TDL4 Rootkit zaobilazi Windows-ovu zaštitnu sertifikaciju koda

Opisi virusa, 18.11.2010, 01:41 AM

TDL4 Rootkit zaobilazi Windows-ovu zaštitnu sertifikaciju koda

U novijim verzijama Windows-a, posebno u Vista i Windows 7, Microsoft je predstavio brojne nove zaštitne funkcije dizajnirane da spreče pokretanje malicioznog koda. Međutim, napadači i dalje iznalaze nove načine da zaobiđu ove zaštitne funkcije, a poslednji primer je rootkit (vidi u Rečniku: rootkit) koji zaobilazi Windows-ovu zaštitnu sertifikaciju drajvera.

Reč je o TDL4 rootkit-u, poslednjoj verziji starijeg rootkit-a poznatog pod nazivima TDSS i Alureon. TDSS je bio uzročnik ozbiljnih problema korisnika tokom više od dve godine, a radi se o primerku naročito štetnog tipa rootkit-a koji inficira master boot record (MBR) na računaru. Ova vrsta malicioznog programa se često naziva i bootkit a njegovo uklanjanje sa računara onda kada se otkrije može biti veoma teško. Starije verzije TDSS--TDL1, TDL2 i TDL3-- sad detektuje većina antivirusnih programa, ali je TDL4 ovoga trenutka veliki problem.

TDL4 ima specifičnu funkciju koja je dizajnirana da bi se zaobišla zaštita u Windows 7 i Windows Vista koja zahteva učitavanje koda na nivou kernela. Sertifikovanje koda u kernel modu se uglavnom primenjuje na 64-bitnim računarima.

“Počev od Windows Vista, sertifikacija koda u kernel modu je implementirana komponentom nazvanom Code Integrity. Code Integrity je funkcija koja poboljšava bezbednost operativnog sistema verifikacijom ispravnosti fajla svaki put kada se drajver učitava u memoriju. Funkcija Code Integrity otkriva učitavanje nesertifikovanog drajvera u kernel modu, ili izmenu sistemskog binarnog fajla malicioznim kodom kojeg može pokrenuti administrator,” objašnjavaju u kompaniji Microsoft ovu funkciju.

Prema analizi kompanije Sunbelt Software, TDL4 rootkit implementira funkciju koja izbegava ovu zaštitu menjanjem procesa podizanja sistema na zaštićenim kompjuterima. Rootkit ovo postiže modifikovanjem programa koji već ima dozvolu za izvršavanje, pa takav program potom pokreće nesertifikovani drajver.

Podizanje sistema je promenjeno u memoriji kodom kojeg pokreće zaraženi MBR. Rootkit menja vrednost boot opcije 'LoadIntegrityCheckPolicy' koja odredjuje nivo provere prilikom podizanja programa i to na niži nivo provere što omogućava učitavanje nesertifikovanog malicioznog rootkit dll fajla. Rootkit dll je kdcom.dll, koji je zaražena verzija kdcom.dll koji se nalazi u sklopu Windows-a.

Rootkit takođe deaktivira i dibagere. KdDebuggerInitialize1 funkcija u zaraženom kdcom.dll pozvanom tokom izvrsavanja DLL-a vrši instalaciju rootkita na sistemu.

Džo Džonson iz Microsoft-a govoreći o Alureon rootkit-u na konferenciji Virus Bulletin ranije ove godine (pdf), posebno je istakao sposobnost rootkit-a da u Windows kernelu učita lažnu verziju legitimnog kdcom.dll fajla, ali je on tada rekao da rootkit zapravo ne zaobilazi Kernel Patch Protection. Ustvari, on to i ne mora zbog toga što KPP ne kontroliše sve učitane drajvere, već samo kod kojeg koristi kernel. Alureon menja Windows Boot Configuration Data kako bi računar mislio da ono što učitava je Windows PE, a ne normalna verzija Windows-a, što sprečava da provera ispravnosti koda bude pokrenuta.

Ranije verzije TDL/TDSS rootkit-a koristile su se u 'affiliate' marketing programima i black hat SEO kampanjama. Pored toga, oni su bili deo bot mreža i imali su zadatak da kriju druge maliciozne programe. Analiza tri verzije TDL/TDSS koju su uradili istraživači kompanije Kaspersky Lab pokazala je da rootkit nije samo napredan malware, već da ga neprekidno razvija i usavršava veoma motivisana i talentovana grupa sajber-kriminalaca.

“S obzirom da su sajber-kriminalci uložili značajne napore u nastavak podrške za ovaj maliciozni program, ispravljajući greške, i pronalazeći različite tehnike za zaobilaženje detekcije virusa pomoću baze virusnih definicija kao i heuristik metodom, TDSS je osposobljen za prodor u kompjuter čak i ako je antivirusni program instaliran i pokrenut na računaru. Činjenica da je komunikacija bot računara sa C&C serverom šifrovana čini analizu mrežnih paketa značajno komplikovanijom. Izuzetno moćna rootkit komponenta sakriva i važne delove malware-a i činjenicu da je kompjuter zaražen. Napadnuti računar postaje deo bot mreže, i sada ćemo imati i druge maliciozne programe instalirane na njemu. Sajber-kriminalci zarađuju prodajom malih bot mreža i korišćenjem blackhat SEO,” kažu Sergej Golavanov i Vjačeslav Rusakov. “Sve dok je maliciozni program profitabilan, sajber-kriminalci će nastaviti da ga podržavaju i razvijaju.”

Preuzeto sa


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Nevidljivi špijun: Remcos RAT

Nevidljivi špijun: Remcos RAT

Stručnjaci za sajber bezbednost upozoravaju na nagli porast sajber napada u kojima se koristi Remcos, trojanac za daljinski pristup (RAT). Malver, ko... Dalje

Popularna platforma se zloupotrebljava za širenje malvera

Popularna platforma se zloupotrebljava za širenje malvera

Godot Engine, popularna platforma za razvoj igara koja omogućava korisnicima da dizajniraju 2D i 3D igre na različitim platformama, uključujući ... Dalje

Hakeri koriste Excel fajlove za širenje opasnog trojanca Remcos RAT

Hakeri koriste Excel fajlove za širenje opasnog trojanca Remcos RAT

Istraživači sajber bezbednosti FortiGuard Labsa otkrili su opasnu phishing kampanju koja distribuira novu varijantu malvera Remcos RAT (Remote Acces... Dalje

Novi malver SteelFox sakriven u programima za nelegalnu aktivaciju softvera

Novi malver SteelFox sakriven u programima za nelegalnu aktivaciju softvera

Kaspersky upozorava na novi crimeware pod nazivom SteelFox koji rudari kriptovalute i krade podatke o kreditnim karticama koristeći tehniku „b... Dalje

Novi opasni malver WarmCookie krije se u linkovima i prilozima u emailovima

Novi opasni malver WarmCookie krije se u linkovima i prilozima u emailovima

Istraživači sajber bezbednosti iz kompanije Cisco Talos upozorili su na novi malver pod nazivom WarmCookie, takođe poznat kao BadSpace, koji se ši... Dalje