[NEWS] MBR Rootkit: Aggiornato e Ottimizzato

[c.m.g]

20 marzo 2008 alle 15.35 di netquik



Marco Giuliani, malware analyst dell'azienda di sicurezza PrevX, ha pubblicato sul suo PC al Sicuro e sul blog ufficiale di PrevX, un aggiornamento sulla nuova tipologia di rootkit scoperta "in the wild" ad inizio anno; l'MBR Rootkit, un rootkit che infetta il Master Boot Record per nascondersi all'interno di Windows, sfruttando un approccio "nuovo" mai utilizzato prima se non per alcuni "proof of concept".

Giuliani afferma: "Dopo tre mesi, il team che sta alle spalle di questa infezione ha cambiato codice del malware più volte, tentando di nascondere ogni volta in maniera migliore la propria creatura. Inizialmente è stato introdotto un driver per sovrascrivere il MBR, invece di utilizzare le API del Win32 subsystem .. si è tentato di evadere alcuni semplici controlli HIPS che avrebbero individuato un tentativo di accesso in lettura/scrittura a basso livello. Ora che le società ed alcuni singoli sviluppatori hanno rilasciato dei tool di rimozione per questa infezione, il team ha tentato di cambiare nuovamente le carte in tavola".

Come detto in precedenza l'MBR rootkit modifica le routine IRP_MJ_READ e IRP_MJ_WRITE del driver disk.sys in modo da offuscare la lettura del contenuto del MBR, mostrando al suo posto una versione "pulita" del Master Boot Record salvata prima dell'infezione. Il team di malware writer responsabile di questa nuova minaccia ha ottimizzato il codice del rootkit che ora modifica in memoria il driver CLASSPNP.sys, un numero maggiore di routine IRP_MJ_* del driver disk.sys ed il driver cdrom.sys.

Giuliani spiega: "Le routine IRP_MJ_READ/WRITE del driver Disk.sys puntano - in una macchina non infetta - ad una funzione chiamata ClassReadWrite, che è una funzione fornita dal driver CLASSPNP.sys. Ora, se il rootkit modifica le routine IRP_MJ_READ/WRITE per nascondere il codice nel Master Boot Record, tutto quello che uno sviluppatore deve fare è ritrovare il puntatore all'indirizzo della funzione CLASSPNP!ClassReadWrite e, di conseguenza, leggere il contenuto del MBR senza alterazioni da parte del rootkit. Ora però sorge il problema: ClassReadWrite non è una funzione esportata dal driver CLASSPNP.sys, e ci sono alcuni modi per poter ritrovare l'indirizzo di questa funzione. Il primo modo sarebbe quello di effettuare un'analisi del codice della funzione ClassInitialize.

Questa funzione è esportata dal driver CLASSPNP.sys e contiene l'indirizzo originale della funzione ClassReadWrite. Ecco la prima contromossa usata dal rootkit: il malware modifica la funzione ClassInitialize, in modo tale che non è più possibile individuare l'indirizzo originale in memoria della funzione ClassReadWrite. Un altro modo sarebbe quello di analizzare il driver cdrom.sys. Le routine di dispatch IRP_MJ_READ/WRITE del driver cdrom.sys puntano alla stessa funzione ClassReadWrite. Questo significa che dal driver cdrom.sys sarebbe possibile recuperare l'indirizzo originale della funzione ClassReadWrite. Seconda contromossa usata dal rootkit: ora, oltre al driver disk.sys, modifica anche cdrom.sys. Inoltre, il terzo cambio è l'aggiunta di altri hook (inutili dal punto di vista del codice) ad alcune funzioni IRP_MJ_*, hook sembrerebbe aggiunti semplicemente per rendere le cose più difficili alle società di sicurezza".

Quest'ultima release del malware rootkit è in grado di bypassare il rilevamento da parte della gran parte dei programmi sviluppati per individuare e rimuovere questa infezione. Una nota di merito per i ricercatori di PrevX: "Prevx CSI riesce ad individuare e rimuovere l'MBR rootkit. Da Gennaio, quando abbiamo aggiunto le routine per l'individuazione e la rimozione di questo rootkit nel nostro engine anti-rootkit, non è stato mai necessario aggiornare o modificare il codice per individuare le nuove varianti della componente rootkit dell'infezione", aggiunge Giuliani.

Link per approfondimenti:

Report @ PC al Sicuro
PrevX Blog



Fonte: Tweakness via prevx.com