Qualche settimana fa vi avevo parlato di questa grave minaccia, e di come era emersa una nuova variante: è passato meno di un mese, e cyber criminali hanno creato una nuova ennesima variante.

L’ MBR-Rootkit è stata la minaccia più pericolosa del 2008, a causa della sua difficoltà di rilevamento.

Cosa è un Rootkit?

Il nome “rootkit” deriva dal termine “root“, ovvero il c.d. “superuser” nei sistemi operativi appartenenti alla famiglia UNIX.

A differenza di normali trojan o altri virus, queste minacce riescono a nascondersi agli occhi del sistema, e quindi dell’utente, che non vedrà traccia di questo malware, nemmeno ad esempio aprendo il Task Manager.

Ciò perchè i rootkit intercettano particolari funzioni della API in modo tale che le informazioni restituite da queste ultime siano false.

Le API sono un insieme di funzioni di base utilizzate per effettuare azioni comuni come aprire un file o stabilire una connessione di rete.

Assumiamo ipoticamente che questo rootkit intercetti la funzione di “aprire un file” (un documento, un file di testo, etc.): intercettando questa funzione, potrebbe impedire l’apertura del file.

L’utente noterebbe solo ed esclusicamente che il file non viene aperto: nessun errore, nessuna finestra, nessun avviso, niente di niente.

Se l’utente è poco paziente, possiamo immaginarlo che inveisce e maledice il mondo, con una certa tentazione di distruggere il computer

E ciò a causa proprio del rootkit: una minaccia nascosta all’utente.

Esistono due modi per fare ciò: rootkit funzionanti in user-mode e rootkit attivi in kernel-mode.

La differenza principale risiede nel livello di accesso agli altri programmi residenti in memoria: i programmi (in generel qualsiasi applicazione) kernel-mode possono accedere a tutta la memoria (possono sovrascrivere qualunque altro dato o programma e compiere qualsiasi operazione immaginabile), mentre i programmi user-mode sono confinati in un proprio spazio di memoria e non possono influire su aree esterne.

Molti trojan e spyware oggi in circolazione a volte usano tecniche rootkit della seconda categoria ( user-mode).

In genere, un malware che agisce a livello user-mode, se l’utente infetto usa un account limitato, non potrà far danni al sistema: se invece l’utente infetto usa un account amministratore (la maggior parte degli utenti, ahimè), il malware (trojan o rootkit che sia) inseritosi nel sistema avrà privileggi di amministratore e quindi potrà far danno al sistema.

Ma come si puo intuire, la tecnica piu pericolosa è quella kernel-mode, perchè significa inserirsi nel cuore del sistema, potendo fare veramente ogni cosa!!!

Agire sul piano del Kernel significa ad esempio poter creare e caricare driver di sistema, che hanno accesso a qualsiasi dato e parte del sistema operativo: un controllo totale del sistema infetto.

Ad esempio, in genere un programma antivirus, proprio per avere un controllo totale del sistema, crea un driver, e grazie ad esso riesce a proteggere il vostro sistema.

Pensate invece un malware che faccia la stessa cosa: questo è il rootkit.

Ora pensate ad un rootkit che agisca a livello Kernel-Mode e che per giunta sia al di fuori del sistema operativo, al di fuori di Windows: significa un controllo totale dell’intera macchina.

Questo è l’MBR-Rootikit: posizionandosi nel c.d. MBR, riesce a trovarsi materialmente al di fuori dell’area di hard disk utilizzata da Windows.

Ebbene, la variante scoperta per la prima volta da Prevx all’inizio di questo mese, era molto più difficile da scovare:

• Non veniva più utilizzato il driver disk.sys
• Gran quantita di codice offuscato, rendendo difficile la sua individuazione
• Ad ogni tentativo di accesso all’MBR, modifica lo stesso MBR in modo da non lasciare traccia

In sintesi, riguardo l’ultima carattestica, era come se fosse dotato di una sorta di filtro, che gli permette di interccettare per prima un qualsiasi tentativo di lettura dell’MBR (ad esempio dell’antivirus), cosi da spostarsi senza lasciar traccia dietro di sè.

In base ad un accurato e perfetto articolo di Marco Giuliani (collaboratore di Prevx), emerge una nuova variante, oltre che diversi motivi di preoccupazione.

Innanzitutto, appare sempre più evidente l’inadeguatezza della protezione degli antivirus già nei confronti della prima variante: è stato riscontrato come il file “dropper” (cioè quello che genera poi l’effetivo rootkit MBR) della prima variante riesce ad eludere il controllo delle firme virali nonchè l’euristica della maggior parte dei motori antivirus.

Inoltre, in base ad un loro test, è stato rilevato che solo 5 software anti-rootkit (scanner) riescono a rilevare la prima variante dell’MBR-Rootkit.

I cyber criminali, nonostante questi dati, hanno deciso di elaborare una nuova ennesima variante, ancora più difficile da individuare.

Tralasciando i dettagli tecnici, basti dire che è stato rilevato un motore di filtraggio ancora più potente di quello della versione precedente, e che è stato rimosso la tecnica del codice offuscato per nascondersi.

Oltre a ciò, risulta evidente la difficoltà di intercettazione dal fatto che questo rootkit, agendo molto in profondità, di volta in volta sfrutta driver diversi: a volte ACPI.sys, altre volte vmscsi.sys.

Questo malware continua a diffondersi tramite siti web compromessi, che sfruttano vulnerabilità di vario tipo.

Da sottolineare che come la precedente variante, quella nuova è in grado di rubare e intercettare dati e account di ogni tipo, anche quelli bancari: nel precedente articolo vi avevo parlato di ben 10.000 account bancari e numeri di carte di credito dal valore di centinaia di migliaia di dollari rubati da questo rootkit.

Da ultimo, è doveroso comunicarvi che questa nuovissima minaccia viene puntualmente individuata da Prevx, forse attualmente l’unico prodotto in grado di proteggere efficaciemente da questo rootkit.

Vuoi tutti gli aggiornamenti di IbA's Blog in tempo reale? Abbonati ai nostri Feed RSS.