il rootkit ZeroAccess si evolve subdolamente nella propria criticità

Dopo aver attinto le informazioni riferite direttamente sul blog di WebRoot dall’esperto di tecnologia del malware Marco Giuliani, prendo lo spunto per riferirvene i dettagli e mettere in guardia da uno tra i più temibili e longevi rootkit finora mai sviluppati: ZeroAccess.

Giuliani inizia nel dire che: “Per quanto concerne la natura dei più infami rootkit kernel-mode, la maggior parte di questi hanno subito un sintomatico rallentamento nel proprio ciclo di sviluppo, in quanto pian piano tralasciati dai propri sviluppatori: TDL rootkit, rootkit MBR, Rustock sono solo alcuni esempi di questi. Non si può affermare, purtroppo, la stessa cosa per ZeroAccess: il team che sta dietro di esso sta lavorando portando uno sviluppo in maniera davvero molto incisiva. Noi lo sappiamo per certo, in quanto l’ho potuto constatare da me stesso.”

“Abbiamo già discusso di questo rootkit e delle sue evoluzioni in diversi post sul blog attraverso delle pagine techiche che documentano in modo più approfondito tutte le caratteristiche del malware. L’ultimo aggiornamento rilasciato dal team che sta dietro a ZeroAccess risale a un paio di settimane fà; tale aggiornamento ha visto l’implementazione di tutta una serie di robuste routine di auto-difesa, in grado peraltro di terminare brutalmente la quasi totalità dei più conosciuti (anche dai virus-maker) software di sicurezza che provano ad avere accesso al cuore nevralgico del virus. Tali meccanismi attivano delle raffinate soluzioni e protezioni che bloccano la successiva esecuzione dei software di sicurezza attraverso la manipolazione delle impostazioni ACL, ovvero la lista che descrive le proprietà di controllo dell’acceso al file principale del software antivirale.”

“La scorsa settimana ZeroAccess ha ricevuto un ennesimo aggiornamento, e si tratta di nuovo di uno di innegabile importanza per la propria evoluzione. Il rootkit è passato dall’utilizzo di un file nascosto cifrato che usa un volume con file system NTFS, a quello più comodo di una directory nascosta creata all’interno della cartella Windows, e nella quale il rootkit continua a memorizzare i propri dati di configurazione, nonché altro malware in forma criptata.”

Continua nell’analisi Marco Giuliani: “Nonostante sia visibile sul file system, la directory in questione non è facilmente raggiungibile in quanto si configura come un punto di analisi ovvero un link simbolico che punta a un falso percorso. Questo approccio impedisce a qualsiasi software, funzionante con meccanismi a livello di filesystem di accedere al contenuto della directory. Il software che tenta di accedere al contenuto della cartella ottenendo manualmente il parsing del file system NTFS non andrà molto lontano: anche se i file sono accessibili, in quanto il rootkit li memorizza in forma crittografata.”

“Le precedenti versioni del rootkit utilizzavano la crittografia RC4 con una specifica chiave incorporata all’interno del rootkit medesimo. Questo approccio ci ha permesso di individuare facilmente il file contenente il rootkit nel volume nascosto, quindi di decodificarlo ed estrarre il plug-in del rootkit tramite l’utilizzo di una copia pulita del driver di sistema infetto.”

Giuliani continua con la disamina: “Sembra che gli autori di ZeroAccess abbiano ora apportato alcune consistenti modifiche al loro malware: il rootkit non utilizza più al proprio interno una chiave di crittografia condivisa (uguale per tutti i sistemi infetti), ora, invece, la chiave di cifratura è diversa per ogni sistema su cui è portata l’infezione. Il malware genera la chiave utilizzando alcuni valori specifici recuperati dal computer della vittima, impedendo così la  decifratura dei file di malware criptato, così ad esempio, qualora fossero salvati dal sistema infetto e inviati a una società specializzata in analisi antivirali. Inoltre la crittografia non utilizza più di default l’algoritmo RC4: ora, il rootkit modifica la crittografia in modo che, mentre sta ancora utilizzando di base l’algoritmo RC4, riesce ad implementare la crittografia in modo diverso.”

A questo punto l’esperto  entra nella descrizione del tipo di crittografia utilizzata: “Il rootkit genera ancora un S-Box RC4 con la chiave di crittografia recuperata dal sistema infetto, anche se genera poi un altro S-Box, che utilizza i dati del primo, ma in modalità inversa. ZeroAccess utilizzerà queste due keystream per crittare e decrittare i file, semplicemente attraverso la permutazione dei byte. La cartella in cui il rootkit archivia i propri file si trova nel path: C:\WINDOWS \$$NtUninstallKBxxxxx, dove le X rappresentano un numero univoco generato direttamente dalle caratteristiche del sistema infetto. Sembra familiare questo meccanismo? Questo accade perché il meccanismo di disinstallazione delle patch di aggiornamento di Windows crea su ogni computer cartelle con questa stessa convenzione di denominazione. A questo punto, ogni volta che il rootkit deve leggere o scrivere all’interno di questa cartella, l’I/O del disco dovrà per forza di cose passare attraverso il dispositivo stesso del rootkit (che ha nome ACPI#PNP0303#2&da1a3ff&0), in modo che il driver del malware, in modalità kernel, è facilmente in grado di cifrare e decifrare in tempo reale il flusso dei dati.”

“Nonostante tutti gli aggiornamenti – prosegue Giuliani – la logica di infezione rimane pur tuttavia la medesima, e se il codice è stato modificato è solo per aumentarne il livello di complessità. Il driver kernel-mode del rootkit aggancia l’oggetto DriverExtension del driver di sistema Disk.sys dirottandolo su LowerDeviceObject, in modo da consentirgli di intercettare ogni pacchetto inviato, appunto dal driver di sistema Disk.sys, ai dispositivi più a basso livello nello stack. Il rootkit utilizza questo filtro al fine di poter nascondere il driver infetto.”

“Le routine di autodifesa che avevamo prima visto implementate in ZeroAccess si trovano in un secondo driver in modalità kernel, che crea un processo sacrificale (“goat“), per poi poterne controllare ogni accesso. Quando un programma software per la sicurezza effettua una scansione del sistema, nel tentativo di utilizzare un handle per accedere al processo sacrificale, le routine di auto-difesa del driver del rootkit, avranno modo di terminare il task del software di sicurezza, iniettandone ulteriormente all’interno del file un codice di payload dal quale verrà richiamata (ogni volta che il tool di sicurezza sarà nuovamente eseguito) la chiamata alla funzione API ExitProcess(), portandone con successo alla terminazione del relativo processo. Non contenti di ciò gli sviluppatori di ZeroAccess hanno messo in atto un ulteriore step di codice tramite il quale riescono ad intervenire direttamente sulle impostazioni ACL del file, in modo che il tool di sicurezza non possa essere nuovamente eseguito, a meno che le impostazioni ACL di default non vengano opportunamente, e manualmente, ripristinate.”

Conclude Giuliani che: “Questo nuovo approccio – aggiunto al fatto che assistendo alla rapida diffusione di questo rootkit, che è in grado di aggirare in modo efficace e disabilitare la maggior parte delle soluzioni di sicurezza – rende ZeroAccess ancora più aggressivo e difficile da sconfiggere, assurgendolo sicuramente ad una delle più avanzati e temibili rootkit in modalità-kernel al momento riscontrabili.”

Da parte mia, come sempre, consiglio di tenere costantemente aggiornato il s.o. e le suite di sicurezza utilizzate, e di essere per quanto possibile prudenti e diffidenti nell’utilizzo, per quanto smaliziato, della rete e soprattutto di programmi dall’origine incerta o sconosciuta.

About these ads

Informazioni su Totocellux


Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Iscriviti

Ricevi al tuo indirizzo email tutti i nuovi post del sito.

%d blogger cliccano Mi Piace per questo: