Sono passati due mesi da quando è stata isolata una nuova variante del MBR Rootkit. Avevo già scritto un articolo a riguardo, analizzando le nuove tecniche utilizzate da questa infezione. Pensavo che sarebbe potuto essere utile per chi voleva scrivere uno scanner capace di individuarlo.

Sfortunatamente sono passati due mesi e solamente un numero molto ristretto di produttori di software di sicurezza e ricercatori indipendenti hanno implementato uno scanner per il nuovo MBR rootkit. Ciò non è bene, soprattutto se stiamo parlando della stessa minaccia che ha infettato decine di migliaia di PC in tutto il mondo l’anno scorso, rubando password, dati sensibili quali account bancari e dati personali. Read the rest of this entry »

Quando il MBR rootkit venne isolato a cavallo tra la fine del 2007 e l’inizio del 2008, fu immediatamente chiaro che si trattava di un’infezione senza precedenti, differente da ogni tipologia di infezione vista in the wild. Il proof of concept era conosciuto dal 2005 ma nessuno si aspettava di vedere un malware in the wild utilizzare questa tecnologia. Bastarono pochi mesi al MBR rootkit per diventare una delle peggiori minacce dello scorso anno, con decine di migliaia di PC infetti.

Anche se la prima variante del MBR rootkit non viene ancora individuata da alcuni prodotti antivirus, i suoi creatori hanno deciso di svilupparne una nuova versione, capace di passare inosservata a tutti i prodotti di sicurezza, anche quelli che si erano dimostrati in grado di individuare la prima release. I nostri laboratori di ricerca hanno cominciato a ricevere nuove segnalazioni di questa infezione dai primi giorni di Aprile. Read the rest of this entry »

Sembra alquanto ironico scrivere questo post succesivamente all’ultimo nel quale ho parlato dei reali rischi derivanti dai malware attuali in confronto ai teorici proof of concept quali gli SMM Rootkit.

Oggi ho speso un po di tempo per analizzare un malware che è stato segnalato da parecchi utenti ai nostri laboratori di ricerca e che è stato intercettato euristicamente da Prevx Edge.

L’infezione è già conosciuta nel web come Trojan.Neprodoor, ma guardando su Internet non ho trovato informazioni tecniche veramente utili riguardo questo trojan, così ho deciso di dargli uno sguardo più in profondità.

E’ stato immediatamente chiaro che l’infezione non è banale ed è in grado di superare la maggior parte dei prodotti attuali di sicurezza.

L’infezione si propaga per mezzo di un dropper, chiamato reader_s.exe. Tuttavia, questo è solo il primo di una lunga catena di installer.

Il dropper è criptato con un packer proprietario, così non appena viene eseguito si decomprime in memoria ed inizia il proprio payload.

Effettua una copia di sé all’interno della directory di sistema di Windows %windir%\system32 e all’interno della cartella del profilo utente, aggiungendo poi le relative chiavi di registro HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run e HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, in entrambe utilizzando il valore [reader_s] e il percorso all’eseguibile.

Questo può essere definito come il pre-loader. Terminato il processo, il dropper esegue un nuovo processo svchost.exe nel quale inietta il proprio codice sottoforma di dll. Esegue dunque un thread all’interno del neo-creato processo.

Il controllo passa ora al loader reale, che controlla l’infezione ed è in grado di scaricare ed installare i componenti dell’infezione. Il loader comunica con uno dei server centrali utilizzando un protocollo privato e criptato. Tutto il traffico passa dunque per la porta TCP 80, ma non sarà controllato dai filtri web a causa della codifica.

Il loader è in grado di rubare informazioni dal PC, funzionare come proxy server, scaricare ed installare altre componenti dell’infezione.

Ora inizia la parte più interessante. Il loader scarica una componente spambot e un rootkit installer.

Dopo che i due installer sono stati scaricati in memoria, vengono iniettati all’interno di altri due processi svchost.exe. Tutto viene eseguito in memoria, niente è fisicamente scritto sul disco.

Mentre la dll con funzioni di spambot è una componente classica, ciò che è più interessante è il rootkit installer. Eseguito, infetta il driver ndis.sys leggendone il codice originale, codificandolo e includendolo nel proprio codice malevolo. Poi, il nuovo ndis.sys viene sovrascritto all’originale e una copia del nuovo ed infetto driver viene inserita anceh all’interno della directory di sistema dllcache. Ora, il driver ndis.sys è criptato e inglobato nel codice del rootkit.

Facendo così, il rootkit non ha bisogno di alcuna chiave di registro di Windows per eseguire il servizio e può sopravvivere nascosto in memoria.

Dopo che il servizio ndis viene riavviato, il rootkit è in grado di allocare parte della memoria nel kernel e copia il proprio codice lì dentro, poi viene eseguito il vero ndis.sys.

Il rootkit, che è ora un pezzo di codice non tracciabile in memoria, installa una routine per il controllo dei processi in esecuzione, al fine di intercettare l’esecuzione del processo services.exe.

Una volta intercettato, il rootkit inietta all’interno del processo lo stesso loader di cui ho parlato prima. Il ciclo ricomincia, con la componente spambot che verrà nuovamente scaricata e iniettata all’interno del processo svchost.exe.

Per rimanere invisibile all’interno dell’hard disk, il rootkit prende il controllo della funzione del kernel IofCallDriver, cambiando il puntatore alla funzione e redirezionandolo alla propria funzione.

Questo è uno dei vari modi per filtrare la lettura dell’hard disk, intercettando le chiamate dei driver. Se qualsiasi software tenta di leggere il driver ndis.sys, verrà mostrata la copia originale e pulita del driver. Ogni tentativo di modifica del driver verrà inoltre negato.

Il malware è chiaramente opera non di un teenager annoiato, l’intera architettura che sta dietro all’infezione lascia pensare che sia il lavoro di qualcuno con esperienza nel campo.

Il rootkit è in grado di restare invisibile alla maggior parte delle attuali tecnologie antirootkit e la struttura modulare dell’infezione lascia pensare che il(/i) malware writer possa aggiornarla in maniera rapida.

Prevx Edge e Prevx CSI sono in grado di rimuovere l’infezione.

Nel mentre che cercate tracce di infezione da SMM rootkit nel vostro PC, tanto che ci siete, date un occhio se magari un semplice, banale kernel mode rootkit non stia già controllando il vostro sistema operativo.

Prevx Blog

Non sono sorpreso più di tanto nel vedere quanto rumore abbia provocato in tutto il mondo la nuova ricerca rilasciata da Joanna Rutkowska e dal suo team.

La ricerca è focalizzata sulle possibilità di sfruttare un bug scoperto nei sistemi basati su CPU Intel per riuscire ad eseguire del codice arbitrario in System Management Mode, la modalità di funzionamento più privilegiata nei processori Intel.

Come già sottolineato dalla stessa Joanna Rutkowska e Rafal Wojtczuk nel documento rilasciato, questo non è il primo attacco sviluppato nei confronti dell’SMM. Da alcuni anni abbiamo visto molti tentativi di muovere gli attacchi dal campo del sistema operativo, più in profondità del Ring0. Abbiamo visto dei proof of concept rootkit basati su hypervisor a Ring -1 e ora del malware in modalità SMM (che potrebbe essere definito come Ring -2).

Premettendo che non commenterò la ricerca in sé - potrebbe essere l’argomento per un altro post - vorrei invece focalizzarmi su alcuni punti importanti.

Il progetto bluepill è già conosciuto e pubblico da qualche tempo, così lo sono altri progetti quali SubVirt, ci sono anche proof of concept di infezioni del firmware delle schede PCI. La ricerca è un fattore intrinseco nell’uomo e permette a tutti di fare continuamente passi avanti.

Tuttavia va tutto visto secondo la giusta prospettiva.

Leggendo in alcuni forum, ho notato alcune persone spaventate da questo attacco che parlavano addirittura di buttare la propria CPU perché probabilmente vulnerabile a questi attacchi.

E’ vero, c’è la remota possibilità che possa accadere un’infezione, un rootkit che sfrutti un attacco all’SMM. Tuttavia è molto improbabile. Perché?

Semplice. I malware attuali sono utilizzati per rubare informazioni, numeri di carte di credito, informazioni bancarie, sottrarre soldi e identità digitali. I malware writer hanno capito che non c’è bisogno di utilizzare tecniche avanzate quale può essere un attacco tramite l’SMM, che è molto difficile da scrivere ed è hardware dipendente.

Poi ci sono gli attacker che invece vogliono trasformare il pc degli utenti in degli zombie per creare una botnet e venderla al miglior offerente o utilizzarla per estorsioni o per inviare spam. Anche qui ci sono svariati rootkit kernel mode che sono in grado di superare la maggior parte dei software antirootkit inclusi nelle suite di sicurezza antivirus.

Sì, ci sono tool antirootkit standalone online che sono in grado di individuare anche le ultime infezioni, ma sono troppo complicati e difficili da utilizzare per l’utente medio.

Attualmente gli attacchi sono progettati e sviluppati per essere veloci, efficienti e per cambiare continuamente al fine di rimanere invisibili. I malware writer hanno capito che se vogliono colpire le società di antivirus devono colpire il più veloce possibile, sapendo che le tecnologie attuali degli antivirus non riusciranno a tenere il loro passo e verrano così superate.

Noi alla Prevx vediamo questo trend continuamente, isolando migliaia di nuovi malware ogni giorno.

Da una ricerca interna è stato possibile vedere chiaramente come la maggior parte dei rootkit in the wild riescano a nascondersi agli occhi delle suite antivirus con una facilità estrema. Non hanno bisogno di sovrascrivere l’SMRAM - come i rootkit SMM fanno - o di utilizzare tecnologie di virtualizzazioni per prendere possesso del sistema operativo. Sono “semplici, elementari, kernel mode rootkit”.

Sì, non interessanti quanto i rootkit SMM, ma sono questi il vero nemico contro cui combattare ogni giorno. E il sistema operatio è ancora il campo di battaglia che tanto piace ai malware writer.

I SMM rootkit sono sicuramente una possibile minaccia ma sono molto meno pericolosi dei malware attuali che sono là fuori. Per registrare i tasti premuti, password e dati personali, non c’è bisogno di codice eseguito in SMM - in realtà è possibile farlo anche da user mode in un account limitato senza bisogno di alcun exploit.

Bisogna essere spaventati dagli SMM rootkit tanto da buttare la propria CPU? Assolutamente no. C’è bisogno di utilizzare più prodotti di sicurezza per rafforzare le barriere del sistema? Certamente.

Scrivo questa notizia con ben 5 giorni di ritardo causa mancanza di tempo per redigerlo, sebbene abbia analizzato il trojan una settimana fa.

Sono state isolate alcune false e-mail scritte chiaramente in un italiano da traduttore online che si spacciano per una comunicazione di Microsoft. Un classico e banale esempio di social engineering che sfrutta un periodo particolarmente movimentato dal punto di vista della sicurezza informatica data la diffusione del worm Conficker.

L’e-mail, con oggetto: Microsoft ha recentemente rilasciato un aggiornamento della protezione recita:

Cari Clienti Microsoft,

Vi preghiamo di notare che Microsoft ha recentemente rilasciato un aggiornamento della protezione per Microsoft Windows OS.
L’aggiornamento si applica alle seguenti versioni di sistema operativo: Microsoft Windows 98, Microsoft Windows 2000, Microsoft Windows Millennium, Microsoft Windows XP, Microsoft Windows Vista.
Si prega di notare, che la presente aggiornamento si applica al aggiornamenti con prioritа alta categoria.
Al fine di proteggere il computer dalle minacce alla sicurezza e problemi di prestazioni, si consiglia di installare questo aggiornamento.
Dato che la distribuzione pubblica di questo aggiornamento tramite il sito ufficiale http://www.microsoft.com sarebbe risultato efficace nella creazione di un software “maligni”, abbiamo preso una decisione di emettere una versione sperimentale privato di un aggiornamento per tutti gli utenti di Microsoft Windows OS.
Come il computer и impostato per ricevere le notifiche quando sono disponibili nuovi aggiornamenti, che avete ricevuto questo avviso.
Al fine di avviare l’aggiornamento, si prega di seguire passo-passo le istruzioni:

1. Esegui il file, che avete ricevuto insieme a questo messaggio.
2. Seguire attentamente tutte le istruzioni che appaiono sullo schermo.

Se non cambia nulla dopo aver eseguito il file, probabilmente nelle impostazioni del vostro sistema operativo si dispone di una indicazione di eseguire tutti gli aggiornamenti in un contesto di routine.
In tal caso, a questo punto, l’aggiornamento del vostro sistema operativo sarа finito.
Ci scusiamo per gli eventuali disagi che questo ritorno potrebbe essere la causa per voi.

Grazie, Steve Lipner Direttore della Sicurezza Assurance Microsoft Corp.

L’allegato, ovviamente non proveniente da Microsoft, è una variante del trojan ZBot, con alcune modifiche per evitare di essere eseguita all’interno di macchine virtuali e sandbox. Il malware bloccherà la propria esecuzione, mostrando un messaggio di errore, se eseguito all’interno di:

• VMware
• VirtualBox
• VirtualPC
• CWSandbox
• JoeBox
• ThreatExpert
• Anubis
• Sandboxie

Una volta eseguito, il malware verrà iniettato all’interno di vari processi. Il trojan ha funzionalità di rootkit user mode, prendendo il controllo delle API:

NtQueryDirectoryFile
LdrGetProcedureAddress
LdrLoadDll
NtCreateThread
GetClipboardData
TranslateMessage

Il trojan viene copiato all’interno della directory di sistema di Windows con il nome di oembios.exe. Le dimensioni sono varie, visto che il trojan aggiunge alla fine del file dei dati casuali, così da evitare una facile individuazione da parte delle società di sicurezza, rendendo inutile ogni checksum sull’intero file.

Inoltre vengono creati i file sysproc86.sys e sysproc32.sys all’interno della directory %systemroot%\sysproc64. I due file non sono driver, ma sono file criptati contenenti dati sensibili catturati dal trojan all’interno del PC e istruzioni fondamentali per il funzionamento del malware.

Per autoeseguirsi all’avvio, il trojan modifica la voce Userinit alla chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Currentversion\Winlogon aggiungendo il percorso al file oembios.exe.

È, come al solito, raccomandabile non eseguire alcun allegato da e-mail sospette. In questo caso, una lettura attenta del testo dell’e-mail avrebbe fatto scattare alcuni sospetti, dato l’errato utilizzo della lingua italiana.

Sia Prevx Edge che Prevx CSI sono in grado di individuare e rimuovere l’infezione. Prevx Edge ha euristicamente bloccato l’infezione prima ancora che la firma virale fosse stata aggiunta.

Questo periodo di vacanze è uno dei periodi più critici per gli attacchi alla sicurezza delle infrastrutture informatiche, perché il livello di attenzione è solitamente più basso e i tempi di reazione sono molto più estesi.

È il caso del Worm.Conficker, che da un mese a questa parte si sta diffondendo nelle reti aziendali e su internet sfruttando principalmente la vulnerabilità pubblicata da Microsoft con il bollettino di sicurezza MS08-067.

Una nuova variante è stata isolata a fine anno, interessante perché tenta più vie di diffusione e blocca l’accesso ai siti internet delle società di sicurezza. Read the rest of this entry »

Siamo in chiusura di questo 2008. Un anno interessante dal punto di vista della sicurezza informatica. Numerosi eventi, anche molto importanti, sono accaduti. Basta ricordare, tra i tanti, la scoperta (o meglio, l’identificazione, visto che la tipologia di attacco era già nota da tempo) dell’attacco clickjacking oppure la grave falla dei DNS.

Come già fatto per il 2006, ripropongo quest’anno un breve report delle principale minacce a livello di malware riscontrate durante il 2008, con accenni a possibili evoluzioni nel 2009 dei malware e dei prodotti di sicurezza.

Il pdf, è scaricabile da qui: 2008: Il web si tinge di giallo.

Auguro a tutti una buona lettura e, soprattutto, un nuovo anno che sia ricco di felicità e di serenità - anche, perché no, dal punto di vista informatico.