De rootkit die onlangs door G Data werd ontdekt en volgens het Duitse anti-virusbedrijf één van de meest geavanceerde malware ooit is, blijkt een geheel nieuwe manier te gebruiken om de beveiliging van de Windowskernel te omzeilen.
De malware heet Uroburos en kan vertrouwelijke documenten stelen en netwerkverkeer onderscheppen. Veel details waren op het moment van de eerste publicatie niet beschikbaar, maar aan de hand van de compilatiedatum van één van de driverbestanden werd gedacht dat de malware al sinds 2011 in omloop is. Ondanks dat er nu meer details zijn verschenen is het nog altijd onbekend hoe de malware zich precies verspreidt.
De meeste rootkits passen de Windowskernel aan om hun activiteiten en aanwezigheid te verbergen en het gedrag van het besmette systeem te veranderen. Om Windows te beschermen voegde Microsoft aan de 64-bit versies van Windows een nieuwe beveiligingsmaatregel toe genaamd Kernel Patch Protection, ook bekend als PatchGuard.
PatchGuard controleert de integriteit van de Windowskernel om er zeker van te zijn dat er geen belangrijke onderdelen zijn aangepast. In het geval er toch delen door malware zijn aangepast crasht het systeem en verschijnt er een 'Blue Screen of Death' met een foutcode. Uroburos voorkomt dit door de functie te kapen die de foutcode genereert. Het is echter het omzeilen van een andere beveiligingsmaatregel die niet eerder is gezien.
Een andere beveiliging die Microsoft tegen rootkits in Windows Vista 64-bit en nieuwer heeft geïmplementeerd is een 'Driver Signing Policy'. Voor het laden van een driver moet het .sys-bestand door een legitieme uitgever gesigneerd zijn. Rootkits zijn ook drivers, maar zijn niet door een legitieme uitgever gesigneerd. Er is echter een situatie waar het mogelijk is om de vereiste handtekening van een driver uit te schakelen. Ontwikkelaars kunnen dit doen als ze met de ontwikkeling van een nieuwe driver bezig zijn. In dat geval verandert de desktop en verschijnen rechts onderin het scherm de woorden "Test Mode".
De makers van Uroburos gebruiken een nieuwe manier om het gesigneerde driverbeleid te omzeilen. Hiervoor maken ze gebruik van een legitieme en gesigneerde driver van een ander programma, namelijk een driver van Oracle VirtualBox 1.6.2. Dit bestand wordt op het aangevallen systeem geplaatst. Een kwetsbaarheid in deze driver maakt het mogelijk om de Driver Signing Policy uit te schakelen en Windows te laten geloven dat het zich in de "Test Mode" bevindt.
Als tegenmaatregel kan het certificaat van de VirtualBox-driver wel worden ingetrokken, maar dat werkt alleen als de computer toegang tot een actuele certificate revocation list heeft. Iets wat de malware weer kan blokkeren. Volgens de onderzoekers is het de eerste keer dat de beveiliging van de Windowskernel op deze manier wordt omzeild en laat het zien dat de rootkit door zeer ervaren programmeurs is ontwikkeld. Nu de methode bekend is verwachten ze dat meer malware-exemplaren hier in de toekomst gebruik van zullen maken.
Deze posting is gelocked. Reageren is niet meer mogelijk.