Überrootkit passeert defensie 64-bit Windows
Gepubliceerd: Woensdag 17 november 2010
Auteur: Chris Broesder
De wellicht meest geavanceerde rootkit ooit is er nu ook in geslaagd om ook 64-bit Windows het nakijken te geven. Hij nestelt zich in het Master Boot Record, omzeilt driver signing en is schier ondetecteerbaar door antivirus programma's. Nu ook in het wild waargenomen!
De beruchte en zeer geavanceerde TDL4 rootkit die al jaren rondwaart, heeft het gepresteerd om langs de Windows Driver Signing te komen. De rootkit is ook bekend onder de naam Alureon en TDSS. TDL4 is de laatste versie van de malware en heeft jaren lang 32-bit versies van Windows bestookt. Nu infecteert het ook 64-bit versies van het OS.
Alle moeite ten spijt
Microsoft heeft erg zijn best gedaan om juist het 64-bit besturingssysteem te vrijwaren van dit soort aanvallen. Volgens het beveiligingsbedrijf Prevx is de rootkit er desondanks in augustus dit jaar in geslaagd om de beveiliging van 64-bit Windows te kraken. Aanvallen zijn al 'in het wild' waargenomen.
TDL4 heeft het voor elkaar gekregen om de 64-bit beveiliging van Windows te penetreren door langs de Kernel Mode Code Signing te glippen. De code signing moet ervoor zorgen dat drivers alleen geïnstalleerd worden wanneer ze digitaal gewaarmerkt zijn door een vertrouwde bron.
Omzeilen
TDL4 omzeilt deze verdediging door zich in het Master Boot Record op de harde schijf te nestelen en de boot opties van het systeem te wijzigen. Het Windows dll-bestand kdcom.dll wordt vervangen door een eigen versie van de malware auteurs.
Dit zorgt ervoor dat de Kernel Patch Protection, die ervoor moet zorgen dat codes gesigneerd worden, omzeild wordt. Dat doet het niet door deze beveiliging daadwerkelijk te kraken. Dat hoeft namelijk niet eens.
Alleen de code van de stuurprogramma's die gebruikt worden door de kernel worden immers geverifieerd door KPP. TDL4 patcht de Windows Boot Configuration Data, waardoor de machine denkt dat Windows Preinstallation Environment (PE) geladen wordt in plaats van een normale Windows versie.
KPP checkt de stuurprogramma's daarvan niet omdat ze vertrouwd zijn, waardoor de rootkit zich geen zorgen hoeft te maken om dit verdedigingsmechanisme. De malware heeft hiermee dus vrij spel.
High Tech
Volgens beveiligingsbedrijf Prevx is de TDL4 de meest geavanceerde rootkit die ze ooit hebben mogen aanschouwen. Het wordt gebruikt als een backdoor om keyloggers en andere soorten malware op geïnfecteerde machines te installeren.
Door de meeste antimalware programma's wordt de rootkit niet betrapt. Hij gebruikt namelijk geavanceerde low-level instructies om debuggers geen kans te geven. White hackers kunnen daardoor de code moeilijk ontcijferen. Er is hier en hier meer over TDL4 te lezen.
Bron: Techworld
De rubriek Tips & Tools biedt praktische informatie die IT-professionals in hun dagelijkse werk kunnen toepassen.
