image

Meer 'onzichtbare' malware met eigen TCP/IP stack ontdekt

vrijdag 26 juli 2013, 12:11 door Redactie, 9 reacties

Cybercriminelen gebruiken steeds vaker een nieuwe methode om firewalls te omzeilen en malware onzichtbaar op het netwerk te maken. Het gaat om de Ronvix-malware, wat oorspronkelijk een bootkit is. Dit soort malware is een rootkit-variant die in staat is om de Master Boot Record (MBR) van de harde schijf te infecteren. Een onlangs ontdekte Ronvix-variant gebruikt echter een nieuwe truc.

De bootkit gebruikt namelijk een eigen TCP/IP stack, een verzameling van netwerkprotocollen. De implementatie van deze 'privé-stack' is op een open source TCP/IP-project gebaseerd en kan vanuit zowel kernel als user modes worden benaderd. Het voornaamste doel van deze privé-stack is om onzichtbaar te blijven.

Het maakt het mogelijk om de NDIS library te omzeilen en zo uiteindelijk de firewall te omzeilen. De Network Driver Interface Specification (NDIS) is een door Microsoft en 3Com ontwikkelde standaard die de communicatie tussen hardware en protocollen regelt. De poort die de privé-stack gebruikt is niet op een normale wijze, zoals via het nbtstat-commando, te benaderen.

Onzichtbaar
"Dit betekent dat Rovnix de netwerkcommunicatie op een nieuwe manier onzichtbaar heeft gemaakt", zegt Chun Feng van het Microsoft Malware Protection Center. Traditionele manieren om netwerkverkeer te analyseren, bijvoorbeeld via monitoringsoftware, is mogelijk niet in staat om de pakketten te zien die via de privé-stack worden verstuurd en ontvangen.

De besmette machine maakt echter contact met het domein youtubeflashserver.com. Als netwerkbeheerders dit domein zien, dan weten ze dat een computer geïnfecteerd is geraakt. Windows Defender zou de malware inmiddels herkennen.

Eind vorig jaar werd er ook al malware met een eigen TCP/IP-stack ontdekt. "Het lijkt erop dat dit een nieuwe trend voor dit soort malware aan het worden is", aldus Feng.

Reacties (9)
26-07-2013, 13:13 door [Account Verwijderd]
[Verwijderd]
26-07-2013, 15:17 door Acumen
Ik ben benieuwd of je het verkeer met een externe firewall kunt blokkeren. Bijvoorbeeld door een setting als: "blokkeer alles, behalve tcp/udp op poort x tot y".
26-07-2013, 15:35 door Valheru
@Acumen
Dat hangt heel erg van de malware af natuurlijk, als dit via poort 80 (http) gaat communiceren dan kun je het verkeer wel zien op je externe firewall maar dat is niet echt een poort die je even dicht zet.
Je zult dan naast een firewall toch iets als een Intrusion Detection System (IDS) moeten draaien die je verkeer doorlicht en blokkeert als het verdacht lijkt.
Je zou eventueel nog je netwerk kunnen dichtspijkeren en alles via een proxy kunnen leiden waar je authentication op zet, helaas zal echt slimme malware deze authentication uit je OS settings kunnen lezen en gebruiken.
26-07-2013, 16:12 door Anoniem
Alleen bekende protocollen doorlaten, die te controleren zijn.
27-07-2013, 10:18 door Anoniem
Zo nieuw is dit allemaal niet, de eerste NT4 rootkit van Greg Hoglund gebruikte ook al een eigen tcp/ip stack voor de communicatie met de ingebouwde backdoor.
27-07-2013, 13:53 door BaseMent
Tuurlijk kan je dit met een externe firewall tegenhouden. Dat is precies de reden dat je nooit 100% kunt vertrouwen op beveiligingssoftware op het apparaat dat beschermd moet worden.
Zal mogelijk wel een klusje worden om het te filteren (maar in het bovengenoemde geval dat er verkeer gaat naar het domein "youtubeflashserver.com" is dat wel weer te filteren. Maar natuurlijk is het weer beter als je ook payload gaat inspecteren.
EEa is natuurlijk wel afhankelijk van je kennis van zaken en/of budget.
27-07-2013, 15:57 door Didier Stevens
Heb een trace genomen van de vermelde sample.
HTTP GET requests gebruiken deze user agent string: FWVersionTestAgent
29-07-2013, 03:11 door [Account Verwijderd]
[Verwijderd]
28-08-2013, 00:01 door Anoniem
Op deze manier weet de malware ook op de computer geïnstalleerde software zoals de bekende netwerkanalysetool WireShark te omzeilen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.