Cybercriminelen gebruiken steeds vaker een nieuwe methode om firewalls te omzeilen en malware onzichtbaar op het netwerk te maken. Het gaat om de Ronvix-malware, wat oorspronkelijk een bootkit is. Dit soort malware is een rootkit-variant die in staat is om de Master Boot Record (MBR) van de harde schijf te infecteren. Een onlangs ontdekte Ronvix-variant gebruikt echter een nieuwe truc.
De bootkit gebruikt namelijk een eigen TCP/IP stack, een verzameling van netwerkprotocollen. De implementatie van deze 'privé-stack' is op een open source TCP/IP-project gebaseerd en kan vanuit zowel kernel als user modes worden benaderd. Het voornaamste doel van deze privé-stack is om onzichtbaar te blijven.
Het maakt het mogelijk om de NDIS library te omzeilen en zo uiteindelijk de firewall te omzeilen. De Network Driver Interface Specification (NDIS) is een door Microsoft en 3Com ontwikkelde standaard die de communicatie tussen hardware en protocollen regelt. De poort die de privé-stack gebruikt is niet op een normale wijze, zoals via het nbtstat-commando, te benaderen.
Onzichtbaar
"Dit betekent dat Rovnix de netwerkcommunicatie op een nieuwe manier onzichtbaar heeft gemaakt", zegt Chun Feng van het Microsoft Malware Protection Center. Traditionele manieren om netwerkverkeer te analyseren, bijvoorbeeld via monitoringsoftware, is mogelijk niet in staat om de pakketten te zien die via de privé-stack worden verstuurd en ontvangen.
De besmette machine maakt echter contact met het domein youtubeflashserver.com. Als netwerkbeheerders dit domein zien, dan weten ze dat een computer geïnfecteerd is geraakt. Windows Defender zou de malware inmiddels herkennen.
Eind vorig jaar werd er ook al malware met een eigen TCP/IP-stack ontdekt. "Het lijkt erop dat dit een nieuwe trend voor dit soort malware aan het worden is", aldus Feng.
Deze posting is gelocked. Reageren is niet meer mogelijk.