Ideato dai ricercatori un nuovo modello di file system, un sistema di archiviazione di dati e codice eseguibile potenzialmente invisibile a qualsiasi radar antivirale. Una manna, almeno in teoria, per cyber-criminali e malware writer.
La nuova minaccia alla sicurezza informatica si chiama AltFS, un file system “senza file” pensato per nascondere dati e codice binario a qualsiasi scansione. Un modo, ancora teorico, per camuffare componenti malevoli all’interno di un PC, un meccanismo che garantirebbe la persistenza tra un boot e l’altro abusando di risorse di archiviazione comunemente non associate al concetto di “file”.
I ricercatori hanno creato AltFS con lo scopo di dimostrare questo ennesimo meccanismo di infezione e attacco, passando poi dalla teoria alla pratica con la pubblicazione del codice del progetto su GitHub. AltFS è un framework estensibile grazie a un sistema di plugin aggiuntivi, con una vocazione multipiattaforma e “multi-stadio” capace di codificare i dati binari tramite il formato MessagePack.Image goes here!
Con AltFS, i ricercatori hanno in pratica messo a disposizione dei colleghi una API sfruttabile per generare enclave di storage nascoste, salvando ad esempio il codice di un file eseguibile all’interno del Registro e WMIStorageProvider di Windows, oppure il sistema User Defaults di macOS. Prendendo ad esempio il Registro, i file originali vengono codificati sotto forma di nuovi valori REG_BINARY corrispondenti a blocchi di dati multipli correlati tra loro.
AltFS è pensato soprattutto per promuovere ulteriori lavori di ricerca e analisi sulla minaccia dei file system virtuali, creando magari nuovi modelli di storage nascosti all’interno di altre risorse di sistema su Windows, macOS o altrove. Per quanto riguarda l’efficacia del framework nell’evasione dagli engine del software antivirale, poi, si tratta di una possibilità che i ricercatori pianificano di verificare in futuro.