Simply Security

Master Boot Record Rootkit “in-the-wild”

Posted on gennaio 6, 2008. Filed under: News |

Marco Giuliani, malware analyst dell’azienda di sicurezza PrevX, ha segnalato sul suo PC al Sicuro e sul blog ufficiale di PrevX, la diffusione in-the-wild di uno nuovo pericoloso codice malware rootkit che attacca il Master Boot Record del disco di sistema per compromettere il sistema operativo sin dall’avvio.

Giuliani scrive: “Abbiamo avuto modo di vedere differenti tecniche di attacco utilizzate per compromettere il sistema operativo e nascondere le componenti dell’infezione all’interno del pc. Ogni volta, tuttavia, la guerra è stata combattuta dall’interno del sistema operativo, una continua guerra tra i ricercatori delle società antivirus e malware writer per riuscire a garantirsi il controllo del pc. 

Solo ultimamente abbiamo visto alcuni proof of concept di rootkit che possono compromettere la macchina fuori da Windows – vedi SubVirt di Microsoft o BluePill di Joanna Rutkowska. Entrambi i progetti molto interessanti ma, fortunatamente, restano al momento solo proof of concept … Qualcosa però sta cambiando. Nel 2005 alcuni ricercatori della eEye Digital Security pubblicarono un nuovo progetto, chiamato BootRoot. Il progetto era essenzialmente un nuovo tipo di rootkit che tentava di compromettere Windows dall’esterno, sovrascrivendo il Master Boot Record con del codice che aveva la capacità di modificare il driver di Windows ndis.sys sin dall’avvio. Qualche giorno fa GMER, l’autore di uno dei più noti tool antirootkit gratuiti, ha pubblicato un’interessante e dettagliata analisi di ciò che potrebbe diventare il nuovo trend delle infezioni: sfortunatamente, quel proof of concept chiamato BootRoot è ora in the wild“.

Giuliani conferma la diffusione in the wild di questa infezione alla luce di segnalazioni ricevute durante lo stesso periodo segnalato da GMER nella propria analisi. L’infezione si diffonde attraverso alcuni siti web che ospitano exploit studiati per infettare PC con software e/o sistema operativo non aggiornati. Gran parte dei siti web monitorati che vengono utilizzati per diffondere questa infezione sono iniettati in iframe nascosti all’interno di pagine web compromesse – una tattica molto diffusa negli ultimi periodi. La notizia ancora più preoccupante è che uno dei paesi più esposti all’attacco è l’Italia, poiché i siti web ospitanti il malware sono stati più volte utilizzati in vari attacchi locali durante i quali sono stati compromessi siti web.

Giuliani spiega: “Una volta che il dropper viene eseguito, sovrascrive il master boot record con il proprio codice e memorizza una copia del mbr originale al settore 62 del disco, appendendo il vecchio mbr a del codice proprio. Codice del malware viene aggiunto anche nei settori 60 e 61. Il driver del rootkit viene poi scritto in uno spazio libero e inutilizzato dell’hard disk, solitamente gli ultimi settori del disco. Il codice scritto nel MBR sarà responsabile del caricamento del driver vero e proprio nel sistema. Al successivo riavvio del sistema (il malware può programmare un reboot automaticamente) il codice scritto nel master boot record prende il controllo dell’Int 13h in modo tale da poter controllare qualunque cosa viene caricata dal sistema operativo. Questa posizione gli permette di poter modificare il kernel on-the-fly non appena viene letto dall’hard disk. Il codice modifica il kernel in modo tale che il driver del rootkit sia caricato nel sistema. Nessuna chiave di registro è necessaria, nessun file è presente. Per nascondersi all’interno di Windows, il rootkit modifica le routine IRP_MJ_READ e IRP_MJ_WRITE del driver disk.sys, responsabile in Windows dell’accesso ai dischi. Quando si tenta di leggere il Master Boot Record, il rootkit mostrerà come risposta il codice memorizzato al settore 62, cioè il codice originale. In aggiunta, il driver è responsabile di alcune connessioni verso host remoti. La maggior parte del codice utilizzato dal malware è stato copiato dal progetto BootRoot“. Per rimuovere il rootkit è sufficiente utilizzare il comando “fixmbr” da Console di Ripristino.

In alcuni test preliminari Windows Vista è risultato solo parzialmente vulnerabile: se UAC è disabilitato, il rootkit può sovrascrivere il Master Boot Record ma, se UAC è abilitato, il tentativo viene bloccato. Inoltre, anche se il codice viene scritto nel MBR, il rootkit non riesce a prendere il controllo del sistema a causa del processo di boot differente da quello di Windows XP. Ora che questa tipologia di rootkit è in the wild dovremo aspettarci una nuova ondata di attacchi di questo tipo, soprattutto perché gran parte delle attuali tecnologie antirootkit sono inefficaci contro questa minaccia.

Fonte. 

Make a Comment

5 Risposte to “Master Boot Record Rootkit “in-the-wild””

Comments RSS Feed

Where's The Comment Form?