c.m.g
01-09-2010, 09:10
30 agosto 2010
C’è voluto un po di tempo ma ora i sistemi Windows a 64 bit sono ufficialmente il nuovo obiettivo dei kernel mode rootkit.
Avevo parlato mesi fa riguardo il famoso TDL3 rootkit (http://www.pcalsicuro.com/main/2010/01/tdl3-rootkit-spettatori-di-un-gioco-a-senso-unico/), il più avanzato rootkit in the wild mai analizzato. Bene, l’ultima versione di questo rootkit era stata rilasciata mesi fa ed era la build 3.273. Dopo di questa non ci furono ulteriori aggiornamenti al driver del rootkit. Un comportamento molto sospetto, sopratutto se si era abituati a vedere aggiornamenti quotidiani del rootkit da parte dei propri sviluppatori per contrastare le difese dei software di sicurezza.
Ovviamente il rootkit era ben stabile nel sistema e funziona attualmente su tutti i sistemi operativi Windows a 32 bit basati su kernel NT senza bug significativi. Va ovviamente ricordato che il dropper necessita di privilegi amministrativi per potersi installare nel sistema. Tuttavia il team alle spalle del TDL3 rootkit era troppo silenzioso per non doverci aspettare qualcosa di nuovo.
Ed effettivamente hanno confezionato un gran bel regalo, perché il nuovo TDL3 rootkit è stato aggiornato, e stavolta l’aggiornamento è significativo: il rootkit è ora in grado di infettare il kernel dei sistemi operativi Windows a 64 bit.
Perché si tratta di una notizia molto importante? Le versioni a 64 bit del sistema operativo Windows sono considerate molto piu sicure delle loro rispettive versioni a 32 bit per via di alcune misure di sicurezza aggiuntive studiate per rendere molto più difficile l’alterazione del kernel di sistema.
Windows Vista 64 bit e Windows 7 64 bit non permettono a tutti driver di essere caricati nel kernel a causa di una minuziosa verifica della firma digitale del driver. Se il driver non è stato firmato digitalmente, Windows non ne permetterà il caricamento. Questa tecnoglogia permette a Windows di bloccare i rootkit che vanno ad alterare il kernel di Windows, visto che questi rootkit solitamente non sono firmati – o almeno non dovrebbero esserlo.
La seconda tecnica utilizzata da Microsoft per prevenire l’alterazione del kernel di Windows è la famigerata Kernel Patch Protection, meglio conosciuta come PatchGuard. Questa routine di sicurezza blocca ogni tentativo di modifica delle zone sensibili del kernel di Windows – ad esempio SSDT, IDT, codice del kernel e altro.
Queste due tecniche utilizzate assieme hanno permesso ai sistemi Windows x64 di essere fino ad ora molto piu protetti dai rootkit kernel mode.
I primi tentativi di superare queste protezioni sono state viste nel Whistler bootkit, un framework venduto al mercato nero e capace di colpire sia le versioni x86 che x64 di Windows.
Ma questa versione del TDL3 rootkit può essere considerata come la prima versione veramente diffusa di kernel mode rootkit compatibile con i sistemi a 64 bit. I database Prevx hanno individuato questa infezione più di 9 giorni fa e, al momento, si registrano nuovi sample ogni giorno. Questo significa che l’infezione si sta diffondendo nel web, sia tramite siti web a luci rossi che exploit kit.
Parlando dell’infezione in sé, è ancora in fase di analisi. Ma, ad una prima analisi, è difficile considerarla come una versione totalmente nuova di TDL3.
Sembra che qualcuno sia entrato in possesso del codice sorgente del TDL3 rootkit e gli abbia aggiunto alcune funzionalità di bootkit. QUesto perché il TDL3 rootkit ora colpisce il Master Boot Record, come fece il MBR rootkit anni fa e come sta facendo il Whistler bootkit.
Per superare sia il Kernel Patch Protection e la verifica della firma digitale, il rootkit modifica il Master Boot Record in modo da intercettare le routine di startup di Windows, prenderne possesso, modificarle e caricare il proprio rootkit driver. In questo modo entrambe le misure di sicurezza sono superate.
Se nei sistemi x86 di Windows il rootkit non necessita di riavviare immediatamente il sistema perché il driver può essere caricato immediatamente, nelle versioni a 64 bit di Windows la procedura di infezione è differente.
Il rootkit necessita dei privilegi amministrativi per infettare il Master Boot Record, e anche così non può comunque caricare il proprio driver nel kernel ancora. Per cui viene forzato un riavvio immediato del sistema. In questo modo, il MBR opportunamente modificato inizia a fare il proprio lavoro. Il codice del MBR è opportunamente codificato tramite una semplice operazione di ROR.
Anche il numero di versione del rootkit è cambiato, da 3.273 a 0.02. Sembra dunque che sia una build beta, anche perché da test interni il rootkit è sembrato abbastanza instabile.
L’idea principale è che i sorgenti del rootkit siano stati venduti e il nuovo team che l’ha acquistato abbia iniziato ad adattarlo ai sistemi a 64 bit, utilizzando tecniche già viste nel Whistler bootkit e nello Stoned v2 bootkit.
Ciò che è più importante però è che con questa versione del TDL3 rootkit è iniziata ufficialmente una nuova era: l’era dei rootkit a 64 bit.
Un’analisi più approfondita dell’infezione – sempre effettuata da me – è presente a questo indirizzo in inglese – la traduzione italiana verrà effettuata successivamente.
Fonte: PcalSicuro.com by Marco Giuliani (https://www.pcalsicuro.com/main/2010/08/ecco-lera-dei-rootkit-a-64-bit/#more-430)
C’è voluto un po di tempo ma ora i sistemi Windows a 64 bit sono ufficialmente il nuovo obiettivo dei kernel mode rootkit.
Avevo parlato mesi fa riguardo il famoso TDL3 rootkit (http://www.pcalsicuro.com/main/2010/01/tdl3-rootkit-spettatori-di-un-gioco-a-senso-unico/), il più avanzato rootkit in the wild mai analizzato. Bene, l’ultima versione di questo rootkit era stata rilasciata mesi fa ed era la build 3.273. Dopo di questa non ci furono ulteriori aggiornamenti al driver del rootkit. Un comportamento molto sospetto, sopratutto se si era abituati a vedere aggiornamenti quotidiani del rootkit da parte dei propri sviluppatori per contrastare le difese dei software di sicurezza.
Ovviamente il rootkit era ben stabile nel sistema e funziona attualmente su tutti i sistemi operativi Windows a 32 bit basati su kernel NT senza bug significativi. Va ovviamente ricordato che il dropper necessita di privilegi amministrativi per potersi installare nel sistema. Tuttavia il team alle spalle del TDL3 rootkit era troppo silenzioso per non doverci aspettare qualcosa di nuovo.
Ed effettivamente hanno confezionato un gran bel regalo, perché il nuovo TDL3 rootkit è stato aggiornato, e stavolta l’aggiornamento è significativo: il rootkit è ora in grado di infettare il kernel dei sistemi operativi Windows a 64 bit.
Perché si tratta di una notizia molto importante? Le versioni a 64 bit del sistema operativo Windows sono considerate molto piu sicure delle loro rispettive versioni a 32 bit per via di alcune misure di sicurezza aggiuntive studiate per rendere molto più difficile l’alterazione del kernel di sistema.
Windows Vista 64 bit e Windows 7 64 bit non permettono a tutti driver di essere caricati nel kernel a causa di una minuziosa verifica della firma digitale del driver. Se il driver non è stato firmato digitalmente, Windows non ne permetterà il caricamento. Questa tecnoglogia permette a Windows di bloccare i rootkit che vanno ad alterare il kernel di Windows, visto che questi rootkit solitamente non sono firmati – o almeno non dovrebbero esserlo.
La seconda tecnica utilizzata da Microsoft per prevenire l’alterazione del kernel di Windows è la famigerata Kernel Patch Protection, meglio conosciuta come PatchGuard. Questa routine di sicurezza blocca ogni tentativo di modifica delle zone sensibili del kernel di Windows – ad esempio SSDT, IDT, codice del kernel e altro.
Queste due tecniche utilizzate assieme hanno permesso ai sistemi Windows x64 di essere fino ad ora molto piu protetti dai rootkit kernel mode.
I primi tentativi di superare queste protezioni sono state viste nel Whistler bootkit, un framework venduto al mercato nero e capace di colpire sia le versioni x86 che x64 di Windows.
Ma questa versione del TDL3 rootkit può essere considerata come la prima versione veramente diffusa di kernel mode rootkit compatibile con i sistemi a 64 bit. I database Prevx hanno individuato questa infezione più di 9 giorni fa e, al momento, si registrano nuovi sample ogni giorno. Questo significa che l’infezione si sta diffondendo nel web, sia tramite siti web a luci rossi che exploit kit.
Parlando dell’infezione in sé, è ancora in fase di analisi. Ma, ad una prima analisi, è difficile considerarla come una versione totalmente nuova di TDL3.
Sembra che qualcuno sia entrato in possesso del codice sorgente del TDL3 rootkit e gli abbia aggiunto alcune funzionalità di bootkit. QUesto perché il TDL3 rootkit ora colpisce il Master Boot Record, come fece il MBR rootkit anni fa e come sta facendo il Whistler bootkit.
Per superare sia il Kernel Patch Protection e la verifica della firma digitale, il rootkit modifica il Master Boot Record in modo da intercettare le routine di startup di Windows, prenderne possesso, modificarle e caricare il proprio rootkit driver. In questo modo entrambe le misure di sicurezza sono superate.
Se nei sistemi x86 di Windows il rootkit non necessita di riavviare immediatamente il sistema perché il driver può essere caricato immediatamente, nelle versioni a 64 bit di Windows la procedura di infezione è differente.
Il rootkit necessita dei privilegi amministrativi per infettare il Master Boot Record, e anche così non può comunque caricare il proprio driver nel kernel ancora. Per cui viene forzato un riavvio immediato del sistema. In questo modo, il MBR opportunamente modificato inizia a fare il proprio lavoro. Il codice del MBR è opportunamente codificato tramite una semplice operazione di ROR.
Anche il numero di versione del rootkit è cambiato, da 3.273 a 0.02. Sembra dunque che sia una build beta, anche perché da test interni il rootkit è sembrato abbastanza instabile.
L’idea principale è che i sorgenti del rootkit siano stati venduti e il nuovo team che l’ha acquistato abbia iniziato ad adattarlo ai sistemi a 64 bit, utilizzando tecniche già viste nel Whistler bootkit e nello Stoned v2 bootkit.
Ciò che è più importante però è che con questa versione del TDL3 rootkit è iniziata ufficialmente una nuova era: l’era dei rootkit a 64 bit.
Un’analisi più approfondita dell’infezione – sempre effettuata da me – è presente a questo indirizzo in inglese – la traduzione italiana verrà effettuata successivamente.
Fonte: PcalSicuro.com by Marco Giuliani (https://www.pcalsicuro.com/main/2010/08/ecco-lera-dei-rootkit-a-64-bit/#more-430)