Master Boot Record Rootkit “in-the-wild”

Pubblicato il gennaio 6, 2008. Archiviato in: News |

Marco Giuliani, malware analyst dell’azienda di sicurezza PrevX, ha segnalato sul suo PC al Sicuro e sul blog ufficiale di PrevX, la diffusione in-the-wild di uno nuovo pericoloso codice malware rootkit che attacca il Master Boot Record del disco di sistema per compromettere il sistema operativo sin dall’avvio.

Giuliani scrive: “Abbiamo avuto modo di vedere differenti tecniche di attacco utilizzate per compromettere il sistema operativo e nascondere le componenti dell’infezione all’interno del pc. Ogni volta, tuttavia, la guerra è stata combattuta dall’interno del sistema operativo, una continua guerra tra i ricercatori delle società antivirus e malware writer per riuscire a garantirsi il controllo del pc. 

Solo ultimamente abbiamo visto alcuni proof of concept di rootkit che possono compromettere la macchina fuori da Windows – vedi SubVirt di Microsoft o BluePill di Joanna Rutkowska. Entrambi i progetti molto interessanti ma, fortunatamente, restano al momento solo proof of concept … Qualcosa però sta cambiando. Nel 2005 alcuni ricercatori della eEye Digital Security pubblicarono un nuovo progetto, chiamato BootRoot. Il progetto era essenzialmente un nuovo tipo di rootkit che tentava di compromettere Windows dall’esterno, sovrascrivendo il Master Boot Record con del codice che aveva la capacità di modificare il driver di Windows ndis.sys sin dall’avvio. Qualche giorno fa GMER, l’autore di uno dei più noti tool antirootkit gratuiti, ha pubblicato un’interessante e dettagliata analisi di ciò che potrebbe diventare il nuovo trend delle infezioni: sfortunatamente, quel proof of concept chiamato BootRoot è ora in the wild“.

Giuliani conferma la diffusione in the wild di questa infezione alla luce di segnalazioni ricevute durante lo stesso periodo segnalato da GMER nella propria analisi. L’infezione si diffonde attraverso alcuni siti web che ospitano exploit studiati per infettare PC con software e/o sistema operativo non aggiornati. Gran parte dei siti web monitorati che vengono utilizzati per diffondere questa infezione sono iniettati in iframe nascosti all’interno di pagine web compromesse – una tattica molto diffusa negli ultimi periodi. La notizia ancora più preoccupante è che uno dei paesi più esposti all’attacco è l’Italia, poiché i siti web ospitanti il malware sono stati più volte utilizzati in vari attacchi locali durante i quali sono stati compromessi siti web.

Giuliani spiega: “Una volta che il dropper viene eseguito, sovrascrive il master boot record con il proprio codice e memorizza una copia del mbr originale al settore 62 del disco, appendendo il vecchio mbr a del codice proprio. Codice del malware viene aggiunto anche nei settori 60 e 61. Il driver del rootkit viene poi scritto in uno spazio libero e inutilizzato dell’hard disk, solitamente gli ultimi settori del disco. Il codice scritto nel MBR sarà responsabile del caricamento del driver vero e proprio nel sistema. Al successivo riavvio del sistema (il malware può programmare un reboot automaticamente) il codice scritto nel master boot record prende il controllo dell’Int 13h in modo tale da poter controllare qualunque cosa viene caricata dal sistema operativo. Questa posizione gli permette di poter modificare il kernel on-the-fly non appena viene letto dall’hard disk. Il codice modifica il kernel in modo tale che il driver del rootkit sia caricato nel sistema. Nessuna chiave di registro è necessaria, nessun file è presente. Per nascondersi all’interno di Windows, il rootkit modifica le routine IRP_MJ_READ e IRP_MJ_WRITE del driver disk.sys, responsabile in Windows dell’accesso ai dischi. Quando si tenta di leggere il Master Boot Record, il rootkit mostrerà come risposta il codice memorizzato al settore 62, cioè il codice originale. In aggiunta, il driver è responsabile di alcune connessioni verso host remoti. La maggior parte del codice utilizzato dal malware è stato copiato dal progetto BootRoot“. Per rimuovere il rootkit è sufficiente utilizzare il comando “fixmbr” da Console di Ripristino.

In alcuni test preliminari Windows Vista è risultato solo parzialmente vulnerabile: se UAC è disabilitato, il rootkit può sovrascrivere il Master Boot Record ma, se UAC è abilitato, il tentativo viene bloccato. Inoltre, anche se il codice viene scritto nel MBR, il rootkit non riesce a prendere il controllo del sistema a causa del processo di boot differente da quello di Windows XP. Ora che questa tipologia di rootkit è in the wild dovremo aspettarci una nuova ondata di attacchi di questo tipo, soprattutto perché gran parte delle attuali tecnologie antirootkit sono inefficaci contro questa minaccia.

Fonte. 

About these ads

Make a Comment

Rispondi

Effettua il login con uno di questi metodi per inviare il tuo commento:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

5 Risposte to “Master Boot Record Rootkit “in-the-wild””

RSS Feed for Simply Security Comments RSS Feed

[...] come riportato da due dei blog inclusi nella mia lista di recensioni (da PC al sicuro e quello di Simply Security). Stiamo parlando di "VirTool:WinNT/Sinowal.A", detto anche "Trojan.Mebroot"e [...]

Personalmente non vedo la novita’ e lo scalpore della cosa: i virus de MBR sono vecchia conoscenza, roba dei primi anni 90, sotto MS-DOS ne esistevano una marea (dovrei avere ancora qualche esemplare nei floppy in cima allo scaffale, ammesso che si leggano ancora) agganciavano tutti l’Int 13 come adesso (l’8086 vive) e si toglievano tutti allo stesso modo, si deve partire con un floppy di sistema e fare il classico comando:

fdisk /mbr

lo stesso comando che si usa per toglie dall’mbr il boot manager di linux (o chi per lui) per restituire a windows la capacita’ di bootare da solo.

Quindi mi viene da pensare che facendo questa operazione dal cd di boot di un qualunque windows spezziamo le gambine anche al nuovo arrivato.

O sbaglio ? Dopotutto il punto di ingresso del virus e’ l’MBR, se lo togliamo da li le altre zone infette diventano inutili e inerti…

[...] il Master Boot Record del disco di sistema per compromettere il sistema operativo sin dall’avvio. Link [...]

[...] è apparsa anche su: PC Al Sicuro Blog Archive Il Master Boot Record Rootkit è in-the-wild e su: Master Boot Record Rootkit “in-the-wild” Simply Security E quersto me lo chiami rootkit? Wow. Ora ti dico un segreto: questo affare, per girare, ha [...]


Where's The Comment Form?

Liked it here?
Why not try sites on the blogroll...

Iscriviti

Ricevi al tuo indirizzo email tutti i nuovi post del sito.

%d blogger cliccano Mi Piace per questo: