Fantasma nel Kernel: come gli hacker aggirano le difese più profonde di Windows
Sottotitolo: I ricercatori rivelano un astuto nuovo metodo per nascondere processi malevoli anche dai sistemi Windows più blindati.
Era solo questione di tempo. Mentre le fortificazioni di sicurezza di Microsoft diventano sempre più alte, gli attaccanti hanno trovato un nuovo modo per infilarsi tra le crepe-abusando degli stessi strumenti che Windows mette a disposizione per tenere d’occhio se stesso. L’ultima rivelazione dei ricercatori di sicurezza espone una tecnica di furtività così precisa da rendere il malware invisibile al Task Manager e ai monitor endpoint di fascia alta, eludendo al contempo la temibile Kernel Patch Protection e la Hypervisor-Protected Code Integrity (HVCI).
Dentro l’attacco: sovvertire il kernel di Windows dall’interno
Per anni, PatchGuard e HVCI di Windows hanno rappresentato baluardi contro le manomissioni del kernel, mandando in crash qualsiasi sistema osi interferire con le strutture fondamentali. Ma il nuovo attacco non sfonda i cancelli; scivola attraverso una finestra fugace durante la terminazione di un processo.
Normalmente, quando un processo termina, il kernel di Windows verifica l’integrità delle sue liste interne (in particolare, gli ActiveProcessLinks in ogni oggetto EPROCESS) per assicurarsi che nulla sia stato manomesso. I rootkit un tempo provavano a scollegarsi da queste liste, ma la funzione PspProcessDelete del kernel quasi sempre individuava il trucco e abbatteva il sistema con una schermata blu-un segnale evidente di gioco sporco.
La svolta? Usare l’API ufficiale Microsoft PsSetCreateProcessNotifyRoutineEx, progettata per il monitoraggio legittimo dei processi. Registrando un callback, gli attaccanti possono intervenire nell’istante esatto in cui un processo sta per essere eliminato. In quei microsecondi prima che scattino i controlli del kernel, l’attaccante ripara qualsiasi manomissione delle liste, facendo apparire tutto in regola. Il risultato: il processo malevolo sparisce dalla vista e il sistema resta beatamente ignaro.
Questo non è un proiettile magico per ogni attaccante. Ottenere il necessario accesso a livello kernel è notoriamente difficile sulle moderne macchine Windows; i driver non firmati o non attendibili vengono bloccati da rigide policy di Code Integrity. L’attaccante deve quindi disporre di un certificato di firma del codice valido, dirottare un driver fidato o sfruttare una vulnerabilità esistente-impresa tutt’altro che banale. Eppure, per chi supera questi ostacoli, i vantaggi sono notevoli: persistenza e furtività quasi impossibili da rilevare.
I difensori si trovano in difficoltà. Poiché l’attacco usa solo API documentate e manipola dati scrivibili-non codice-aggira con eleganza le protezioni hypervisor di HVCI. La migliore speranza di rilevamento sta nel monitorare callback di processo sospetti o pattern insoliti di terminazione dei processi, ma mitigazioni pratiche e infallibili restano elusive.
Conclusione: la nuova frontiera dell’elusione del kernel
Il gioco del gatto e del topo al cuore della sicurezza di Windows sta evolvendo. Man mano che Microsoft chiude la strada alla manipolazione diretta del codice, gli attaccanti diventano creativi-piegando API di sistema legittime alla propria volontà e sfruttando sottili finestre temporali invisibili alla maggior parte delle difese. Per i difensori, la vigilanza e il monitoraggio comportamentale potrebbero essere l’unica speranza, ora che le stesse regole del kernel vengono trasformate in armi contro di lui.
WIKICROOK
- Kernel Patch Protection (PatchGuard): PatchGuard è una funzionalità di sicurezza di Windows che blocca modifiche non autorizzate al kernel, proteggendo dai rootkit e garantendo l’integrità del sistema.
- Hypervisor: Un hypervisor è un software che consente a un server di eseguire più macchine virtuali isolate, ciascuna delle quali agisce come un computer indipendente.
- EPROCESS: EPROCESS è una struttura del kernel di Windows che contiene dati chiave su ogni processo in esecuzione, importante per l’analisi del sistema, la sicurezza e il rilevamento del malware.
- PsSetCreateProcessNotifyRoutineEx: Un’API di Windows che consente ai driver di registrare callback per la creazione o la terminazione dei processi, comunemente usata dai software di sicurezza per monitorare l’attività del sistema.
- Code Integrity: La code integrity garantisce che nel kernel di Windows venga eseguito solo codice attendibile e firmato, impedendo l’esecuzione di codice non autorizzato o malevolo a un livello privilegiato.




