image

Ongrijpbare rootkit besmet VBR harde schijf

maandag 8 oktober 2012, 10:40 door Redactie, 10 reacties

Een variant van de beruchte TDL4-rootkit is nu ook in staat om de volume boot record (VBR) van de harde schijf te infecteren en is daarmee veel anti-virusbedrijven te slim af. Op een standaard harde schijf staat een Master Boot Record (MBR), die verschillende gegevens bevat over het soort en de locatie van de logische partities van de harde schijf.

De eerste sector van een partitie, waar de MBR naar wijst, wordt ook de volume boot sector, boot block of volume boot record (VBR) genoemd. In het verleden zijn verschillende rootkits ontdekt die de MBR besmetten.

Besmetting
Onlangs rapporteerde beveiligingsbedrijf Damballa dat een variant van de TDL4-rootkit zeker 250.000 computers had geïnfecteerd. Opmerkelijk genoeg wist het beveiligingsbedrijf geen exemplaren van de malware te vinden. Alleen aan de hand van netwerkanalyse werden de infecties vastgesteld.

"Als er geen exemplaren bestaan, en we hebben meer dan twee maanden geprobeerd om ze te vinden, zijn er geen signatures om de malware te blokkeren of potentieel geïnfecteerde machines te scannen", zo liet de beveiliger destijds weten.

Rootkit
Het Nederlandse anti-virusbedrijf SurfRight meldt dat het exemplaren van de mysterieuze rootkit in bezit heeft. Die zou zich inmiddels op grote schaal verspreiden. "Het probleem is dat de meeste commerciële anti-virusprogramma's geen ondersteuning hebben om de VBR te lezen. De meeste zijn ook al niet in staat om de MBR te scannen als de bedreiging actief is op het systeem. Dit komt omdat de rootkit volledige controle heeft over alles wat er op het systeem gebeurt, inclusief de virusscanner", zegt Mark Loman tegenover Security.nl.

De onderzoeker van SurfRight meldt op het eigen blog dat de malware daardoor een nog grotere uitdaging voor commerciële anti-virusprogramma's is. "Dit betekent dat commerciële anti-virusprogramma's deze malware niet kunnen detecteren, laat staan verwijderen."

In de Malware Prevalence Top 25 van het anti-virusbedrijf staat de TDL4-variant inmiddels op een tweede plek. Het gaat hier om scans van besmette systemen door Hitman Pro. Hoe de systemen met de malware besmet zijn geraakt is nog niet bekend.

Reacties (10)
08-10-2012, 11:11 door Bitwiper
Net zoals voor het overschrijven van het MBR (Master Boot Record) heb je ook admin privileges nodig om de bootsector van een partitie te overschrijven.

Als een gebruiker die privileges niet heeft en het systeem qua patches up-to-date is, is de kans op deze besmetting minimaal: de aanvallers moeten dan kennis hebben van een unpatched privilege escalation vulnerability die is uit te voeren op het betreffende systeem, of ze moeten de gebruiker via social engineering overhalen admin privileges te verkrijgen (UAC), of ze moeten de gebruiker zover krijgen dat iemand met admin rechten het systeem "overneemt" en de malware uitvoert.
08-10-2012, 11:21 door Whacko
Waarom zou het niet te detecteredn zijn? het virus moet toch eerst runnen op een systeem om het te infecteren. Dus kun je toch een in-memory scan doen van onbekende executables?
08-10-2012, 11:42 door Anoniem
Door Whacko: Waarom zou het niet te detecteredn zijn? het virus moet toch eerst runnen op een systeem om het te infecteren. Dus kun je toch een in-memory scan doen van onbekende executables?
Het gaat er volgens mij om wanneer de infectie al gebeurd is.
08-10-2012, 11:43 door Anoniem
Men zal het ook nooit leren.Alin 1987wasalbekend met het brian boot virus en 1992 bij michel langegovirus dat jealtijd schoon moet starten, dus met een schone bootable CD met virusscanner waarbij de pc ook niet gereboot moet worden, maar echt aan en uit gezet moet worden. Nu leven we in 2012 en maak bijna iedereen weer die klasieke fout !
08-10-2012, 12:03 door Mysterio
Door Whacko: Waarom zou het niet te detecteredn zijn? het virus moet toch eerst runnen op een systeem om het te infecteren. Dus kun je toch een in-memory scan doen van onbekende executables?
Ja, dan krijg je een soort van cloud oplossing die in veel gevallen prima werkt, maar ben je nog steeds afhankelijk van de reputatie van bijvoorbeeld onbekende bestanden of processen. Zodra een virusscanner alles gaat blokkeren wat onbekend is creëer een heel ander probleem. Want als je kijkt naar de Windows omgeving dan zijn er zo gruwelijk gigantisch veel bestanden en processen die kunnen draaien, dat Whitelisting (bijvoorbeeld) een onwerkbare database oplevert.

Is het niet mogelijk om bepaalde kritieke gebieden te immuniseren? Bijvoorbeeld de MBR. Je zou de virusscanner daarvoor kunnen gebruiken die als het ware de MBR zou kunnen 'gijzelen' waardoor hij read-only wordt totdat je de virusscanner groen licht geeft om de wijzigingen uit te voeren. Of bedenk ik nu iets geks?
08-10-2012, 13:36 door Anoniem
@Mysterio, vroeger (loop al een aantal jaartjes mee) op een van mijn eerste systemen met BIOS in ROM (BIOS upgrade, chip vervangen) , was er de optie om aanpassen van het MBR te detecteren en te verbieden. Dit heeft volgens mij de overgang van een MFM controler naar de hostadapter niet overleeft. Analoog aan jouw opmerking, zou het niet mogelijk zijn om deze MBR bescherming weer te herintroduceren ? Weliswaar nadelig bij upgrades, maar erg voordelig bij een MBR/VBR rootkit .....
08-10-2012, 15:30 door Mysterio
Door Anoniem: @Mysterio, vroeger (loop al een aantal jaartjes mee) op een van mijn eerste systemen met BIOS in ROM (BIOS upgrade, chip vervangen) , was er de optie om aanpassen van het MBR te detecteren en te verbieden. Dit heeft volgens mij de overgang van een MFM controler naar de hostadapter niet overleeft. Analoog aan jouw opmerking, zou het niet mogelijk zijn om deze MBR bescherming weer te herintroduceren ? Weliswaar nadelig bij upgrades, maar erg voordelig bij een MBR/VBR rootkit .....

Ja, die optie ken ik. Was even opletten als je weer eens Windows opnieuw ging installeren, maar verder merkte je er niets van.
08-10-2012, 15:39 door joep da poope
Allemaal snel over naar UEFI secure boot. Probleem opgelost
08-10-2012, 17:04 door SirDice
Door joep da poope: Allemaal snel over naar UEFI secure boot. Probleem opgelost
Niet echt.
http://www.security.nl/artikel/39232/1/Rootkit_omzeilt_Windows_8_Secure_Boot.html
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.