Il Master Boot Record Rootkit è in-the-wild

Dobbiamo fare qualche passo indietro, sfogliare le pagine della nostra memoria per ricordarsi di Brain, il primo virus per IBM-PC documentato. Brain era un boot sector virus con tecnologia stealth, capace di nascondersi prendendo il controllo dell’INT 13h, un interrupt utilizzato per il controllo diretto dell’accesso ai dischi. Ogni qualvolta si tentava di leggere il settore di boot del disco infetto, Brain mostrava la copia originale del boot sector.

Brain Int 13h hook

Da Brain in poi sono stati migliaia i virus che hanno utilizzato la stessa tecnologia (o più avanzate) per rimanere invisibili agli occhi dell’utente e degli scanner antivirus, alterando le funzioni basilari e compromettendo così il funzionamento del sistema operativo.

Era il tempo di Brain, Stoned, Tequila e tanti altri famigerati nomi. Questa tipologia di infezione con il passare degli anni scomparse, lasciando il posto ad altri tipi di malware.

Oggi la tipologia di infezione più complessa è senza ombra di dubbio il rootkit. Techicamente parlando, le modalità con cui un rootkit compromette a basso livello il sistema operativo è allo stesso tempo affascinante e pericoloso.

Abbiamo avuto modo di vedere differenti tecniche di attacco utilizzate per compromettere il sistema operativo e nascondere le componenti dell’infezione all’interno del pc. Ogni volta, tuttavia, la guerra è stata combattuta dall’interno del sistema operativo, una continua guerra tra i ricercatori delle società antivirus e malware writer per riuscire a garantirsi il controllo del pc. Solo ultimamente abbiamo visto alcuni proof of concept di rootkit che possono compromettere la macchina fuori da Windows - vedi SubVirt di Microoft o la Bluepill di Joanna Rutkowska. Entrambi i progetti molto molto interessanti ma, fortunatamente, restano al momento solo proof of concepts - ciò significa che il malware in the wild dovrebbe avere la priorità.

Qualcosa però sta cambiando. Nel 2005 alcuni ricercatori della eEye Digital Security pubblicarono un nuovo progetto, chiamato BootRoot. Il progetto era essenzialmente un nuovo tipo di rootkit che tentava di compromettere Windows dall’esterno, sovrascrivendo il Master Boot Record con del codice che aveva la capacità di modificare il driver di Windows ndis.sys sin dall’avvio.

Qualche giorno fa GMER, l’autore di uno dei più noti tool antirootkit gratuiti, ha pubblicato un’interessante e dettagliata analisi di ciò che potrebbe diventare il nuovo trend delle infezioni: sfortunatamente, quel proof of concept chiamato BootRoot è ora in the wild.

Posso confermare la diffusione in the wild di questa infezione perché abbiamo ricevuto delle segnalazioni durante lo stesso periodo segnalato da GMER nella propria analisi. GMER riporta inoltre che la scoperta è stata effettuata da due membri del MR Team, Tammy e MJ.

L’infezione si diffonde attraverso alcuni siti web che ospitano exploit studiati per infettare pc con software e/o sistema operativo non aggiornati. Questa tipologia di infezione è stata vista spesso in azione durante il 2006 e 2007 - Gromozon è solo uno dei vari esempi.

Gran parte dei siti web monitorati che vengono utilizzati per diffondere questa infezione sono iniettati in iframe nascosti all’interno di pagine web compromesse - una tattica molto diffusa negli ultimi periodi.

Abbiamo visto che uno dei paesi più esposti all’attacco è l’Italia, poiché i siti web ospitanti il malware sono stati più volte utilizzati in vari attacchi locali durante i quali sono stati compromessi siti web.

Iframe drops MBR rootkit

Una volta che il dropper viene eseguito, sovrascrive il master boot record con il proprio codice e memorizza una copia del mbr originale al settore 62 del disco, appendendo il vecchio mbr a del codice proprio. Codice del malware viene aggiunto anche nei settori 60 e 61. Il driver del rootkit viene poi scritto in uno spazio libero e inutilizzato dell’hard disk, solitamente gli ultimi settori del disco. Il codice scritto nel MBR sarà responsabile del caricamento del driver vero e proprio nel sistema.

Al successivo riavvio del sistema (il malware può programmare un reboot automaticamente) il codice scritto nel master boot record prende il controllo dell’Int 13h in modo tale da poter controllare qualunque cosa venga caricata dal sistema operativo. Questa posizione gli permette di poter modificare il kernel on-the-fly non appena viene letto dall’hard disk.

MBR Rootkit code

Il codice modifica il kernel in modo tale che il driver del rootkit sia caricato nel sistema. Nessuna chiave di registro è necessaria, nessun file è presente.

Per nascondersi all’interno di Windows, il rootkit modifica le routine IRP_MJ_READ e IRP_MJ_WRITE del driver disk.sys, responsabile in Windows dell’accesso ai dischi. Quando si tenta di leggere il Master Boot Record, il rootkit mostrerà come risposta il codice memorizzato al settore 62, cioè il codice originale. In aggiunta, il driver è responsabile di alcune connessioni verso host remoti. La maggior parte del codice del MBR utilizzata dal malware è stata spudoratamente copiata dal progetto BootRoot.

In alcuni test preliminari Windows Vista è risultato solo parzialmente vulnerabile: se l’UAC è disabilitato, il rootkit può sovrascrivere il Master Boot Record ma, se l’UAC è abilitato, il tentativo viene bloccato. Inoltre, anche se il codice viene scritto nel MBR, il rootkit non riesce a prendere il controllo del sistema a causa del processo di boot differente da Windows XP a Windows Vista. Il malware, che riconosce il giusto codice da modificare nel kernel attraverso una signature, non riesce nell’intento poiché la signature non è valida per Windows Vista.

Tecniche da vecchia scuola? La tipologia di attacco è molto simile a Brain e ad altri vecchi virus, tuttavia il concetto in sé di rootkit è vecchio.

Ora che questa tipologia di rootkit è in the wild dovremo aspettarci una nuova ondata di attacchi simili, soprattutto perché gran parte delle attuali tecnologie antirootkit sono inefficaci contro questa minaccia.

In aggiunta a tutto ciò gran parte delle soluzioni antirootkit falliscono tutt’ora ad individuare correttamente alcuni rootkit che agiscono dall’interno di Windows, anche perché i malware writer possono utilizzare diversi trucchi e tecniche molto difficili da individuare.

Ora la battaglia sta lasciando il campo del sistema operativo e si sta spostando all’esterno.

(Prevx blog)

Scritto il 6 January 2008


28 Responses to “Il Master Boot Record Rootkit è in-the-wild”


  1. Massimo
    January 6th, 2008 at 03:04

    Grandioso… ora ai clienti formattero’ direttamente senza passare dal via. Mi sono rotto.


  2. Master Boot Record Rootkit “in-the-wild” « Simply Security
    January 6th, 2008 at 18:01

    [...] Pubblicato da angelique su Gennaio 6, 2008 Marco Giuliani, malware analyst dell’azienda di sicurezza PrevX, ha segnalato sul suo PC al Sicuro e sul blog ufficiale di PrevX, la diffusione in-the-wild di uno nuovo pericoloso codice malware rootkit che attacca il Master Boot Record del disco di sistema per compromettere il sistema operativo sin dall’avvio. [...]


  3. Aggiornamento: Il primo rootkit via MBR - BlogVista
    January 6th, 2008 at 23:02

    [...] Notizie molto aggiornate ed ancora più precise su PcAlSicuro [...]


  4. TNT
    January 7th, 2008 at 04:07

    Confermo l’esistenza. Peraltro purtroppo m’e’ capitato di vedere un exploit che installava questa orrenda bestia su un forum compromesso italiano… :(


  5. Sbronzo di Riace
    January 7th, 2008 at 11:09

    perché non segnalate i siti che installano questo malware, così uno ci evita di andare o lo mette nel file hosts?


  6. irpino
    January 7th, 2008 at 11:42

    sara’ sempre cosi’………………..rincorrere chi frega il prossimo!


  7. marasma
    January 7th, 2008 at 12:05

    Windows Vista non è affatto parzialmente vulnerabile in quanto di default è attivo lo UAC. Quindi Windows Vista è immune.


  8. TNT
    January 7th, 2008 at 16:46

    Sbronzo, mi sa che non sara’ facile. A detta di Elia Florio di Symantec:

    ===
    they are all Torpig=Sinowal=Anserin domains.
    e.g. gfeptwe.com/ld/ment/ld.php?id=[hash_value]&n=me1&try=1

    Last 3 chars of the domain are taken from this array of possible values:
    {”uno”,”dve”,”thr”,”fir”,”vif”,”xes”,”ves”,”ght”,”eni”,”etn”,”lev”,”twe”}

    First part is pseudo-random generated, based on the date.
    ===

    Io stesso ho verificato che un iframe che li distribuiva spesso su un sito compromesso cambiava spesso dominio…


  9. TNT
    January 7th, 2008 at 16:48

    Ahem… Marco, mi sa che devi disabilitare quel link… ha messo il link anche con hxxp invece di http e lo stupido IE lo sostituisce con http… :(


  10. Sbronzo di Riace
    January 7th, 2008 at 18:24

    domanda banale ma con utente con privilegi ridotti il malware riesce lo stesso a sovrascrivere il master boot sector?


  11. Sbronzo di Riace
    January 7th, 2008 at 18:27

    e se c’è una password impostata nel bios?


  12. matteo
    January 8th, 2008 at 03:09

    “SubVirt di Microsoft”
    Se ci sono virus, allora si fanno gli aggiornamenti.
    E per fare gli aggiornamenti server Windows originale
    E Windows originale costa.
    Furbi…


  13. Marco
    January 8th, 2008 at 15:45

    @TNT:

    mh, temo esistano differenti versioni del malware. Concordo con Elia Florio che i domini sono gestiti solitamente come [4char][postfix].com (%c%c%c%c%s.com) e che influisca la data (il check viene fatto in una routine precedente), ma la versione che ho io utilizza questi postfix:

    {anj, ebf, arm, pra, aym, unj, ulj, uag, esp, kot, onv, edc}


  14. TNT
    January 8th, 2008 at 17:37

    Marco, si’… fra l’altro la prima lista e’ chiaramente un conteggio da 1 a 12, la seconda il mese (anj/jan, ebf/feb, arm/mar, etc).


  15. Marco
    January 8th, 2008 at 17:39

    si, esatto :)


  16. Marco
    January 8th, 2008 at 18:36

    E fanno riferimento all’ormai famigerato range di IP 85.255.x.x (85.255.74.x). Scriverò qualche aggiornamento appena ho tempo sul caso, sia qui che sul blog ufficiale.


  17. Mamma, c’è un rootkit nell’MBR ! «
    January 10th, 2008 at 17:36

    [...] http://www.pcalsicuro.com/main/2008/01/il-master-boot-record-rootkit-e-in-the-wild [...]


  18. Sicurezza: Nuovo rootkit che infetta il Master Boot Record di windows | ILaRia LaB
    January 11th, 2008 at 22:43

    [...] Per approfondire l’argomento leggete anche questo articolo sul sito di Pcalsicuro.com. [...]


  19. zoom
    January 15th, 2008 at 09:53

    Forse sono un’ingenuo ma non basterebbe attivare l’apposita voce del BIOS per impedire tale infezione?


  20. Resetx12 » Blog Archive » Attenti ai Trojan
    January 29th, 2008 at 22:13

    [...] Roma - Tempi frenetici e strani giorni per la sicurezza online: non è passato molto tempo dall’annuncio della scoperta del rootkit invisibile da Master Boot Record, in grado di passare inosservato alla maggioranza dei software di sicurezza e anti-rootkit attuali, che si viene a conoscenza di una nuova minaccia sulla cresta dell’onda, nella fattispecie un trojan-keylogger che si annida furtivamente nei siti web compromessi per attaccare i sistemi degli utenti Windows laddove non adeguatamente protetti. [...]


  21. PC Al Sicuro » Blog Archive » MBR Rootkit: nuovi aggiornamenti
    March 20th, 2008 at 11:31

    [...] Come spiegato in un articolo precedente, l’MBR rootkit modifica le routine IRP_MJ_READ e IRP_MJ_WRITE del driver disk.sys così da poter offuscare la lettura del contenuto del MBR, mostrando invece una versione pulita del Master Boot Record salvata prima dell’infezione. [...]


  22. Tonio
    April 24th, 2008 at 19:05

    Scusate ma non sono molto esperto. Cos’è MBR? Ieri all’avvio mi si è presentata una schermata di Avast che segnalava la presenza di un rootkit win32 qualcosa e mi dava come unica possibiltà quella di eliminarlo prima di avviare il pc. L’ho fatto, ma da allora non trovo più le impostazioni dell’account di windows e ogni volta è come accendessi il pc per la prima volta. Qualcuno sa spiegarmi che è successo?


  23. Master Boot Record Rootkit “in-the-wild” « OpenICT Blog
    August 2nd, 2008 at 16:42

    [...] Agosto 2, 2008 in Security Marco Giuliani, malware analyst dell’azienda di sicurezza PrevX, ha segnalato sul suo PC al Sicuro e sul blog ufficiale di PrevX, la diffusione in-the-wild di uno nuovo pericoloso codice malware rootkit che attacca il Master Boot Record del disco di sistema per compromettere il sistema operativo sin dall’avvio. Link   [...]


  24. spippolazione
    August 3rd, 2008 at 11:00

    A me e’ capitato su un pc di un mio collega

    http://www.spippolazione.net/index.php/2008/07/29/ce-un-virus-nel-master-boot-record-come-lo-elimino-mbr-rootkit/

    Spero serva a qualcuno


  25. Microsoft - Page 2 - Giovani.it - Forum
    September 18th, 2008 at 00:54

    [...] Orginalmente inviato da zxzxasas Naa…il link non te lo trovo, ho la linea lenta e mi annoio… Immagino che il… tsk… "rootkit" a cui ti riferisci sia questo: Stealth MBR rootkit La notizia è apparsa anche su: PC Al Sicuro Blog Archive Il Master Boot Record Rootkit è in-the-wild e su: Master Boot Record Rootkit “in-the-wild” Simply Security E quersto me lo chiami rootkit? Wow. Ora ti dico un segreto: questo affare, per girare, ha bisogno dei diritti di amministrazione. Altrimenti non gira. E qualsiasi bug o falla di sicurezza sotto qualsiasi os che viene descritto e che richiede di base i diritti di amministrazione è una vaccata. Se io ho i permessi di amministratore sulla tua macchina, io ci facico quello che voglio. Quindi questo "rootkit" su vista ha possibilità di funzionar epraticamente nulle. [...]


  26. Il pericolo dei Rootkit | Yourpage live news aggregator
    October 30th, 2008 at 16:09

    [...] Un rootkit è un codice maligno che si può installare, per vari motivi, sui nostri PC e ne prende il controllo. Tra i più insidiosi si possono classificare quelli che si installano sul Master Boot Record. Facendo qualche passo indietro nella storia dei PC, qualcuno ricorderà Brain, che fu il primo virus per IBM-PC documentato. Brain era un boot sector virus con tecnologia stealth, capace cioè di nascondersi prendendo il controllo dell’INT 13h, (un interrupt utilizzato per il controllo diretto dell’accesso ai dischi). Ogni qualvolta si tentava di leggere il settore di boot del disco infetto, Brain mostrava la copia originale del boot sector. Da Brain in poi sono stati migliaia i virus che hanno utilizzato una simile tecnologia (o più avanzate) per rendersi invisibili agli occhi dell’utente e degli scanner antivirus, alterando le funzioni basilari e compromettendo così il funzionamento del sistema operativo. A quei tempi si parlava di Brain, Stoned, Tequila e molti altri. Questa tipologia di infezione, con il passare degli anni scomparve, lasciando il posto ad altri tipi di malware. Ad oggi, la tipologia di infezione più complessa, è senza dubbio il rootkit. Tecnicamente parlando, le modalità con cui un rootkit compromette a basso livello il sistema operativo è affascinante ed allo stesso tempo pericoloso. Vi sarà capitato di conoscere differenti tecniche di attacco utilizzate da varie forme virali per compromettere il sistema operativo e nascondere le componenti dell’infezione all’interno del pc. Ogni volta, la guerra è stata combattuta dall’interno del sistema operativo, una guerra tra i ricercatori delle società antivirus e malware writer per riuscire a garantirsi il controllo del PC. Qualcosa però stava cambiando. Nel 2005 alcuni ricercatori della eEye Digital Security pubblicarono un nuovo progetto, chiamato BootRoot. Il progetto era essenzialmente un nuovo tipo di rootkit che tentava di compromettere Windows dall’esterno, sovrascrivendo il Master Boot Record con del codice che aveva la capacità di modificare il driver di Windows ndis.sys sin dall’avvio. Una volta insediatosi il rootkit si esegue al boot del sistema, ancor prima dell’avvio di XP o Vista, e in questo modo assume il controllo completo del processo di boot del sistema operativo e può installare ed eseguire qualsiasi applicazione senza che l’utente del pc o il sistema operativo ne siano consapevoli. Niente di sorprendente dal punto di vista concettuale, considerato che l’obiettivo dei rootkit è proprio quello di installarsi nel sistema in maniera completamente nascosta e invisibile, e ad un livello talmente profondo, che nessun programma caricato nel sistema stesso, possa scoprirli o neutralizzarli. E’ proprio per questo motivo che gran parte delle soluzioni antirootkit falliscono miseramente nell’individuare, correttamente, alcuni codici maligni dall’interno di Windows, anche perché i malware writer possono utilizzare diversi trucchi e tecniche molto sofisticate e particolarmente difficili da individuare. Per questo che la tendenza è quella di lasciare il campo del sistema operativo e si sta spostando all’esterno con sitemi operativi indipendenti sicuramente più in grado di controllare ad un livello molto più favorevole. Per approfondimenti leggete qui. Saluti. Vai alla Fonte [...]


  27. Nuovo rootkit che infetta il Master Boot Record di Windows - Software Upgrade
    February 17th, 2009 at 12:02

    [...] Nuovo rootkit che infetta il Master Boot Record di Windows Da Antirootkit.com la notizia della comparsa di un nuovo rootkit che si nasconde nel Master Boot Record di Windows XP e di Vista. Il rootkit a quanto pare sfrutta una falla del MBR,che pu essere riscritto dallinterno di Windows. Una volta insediatosi il rootkit si esegue al boot del sistema,prima delavvio di XP o Vista,e in questo modo assume il controllo completo del processo di boot del sistema operativo e pu installare ed eseguire qualsiasi applicazione senza che lutente del pc o il suo sistema operativo ne siano consapevoli. Nellarticolo trovate anche un link ad unanalisi approfondita del rootkit effettuata da GMER,uno dei migliori tool di rilevazione rootkit. Niente di sorprendente dal punto di vista concettuale,considerato che lobiettivo dei rootkit appunto quello di installarsi nei sistemi operativi in maniera completamente nascosta e invisibile,e ad un livello talmente profondo che nessun programma caricato nel sistema stesso possa scoprirli o neutralizzarli. Lunica difesa efficace contro di loro,al momento, la prevenzione,una prevenzione rappresentata da un sistema di sicurezza stratificato,o multi livello. Purtroppo,come accaduto per altre precedenti minacce informatiche,e per i programmi e le metodologie per difendersene,c da prevedere che la comunit dei normali utenti informatici ,notoriamente restia e anche lenta nel percepire gli allarmi e le informazioni sulla sicurezza dei loro pc,dovr aspettare di rimanere pi o meno gravemente scottata anche dallinsidia dei rootkit,prima di rendersi conto della necessit di provvedere a difendersi da essi. Per approfondire largomento leggete questo articolo sul sito di Pcalsicuro.com. p.s.: Vista risultato solo parzialmente vulnerabile, infatti vulnerabile solo se ha lUAC disabilitato. fonte: pianetapc.it __________________ [...]


  28. Aron
    June 12th, 2009 at 07:28

    autopsy photo celebrity photos
    diagram for grand am serp belt
    mallu desi masala youtube
    1972 udorn thailand 7th rrfs
    downelink background layouts
    wizard of oz hanging clip
    piru crip gang
    how to make tarter sauce
    ghetto gaggers camron
    el potrero night club cudahy
    souplantation coupons discounts restaurant
    daisy van heyden acrobat
    inuyasha lemon fan fiction
    aim fades quotes away and profiles
    the new steve harvey look
    sears coldspot freezer 198 problems
    deelish flavor of love 2 myspace
    gone daughtery lyrics
    pusas grandes de mujeres desnudas
    www lampherehighschool k12 mi us

Lascia un commento

« Gli auguri di buon anno dai buoni e dai cattivi
Next: Nuovo anno, vecchi avvocati »