Een in november ontdekte Windows-bootkit gebruikt een nieuwe techniek om computers over te nemen. De malware in kwestie wordt de Gapz-bootkit genoemd. Gapz gebruikt verschillende exploit-technieken om de rechten op een computer te verhogen en vervolgens de VBR (Volume Boot Record) en MBR (Master Boot Record) te infecteren. Hierdoor wordt de malware al voor Windows geladen.

"De eerste interessante ontdekking is dat de VBR infectiemethode echt nieuw is en nog niet eerder in andere bootkit-families is gezien", zegt Aleksandr Matrosov van het Slowaakse anti-virusbedrijf ESET. De tweede interessante eigenschap van Gapz is de methode die de malware gebruikt om de kwaadaardige lading in de user-mode systeemprocessen te injecteren.

De VBR-infector wijzigt slechts vier bytes in de bootstrap code om de controle te krijgen waardoor het de kwaadaardige shellcode op de computer kan uitvoeren. Gapz valt ook op omdat het geen kwaadaardige driver gebruikt, zoals bij sommige andere rootkits en bootkits het geval is. De bootkit-functionaliteit wordt als shellcode tijdens het opstarten van Windows geladen.

Rechten
Voor het verhogen van de rechten om de VBR en MBR te infecteren gebruikt de bootkit twee Windows-lekken uit 2010 en 2011 en een UAC whitelist. Matrosov merkt op dat deze exploits niet interessant zijn, aangezien patches hiervoor al geruime tijd beschikbaar zijn. "Het interessantste aan de dropper is de nieuwe techniek voor het injecteren van code in de user-mode adresruimte."

Tijdens het infectieproces controleert de dropper eerst de versie van het besturingssysteem. De malware infecteert alle ondersteunde Windows-versies. Alleen op Windows 8 verloopt de infectie niet vlekkeloos Het bootkit-gedeelte werkt niet meer betrouwbaar na een herstart van de computer.

Detectie
Gapz valt echter op doordat het een niet-standaard techniek gebruikt om kwaadaardige code in explorer.exe te injecteren. Het doet dit op een manier waardoor het beveiligingssoftware omzeilt en werkt op alle Windows-versies. "Het doel is om shellcode in het Explorer proces te injecteren dat de kwaadaardige afbeelding laadt en uitvoert", laat Matrosov weten.

"De dropper heeft verschillende trucs om detectie door populaire beveiligingssoftware te omzeilen. En de in Gapz gebruikte shellcode-technieken maken het lastig om deze dropper te onderzoeken", gaat de analist verder.

Het aantal waargenomen Gapz-infecties is nog erg klein, maar dat kan volgend jaar mogelijk veranderen. "Ik vind Gapz één van de interessantste en complexe dreigingen van 2012", besluit Matrosov. Hoe de malware op Windows-computers terechtkomt laat ESET niet weten.

Windows 8
In een aanvullende analyse laat collega Eugene Rodionov weten dat de ELAM-beveiliging in Windows 8 geen bescherming tegen deze en andere bootkits biedt. Early Launch Anti-Malware Module (ELAM) is een nieuwe beveiligingsmaatregel in Windows 8 waardoor virusscanners een eigen module kunnen laden voordat andere kernel-mode drivers van derden worden geladen. Dit moet helpen bij de bestrijding van rootkits, maar blijkt niet effectief tegen bootkits.

"Hier was ELAM ook niet voor ontworpen", stelt Rodionov. De kwaadaardige code van de bootkit wordt geladen voor de Windows-kernel en daardoor ook voor het laden van de kernel-mode driver, waaronder ELAM. Daarnaast laden de meeste bootkits kernel-mode drivers ongedocumenteerde Windows-features, terwijl ELAM alleen legitiem geladen drivers kan monitoren.

"Dus de malware kan de beveiliging omzeilen en de code in de kernel injecteren. Dit maakt ELAM waardeloos in het bestrijden van bootkit-dreigingen. Niet alleen Gapz, maar ook TDL4, Olamsco, Rovnix en anderen", besluit Rodionov.