Überrootkit passeert defensie 64-bit Windows

Door: | 17 november 2010 17:11

Apps & Software

De wellicht meest geavanceerde rootkit ooit kan nu ook de strengere beveiliging in 64-bit Windows het nakijken geven. De malware is vrijwel ondetecteerbaar voor antivirusprogramma's.

De beruchte en zeer geavanceerde TDL4-rootkit die al jaren rondwaart, heeft het gepresteerd om langs de Windows Driver Signing te komen. De rootkit is ook bekend onder de naam Alureon en TDSS. TDL4 is de nieuwste versie van de malware en heeft jarenlang 32-bit versies van Windows bestookt. Nu infecteert het ook 64-bit versies van het marktdominante besturingssysteem.

Alle moeite ten spijt

Microsoft heeft erg zijn best gedaan om juist het 64-bit besturingssysteem te vrijwaren van dit soort aanvallen. Volgens beveiligingsbedrijf Prevx is de rootkit er desondanks in augustus dit jaar in geslaagd om de beveiliging van 64-bit Windows te kraken. Aanvallen via deze nieuw toegevoegde methode aan het TDL4-arsenaal zijn al ‘in het wild’ waargenomen.

De rootkit heeft het voor elkaar gekregen om de 64-bit beveiliging van Windows te penetreren door langs de Kernel Mode Code Signing te glippen. Die controle op softwarecode moet ervoor zorgen dat drivers alleen geïnstalleerd worden wanneer ze digitaal gewaarmerkt zijn door een vertrouwde bron.

Omzeilen

TDL4 omzeilt deze verdediging door zich in het Master Boot Record op de harde schijf te nestelen en de boot-opties van het systeem te wijzigen. Het Windows dll-bestand kdcom.dll wordt vervangen door een eigen versie van de malware-auteurs.

Hierdoor wordt de Kernel Patch Protection (KPP) omzeild, die er juist over waakt dat code digitaal gewatermerkt is. Technisch gezien is deze beveiliging dus niet gekraakt, maar simpelweg aan de kant gezet. Kraken hoeft dus niet eens.

KPP verifieert alleen de code van de stuurprogramma’s die gebruikt worden door de kernel. TDL4 patcht de Windows Boot Configuration Data, waardoor de machine denkt dat er een Windows Preinstallation Environment (PE) geladen wordt, in plaats van de normale Windows-installatie.

De stuurprogramma’s van de - vermeende - Windows PE worden niet gecontroleerd, omdat die vertrouwd zijn. De rootkit hoeft zich dus geen zorgen te maken over dit verdedigingsmechanisme van Windwos. De malware heeft hiermee dus vrij spel.

Ook moeilijk te analyseren

Volgens de onderzoekers van beveiligingsbedrijf Prevx is de TDL4 de meest geavanceerde rootkit die ze ooit hebben aanschouwd. Het wordt gebruikt als een backdoor om keyloggers en andere soorten malware op geïnfecteerde machines te installeren.

De meeste antimalwareprogramma’s weten deze rootkit niet te betrappen. Hij gebruikt namelijk geavanceerde low-level instructies om detectietools, zoals debuggers, geen kans te geven. Dit maakt het ook moeilijk voor white hat hackers om de code te ontcijferen. Er is hier en hier meer over TDL4 te lezen.

Bron: Webwereld.nl