De beruchte en zeer geavanceerde TDL4 rootkit die al jaren rondwaart, heeft het gepresteerd om langs de Windows Driver Signing te komen. De rootkit is ook bekend onder de naam Alureon en TDSS. TDL4 is de laatste versie van de malware en heeft jaren lang 32-bit versies van Windows bestookt. Nu infecteert het ook 64-bit versies van het OS.

Alle moeite ten spijt

Microsoft heeft erg zijn best gedaan om juist het 64-bit besturingssysteem te vrijwaren van dit soort aanvallen. Volgens het beveiligingsbedrijf Prevx is de rootkit er desondanks in augustus dit jaar in geslaagd om de beveiliging van 64-bit Windows te kraken. Aanvallen zijn al ‘in het wild’ waargenomen.

TDL4 heeft het voor elkaar gekregen om de 64-bit beveiliging van Windows te penetreren door langs de Kernel Mode Code Signing te glippen. De code signing moet ervoor zorgen dat drivers alleen geïnstalleerd worden wanneer ze digitaal gewaarmerkt zijn door een vertrouwde bron.

Omzeilen

TDL4 omzeilt deze verdediging door zich in het Master Boot Record op de harde schijf te nestelen en de boot opties van het systeem te wijzigen. Het Windows dll-bestand kdcom.dll wordt vervangen door een eigen versie van de malware auteurs.

Dit zorgt ervoor dat de Kernel Patch Protection, die ervoor moet zorgen dat codes gesigneerd worden, omzeild wordt. Dat doet het niet door deze beveiliging daadwerkelijk te kraken. Dat hoeft namelijk niet eens.

Alleen de code van de stuurprogramma’s die gebruikt worden door de kernel worden immers geverifieerd door KPP. TDL4 patcht de Windows Boot Configuration Data, waardoor de machine denkt dat Windows Preinstallation Environment (PE) geladen wordt in plaats van een normale Windows versie.

KPP checkt de stuurprogramma’s daarvan niet omdat ze vertrouwd zijn, waardoor de rootkit zich geen zorgen hoeft te maken om dit verdedigingsmechanisme. De malware heeft hiermee dus vrij spel.

High Tech

Volgens beveiligingsbedrijf Prevx is de TDL4 de meest geavanceerde rootkit die ze ooit hebben mogen aanschouwen. Het wordt gebruikt als een backdoor om keyloggers en andere soorten malware op geïnfecteerde machines te installeren.

Door de meeste antimalware programma’s wordt de rootkit niet betrapt. Hij gebruikt namelijk geavanceerde low-level instructies om debuggers geen kans te geven. White hackers kunnen daardoor de code moeilijk ontcijferen. Er is hier en hier meer over TDL4 te lezen.

Bron: Techworld