image

Rootkit omzeilt beveiliging Windowskernel op nieuwe manier

zaterdag 8 maart 2014, 06:50 door Redactie, 10 reacties

De rootkit die onlangs door G Data werd ontdekt en volgens het Duitse anti-virusbedrijf één van de meest geavanceerde malware ooit is, blijkt een geheel nieuwe manier te gebruiken om de beveiliging van de Windowskernel te omzeilen.

De malware heet Uroburos en kan vertrouwelijke documenten stelen en netwerkverkeer onderscheppen. Veel details waren op het moment van de eerste publicatie niet beschikbaar, maar aan de hand van de compilatiedatum van één van de driverbestanden werd gedacht dat de malware al sinds 2011 in omloop is. Ondanks dat er nu meer details zijn verschenen is het nog altijd onbekend hoe de malware zich precies verspreidt.

Windowskernel

De meeste rootkits passen de Windowskernel aan om hun activiteiten en aanwezigheid te verbergen en het gedrag van het besmette systeem te veranderen. Om Windows te beschermen voegde Microsoft aan de 64-bit versies van Windows een nieuwe beveiligingsmaatregel toe genaamd Kernel Patch Protection, ook bekend als PatchGuard.

PatchGuard controleert de integriteit van de Windowskernel om er zeker van te zijn dat er geen belangrijke onderdelen zijn aangepast. In het geval er toch delen door malware zijn aangepast crasht het systeem en verschijnt er een 'Blue Screen of Death' met een foutcode. Uroburos voorkomt dit door de functie te kapen die de foutcode genereert. Het is echter het omzeilen van een andere beveiligingsmaatregel die niet eerder is gezien.

Driver

Een andere beveiliging die Microsoft tegen rootkits in Windows Vista 64-bit en nieuwer heeft geïmplementeerd is een 'Driver Signing Policy'. Voor het laden van een driver moet het .sys-bestand door een legitieme uitgever gesigneerd zijn. Rootkits zijn ook drivers, maar zijn niet door een legitieme uitgever gesigneerd. Er is echter een situatie waar het mogelijk is om de vereiste handtekening van een driver uit te schakelen. Ontwikkelaars kunnen dit doen als ze met de ontwikkeling van een nieuwe driver bezig zijn. In dat geval verandert de desktop en verschijnen rechts onderin het scherm de woorden "Test Mode".

De makers van Uroburos gebruiken een nieuwe manier om het gesigneerde driverbeleid te omzeilen. Hiervoor maken ze gebruik van een legitieme en gesigneerde driver van een ander programma, namelijk een driver van Oracle VirtualBox 1.6.2. Dit bestand wordt op het aangevallen systeem geplaatst. Een kwetsbaarheid in deze driver maakt het mogelijk om de Driver Signing Policy uit te schakelen en Windows te laten geloven dat het zich in de "Test Mode" bevindt.

Tegenmaatregel

Als tegenmaatregel kan het certificaat van de VirtualBox-driver wel worden ingetrokken, maar dat werkt alleen als de computer toegang tot een actuele certificate revocation list heeft. Iets wat de malware weer kan blokkeren. Volgens de onderzoekers is het de eerste keer dat de beveiliging van de Windowskernel op deze manier wordt omzeild en laat het zien dat de rootkit door zeer ervaren programmeurs is ontwikkeld. Nu de methode bekend is verwachten ze dat meer malware-exemplaren hier in de toekomst gebruik van zullen maken.

Reacties (10)
08-03-2014, 08:53 door Mysterio
Een slim stukje malware wat een kijkje in de keuken van Microsoft geeft.
08-03-2014, 09:42 door Anoniem
Nog net niet zo mooi als een zeker programma (*kuch* internet exploder *kuch*) van buitenaf, zeg via een binnengekomen webpagina, dwingen een ASLR-vrije DLL te laden en daarmee het hele ASLR van het reeds draaiende programma uit te schakelen.

Maar leuk is het wel. Men neme een gesigneerde driver die "test mode" blind kan inschakelen... en installere die gewoon lekker zelf. Echt nieuw? Meer een soort van COTS-leveraging. Maar wel grappig en leerzaam. De les? "Bolt-on security" werkt gewoon niet afdoende, ook niet met signeren.

Serieuzer, dit soort omzeiltruuks kun je ook in UEFI secure boot terugverwachten, met als toegevoegd bijeffect van het dinge zelf, niet de omzeilingen, dat het de de keuzevrijheid van de eigenaar van de hardware ook bedreigt. Dit omdat het het lastiger maakt andere keuzes te maken met je eigen hardware dan deze ene fabrikant verwacht dat je toch vast en zeker wel zal willen maken. Zeker als die eigenaar geen held is met "dat technische". Al met al niet echt een win-win voor de eindgebruiker.

"Signeren" is dus ook al geen silver bullet. Wie had dat gedacht?
08-03-2014, 10:04 door Anoniem
Zag ik die naam ook niet terugkomen in de blog van Bruce Scheier, waarin hij dagelijks een NSA-exploit beschrijft uit de Snowden-files?
Maar zelfs als dat niet zo is, dan nog lijkt het waarschijnlijk dat de NSA of een soortgelijke organisatie dit hebben ontwikkeld. Daar zit het geld om de expertise aan te trekken die dit kan maken...
08-03-2014, 11:26 door [Account Verwijderd] - Bijgewerkt: 08-03-2014, 11:33
[Verwijderd]
08-03-2014, 16:24 door Anoniem
Blij dat ik geen Windows meer gebruik,zelfs niet met Bootcamp waarmee het mogelijk is om Windows op een Mac te draaien op mijn beide Mac's.
Ik draai enkel OSX,dat is waar apple zijn computer voor gemaakt heeft.
Wel draai ik Kaspersky Internetsecurity 2014 voor de Mac,ik heb twee licenties voor twee jaar,omdat ik een Imac laat 2012 heb,en een nieuwere Macbook pro van laat 2013 de duurste versie.
Ook draai ik via Mullvad met openvpn,en alle draaiende programma's die ik op mijn Mac's gebruik zijn up to date.
Naar mijn inziens ben ik veilig bezig met internet,en tevens ook via mijn eigen netwerk.
08-03-2014, 21:22 door Anoniem
Als leek op dit gebied zou ik suggereren, de kernel in de hardware op te slaan.
Bij elke start, moet deze dan vanuit de hardware worden ingevoerd.
09-03-2014, 03:08 door Anoniem
@Anoniem (21:22);

Als niet leek zal ik je daar dan wat over uitleggen;

Een computer is een omgekeerde piramide. Het begint allemaal bij hardware, dan knoopt assembly/bios alles aan elkaar, dan kicked je core/kernel in en dan komen er applicaties bovenop. Zeg maar je balkje met kruisje in windows is core/kernel (api, programmer interface, zie object oriented) en de inhoud ervan is vaak applicatie. zo heb je verschillende software leveranciers die allemaal datzelfde balkje hebben zonder dat te hoeven programmeren en ook niet allemaal hun eigen routines hoeven te ontwikkelen om met de harde schijf te kunnen praten, plusje: gecentraliseerde beveiliging ook, minder resources etc)

VSE systemen zijn zeg maar hardware/bios. terzijde. (wordt ook wel hidden software genoemd dacht ik, zeg ik dat allemaal goed grammarnazies onder ons, want de terminologie is nog steeds niet een van mijn beste punten).

het probleem met wat je voorstelt;

zo'n systeem kan alleen werken met dus read only. vergeet niet dat vrijwel alle chips, al of niet via omweg, te flashen zijn. evengoed, het is realiseerbaar, niet eens zo moeilijk. wel lastig up te daten, zo'n read only systeem. komt er dus een gaatje, en dat komt er, moet jij een nieuwe chip kopen. dat kan wel eens heel snel heel duur worden, ook qua vervuiling/afval. en zeer ineffectief ook op ander vlak. denk aan dat je iets nieuws aan puter wil vastknopen, of gebruik wil maken van een bepaalde nieuwe techniek. wordt meteen een stuk lastiger.

overigens, niet om je naar beneden te halen ofzo, maar voor je duidelijkheid, je kernel zit al in je hardware alleen dan niet read only. en wordt dus ook bij iedere start ingevoerd. mocht je nog niet weten, je kernel zit gewoon op je harde schijf.

leestip; operating systems van tanenbaum. je hoeft ook niet al die oefeningen te doen of minix mee te programmeren, lees dat ding gewoon, ook al is oud, weet je alles. rest kan je startpage.commen

mocht je leek willen blijven, at your service. you've most probably got some competence I'd be thankful for.

oh ja dacht je aan die wiskundig correcte arm kernel die ze daar in australie bij elkaar gedokterd hebben (issie nog steeds wel zo wiskundig correct?), zitten ook lekjes, trouwens :)
09-03-2014, 09:00 door SPlid
Beste anonym van 21:22 op het eerste gezicht lijkt dit een logische oplossing. Helaas bestaat er malware die alleen in het geheugen actief is en die bij een reboot verdwenen is , tot de volgende besmetting .
Dus al zou je de kernel in de hardware branden , je kun niet voorkomen dat er aanpassingen in het werkgeheugen worden gemaakt,
09-03-2014, 10:39 door Mysterio
Door Peter V.: Detectiegraad (2 dagen geleden) op VirusTotal bedraagt 8/50 scanners:

https://www.virustotal.com/nl/file/33460a8f849550267910b7893f0867afe55a5a24452d538f796d9674e629acc4/analysis/
Aha, I rest my case. Alweer een MSE die het wel pakt en een Bitdefender/Kaspersky die niets doet.
09-03-2014, 14:37 door Anoniem
oeps arm processor/cpu, geen kernel, mijn fout.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.