Lo scorso Gennaio avevo scritto riguardo un nuovo rootkit che da diversi mesi si sta diffondendo su Internet. Quel rootkit, denominato TDL3 o TDSS o Tidserv (la solita confusione di nomi tra varie società di sicurezza) era particolarmente preoccupante per il nuovo modo con cui attaccava il sistema, facendo uso di nuove e migliorate tecniche offensive.

È necessario tuttavia rinnovare l’allarme per questa minaccia, che durante questi mesi è stata continuamente aggiornata da parte dei propri creatori.

Il team alle spalle del rootkit sta lavorando costantemente per migliorare la propria creatura. In questi mesi non si sono mai fermati, continuando ad aggiornarlo ogni giorno – in alcuni casi anche piu volte al giorno – e in modo da evitare ogni individuazione tramite signature generiche.

Tutti i dropper del rootkit vengono ricompilati lato server ogni giorno. Questo permette ai creatori di evadere da ogni semplice signature o signature generiche basilari. Effettivamente queste signature sono l’unico vero ostacolo che molti software di sicurezza pongono, perché una volta che l’infezione è attiva è invisibile per la gran parte degli antivirus e antirootkit.

Anche il rootkit vero e proprio è stato aggiornato, con routine di auto-difesa per evitare l’attacco di tool anti-rootkit specifici. È quasi simpatico seguire l’evoluzione del rootkit, sembra di assistere ad una partita di scacchi tra chi attacca e chi difende. È una delle poche volte in cui si possono vedere questi due fronti rispondersi quasi in tempo reale.

Già si sapeva che il rootkit è in grado di infettare uno dei driver di sistema di Windows e filtrare l’accesso al disco fisso in lettura e scrittura. Ora il rootkit ha aggiunto anche un watchdog thread capace di monitorare la chiave del registro di sistema relativa al driver infetto, bloccandone ogni modifica. Facendo così, il rootkit è ora in grado di bloccare alcuni semplice tool di cleanup.

Un’altra tecnica di auto difesa è l’impossibilità per chiunque nel sistema di ottenere un handle al file infetto. In questo modo il rootkit previene alcuni tool anti-rootkit dal leggere il contenuto del file in questione. Le versioni precedenti del rootkit permettevano la lettura del file infetto, ma mostravano la copia originale del file. Questo escamotage veniva utilizzato da alcuni tool di sicurezza per recuperare la copia pulita original del file infetto.

Sorgono tuttavia alcuni dubbi riguardo la vera utilità di questa tecnica di difesa. Se è vero che nessuno è piu ingrado di accedere al contenuto del file, è altresì vero che ora è molto piu facile scoprire quale file è infetto, poiché ogni accesso a quel file sarà negato e molti software di sicurezza riporteranno questa anomalia.

Lo scorso Martedì Microsoft ha rilasciato degli update per Windows, alcuni dei quali critici perché correggono un bug presente in Windows da ben 17 anni. Dopo che alcuni utenti hanno aggiornato il proprio sistema operativo, tuttavia, si sono ritrovati con un terribile BSOD.

La reazione di questi utenti sarà stata chiaramente quella di insultare pesantemente la società di Redmond. Tuttavia, questa volta, il problema non è stato causato da Microsoft. In realtà, molti utenti che hanno riscontrato questo problema erano affetti dal rootkit TDL3.

Più esattamente sembra che il rootkit TDL3 sia incompatible con l’update MS10-015. Questa è la causa del BSOD. Il problema risiede nella pigrizia degli autori del rootkit quando hanno progettato la routine di infezione del driver.

Quando il dropper viene eseguito, l’infezione calcola gli offset RVA di alcune funzioni del kernel di Windows – ZwReadFile, ZwOpenFile, ObQueryNameString – e scrive ingloba questi offset nel codice dell’infezione, senza verificarli ad ogni avvio del sistema.

Questo ha funzionato perfettamente fino all’update MS10-015, con cui Microsoft ha aggiornato il kernel di Windows. Con questo aggiornamento sono stati effettuati alcuni cambi che hanno modificato gli offset delle funzioni in questione. Finita la procedura di aggiornamento, viene richiesto il riavvio del sistema. Al riavvio, il codice del rootkit tenta di invocare un indirizzo non valido e il sistema genera un BSOD.

La buona notizia è che i creatori del rootkit hanno cura di tutti noi ed hanno rilasciato in poche ore una nuova versione aggiornata del rootkit compatibile con la nuova patch della Microsoft.

Purtroppo il numero di utenti affetti da questo problema è rilevante. Ciò significa che l’infezione causata da questo rootkit si sta diffondendo velocemente.

Inoltre, una variante di questo rootkit si sta diffondendo in maniera parallela alla versione ufficiale. Questa variante utilizza una tecnologia già utilizzata nelle prime varianti del TDL3 rootkit. La dll iniettata non è più denominata tdlcmd.dll bensì z00clicker.dll.

Le forze di polizia internazionali dovrebbero prendere in seria considerazione l’idea di collaborare con le società di sicurezza per tentare di bloccare questa botnet. Il team alle sue spalle è attivo, sono in grado di rilasciare aggiornamenti ogni giorno, sono già una seria minaccia che deve essere bloccata il prima possibile.

Prevx Blog