image

Windows-rootkit verstopt zich diep in NTFS

maandag 25 juni 2012, 11:52 door Redactie, 7 reacties

Een variant van de beruchte ZeroAccess Trojan voor Windows gebruikt een nieuwe truc om zich te verstoppen. ZeroAccess kan de browser naar andere websites doorsturen en aanvullende malware downloaden. De nieuwste verstopt zich in het Extended Attribute van een NTFS-record. Volgens het Nederlandse beveiligingsbedrijf Surfright een geheel nieuwe manier voor rootkits om zich te verbergen.

Daarmee weet de rootkit virusscanners te omzeilen, aangezien de beveiligingssoftware het Extended Attribute niet scant, omdat het zich diep binnen het NTFS bestandssysteem bevindt. Het Extended Attribuut is alleen via speciale forensische tools te lezen, zoals WinHex.

Code
Inmiddels zijn zowel besmette Windows 7 als Vista systemen ontdekt, zowel 32-bit als 64-bit. Waarom er geen Windows XP-infecties zijn aangetroffen is onduidelijk, aangezien er geen technische reden is waarom de malware niet op dit besturingssysteem zou werken. Onderzoekers ontdekten verder dat zowel de 32-bit als 64-bit code van de rootkits zijn samengevoegd, waardoor de makers die eenvoudiger kunnen beheren en verbeteren.

"De nieuwste verschijning van ZeroAccess heeft succesvol de 32-bit en 64-bit code in een nieuwe variant samengevoegd, die zowel lastig te detecteren als lastig te verwijderen is", aldus Surfright. Het bedrijf laat tegenover Security.nl weten dat het de afgelopen drie weken ruim 3.000 met de nieuwe ZeroAccess besmette pc's heeft gevonden.

Reacties (7)
25-06-2012, 12:30 door Spiff has left the building
Door Redactie: [...]
Daarmee weet de rootkit virusscanners te omzeilen, aangezien de beveiligingssoftware het Extended Attribute niet scant, omdat het zich diep binnen het HTFS bestandssysteem bevindt. Het Extended Attribuut is alleen via speciale forensische tools te lezen, zoals WinHex.
Knap dat HitmanPro er desondanks toch raad mee weet.
" HitmanPro must use all its techniques to detect and remove all pieces of this new ZeroAccess variant."
http://hitmanpro.wordpress.com/2012/06/25/zeroaccess-from-rootkit-to-nasty-infection/
25-06-2012, 13:38 door [Account Verwijderd]
[Verwijderd]
25-06-2012, 13:59 door Spiff has left the building
Door Peter V: Andere virusscanners detecteren ZAcces ook (F-Secure) en is dus niet alleen voorbehouden aan HitmanPro.
http://www.f-secure.com/v-descs/rootkit_w32_zaccess.shtml
Dank je, Peter.
En F-Secure geeft aan de F-Secure Rescue CD te gebruiken voor desinfectie, lees ik.
Of het daarmee ook de recente ZeroAccess versie aankan, dat wordt daarmee echter niet duidelijk.
SurfRight geeft onder meer aan,
" ZeroAccess (also known as Sirefef, Maxplus or Smiscer) changed its way of working a few times and recently it evolved from a rootkit into a user mode virus.
[...] a new and novel way of hiding malicious payload making ZeroAccess invisible to most antivirus products.
[...] this trick is entirely new [...]
[...] new variant which is both hard to detect and hard to remove.

http://hitmanpro.wordpress.com/2012/06/25/zeroaccess-from-rootkit-to-nasty-infection/

"invisible to most antivirus products", maar gelukkig niet voor alle.
Ik hoop dat zoveel mogelijk producten er wél raad mee weten, maar dat een antivirus product een eerdere variant de baas was, is jammer genoeg geen garantie dat het ook de nieuwe variatie de baas is.
25-06-2012, 14:37 door Whacko
Extended Record is al best oud. Dat het nu pas gebruikt wordt vind ik heel bijzonder. Of het is nog nooit ontdekt?
25-06-2012, 14:47 door Erik Loman
Door Whacko: Extended Record is al best oud. Dat het nu pas gebruikt wordt vind ik heel bijzonder. Of het is nog nooit ontdekt?
Extended Attribute record is inderdaad erg oud en stamt nog uit de tijd dat NTFS met OS/2 compatibel wilde zijn. Je kunt er meta informatie in opslaan. Het is tot op heden nog niet eerder door malware gebruikt om zich in te verstoppen.

Zie ook:
http://en.wikipedia.org/wiki/Extended_file_attributes#Windows_NT

De moeilijkheid van deze nieuwe variant is dat je services.exe moet overschrijven met een origineel exemplaar terwijl Windows actief is. Je kunt natuurlijk een Rescue CD gebruiken maar dat is voor de doorsnee computergebruiker erg moeilijk (stel de BIOS maar eens in om te booten van CD). HitmanPro heeft een eigen NTFS parser en overschrijft het services.exe bestand sector-voor-sector, op miniport niveau.
25-06-2012, 15:31 door Anoniem
Door Erik Loman: De moeilijkheid van deze nieuwe variant is dat je services.exe moet overschrijven met een origineel exemplaar terwijl Windows actief is. Je kunt natuurlijk een Rescue CD gebruiken maar dat is voor de doorsnee computergebruiker erg moeilijk (stel de BIOS maar eens in om te booten van CD). HitmanPro heeft een eigen NTFS parser en overschrijft het services.exe bestand sector-voor-sector, op miniport niveau.

Werkt de move-file, write-new-file, overwrite file, truuk niet? Voor WGA is dit de methode die ik bij voorkeur toepas. Hoewel het misschien in het midden licht in hoeverre dat malware is. Maar in dit voorbeeld is het de bestandsnaam die beschermd is tegen aanpassingen, als het evil_service.exe heet is het ineens geen probleem meer. Ik neem aan dat de beveiliging van services.exe ongeveer hetzelfde werkt?

(P.S. Nee, ik weet niet veel van windows, dus geloof correcties voor je mij gelooft)
26-06-2012, 16:38 door SirDice
Alternate Data Streams zijn veel interessanter. Daar kun je veel meer informatie in kwijt en zijn een stuk makkelijker in het gebruik.

http://www.windowsecurity.com/articles/alternate_data_streams.html
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.