug-in esistenti pensano di dover cercare e scrivono nuovi plug-in che riconoscono la nuova evasione.
L'addestramento forense SANS utilizza la tagline "Il malware può nascondersi, ma deve essere eseguito." Perché funzioni, deve seguire alcune delle regole del SO. E quando lo fa, si mette sulla mappa che Volatility identifica ed esplora.
(piccola eccezione: ho sentito storie dell'orrore sull'hardware che ha visitato la Cina e sono tornato con manomissioni che l'hanno lasciato a casa beacon senza prove nella memoria di sistema. Se lasci che il nemico apporti modifiche al tuo hardware, allora possono andare oltre analisi della memoria, ma è un club piuttosto raro ed esclusivo.
Leggi altre domande sui tag forensics rootkits volatility