Sono passati due mesi da quando è stata isolata una nuova variante del MBR Rootkit. Avevo già scritto un articolo a riguardo, analizzando le nuove tecniche utilizzate da questa infezione. Pensavo che sarebbe potuto essere utile per chi voleva scrivere uno scanner capace di individuarlo.

Sfortunatamente sono passati due mesi e solamente un numero molto ristretto di produttori di software di sicurezza e ricercatori indipendenti hanno implementato uno scanner per il nuovo MBR rootkit. Ciò non è bene, soprattutto se stiamo parlando della stessa minaccia che ha infettato decine di migliaia di PC in tutto il mondo l’anno scorso, rubando password, dati sensibili quali account bancari e dati personali.

In effetti, come avevo scritto in un post precedente, la prima versione del MBR rootkit potrebbe essere utilizzata ancora con successo. Il problema per gli attacker è fondamentalmente il dropper, per via delle individuazioni da parte dei software antivirus. Tuttavia i dropper del MBR rootkit sono stati spesso in grado di evadere le scansioni degli antivirus basate sia su signature che su tecnologie euristiche – i creatori sanno bene come svolgere il proprio sporco lavoro.

Una volta che il dropper ha infettato il sistema, a quel punto solo un numero esiguo di software antirootkit sono in grado di intercettarlo.

Tuttavia, i creatori del MBR rootkit hanno comunque deciso di effettuare un altro passo verso l’invisibilità “completa” e hanno rilasciato due mesi fa quello che può essere definito come il peggior rootkit in-the-wild attualmente conosciuto. Praticamente tutti i software antirootkit sono stati superati.

A due mesi di distanza abbiamo isolato un’altra variante del MBR rootkit. Seppur esiguo, evidentemente il numero di software antirootkit che erano stati aggiornati per individuare la nuova versione dell’infezione era troppo alto per i creatori, che hanno dunque deciso di spazzare via ogni possibilità di poter vedere il rootkit all’interno del sistema.

Alcuni test interni sulla variante del MBR rootkit che avevamo isolato due mesi fa hanno messo in evidenza come solo cinque software antirootkit erano in grado di individuare questa infezione – incluso Prevx 3.0 che è stato il primo.

Ora, dopo questo nuovo update del malware, Prevx è rimasto l’unico software in grado di individuare e rimuovere l’infezione.

Questo nuovo aggiornamento del MBR rootkit include hook molto più efficaci, capaci di filtrare ancor più in profondità ogni tentativo di leggere il Master Boot Record da parte dei software di sicurezza.

La buona notizia è che sono state rimosse da questa variante del rootkit alcune routine utilizzate per nascondere gli hook. Tuttavia questa potrebbe essere solo una scelta temporanea, visto l’enorme successo delle tecniche DKOH utilizzate per nascondere ancor più in profondità l’infezione.

L’idea di manipolare il driver al quale il device DeviceHarddisk0DR0 è collegato è ancora un’idea vincente, vista la difficoltà nel bypassare questo attacco.

Anche pensando di rimuovere l’hook del rootkit, sarebbe comunque difficile ripristinare la funzione di sistema originale, perché non si avrà a che fare sempre con lo stesso driver manipolato. In qualche sistema il driver potrebbe essere ACPI.sys, in altri vmscsi.sys, in altri ancora direttamente atapi.sys o molti altri. Quindi un eventuale routine di rimozione dell’hook dovrebbe innanzitutto individuare qual è il driver modificato e, in funzione del driver, conoscere già quale sia la funzione originale che è stata rimpiazzata. Un lavoro non banale.

Non l’avevo scritto nel primo post riguardante il MBR rootkit ma probabilmente quest’idea di prendere sotto attacco il driver immediatamente successivo al disk.sys è stata presa in prestito da un altro proof-of-concept bootkit, mostrato all’ultima XCon conference e denominato Tophet.A.

Come era possibile prevedere, abbiamo iniziato a vedere una rapida diffusione di queste nuove versioni del MBR rootkit, spesso iniettate nei sistemi degli utenti attraverso exploit ai quali vi si arriva attraverso siti web compromessi contenenti iframe o javascript offuscati che reindirizzano i browser ai server d’attacco veri e propri.

I produttori di software di sicurezza dovrebbero porre molta più attenzione a questa infezione e scrivere nuovi tool per l’individuazione e la rimozione invece di aspettare la fine del 2009 e dichiarare che il MBR rootkit è stata la peggiore minaccia dell’anno, così come è accaduto lo scorso anno.

Prevx 3.0 è in grado di individuare e rimuovere l’infezione gratuitamente.