Bootkit 2009

Einleitung

Im letzten Jahr entdeckten die Cybercrime-Experten von Kaspersky Lab das Schadprogramm Backdoor.Win32.Sinowal und stuften es als äußerst gefährlich ein (https://de.securelist.com/?p=59627). Diese Beurteilung ergab sich aus der Tatsache, dass die Autoren dieses Schädlings seinerzeit die fortschrittlichsten Technologien verwendeten, unter anderem:

  1. Individuelles infizieren von PCs über gehackte Websites durch ausnutzen vieler unterschiedlicher Schwachstellen, unter anderem einiger Zero-Day-Exploits.
  2. Einsatz von ausgefeilten Rootkit-Technologien und Viren-Downloads, um den Master Boot Record (MBR) von PCs zu infizieren. Diese Methode war bereits in den Kindertagen der Computerviren sehr beliebt – jetzt setzen die Virenprogrammierer das alte Verfahren erneut ein, jedoch auf technologisch höherem Niveau. Das Problem verschärft sich noch dadurch, dass neuere AV-Produkte den Master Boot Record schlichtweg nicht mehr überprüfen, weil diese Bedrohung als ausgestorben galt.
  3. Ständiger Wechsel des Steuerungs- und Infizierungsservers durch ändern von IP-Adresse und Domain. Die infizierten Computer generieren mit Hilfe eines speziellen Algorithmus Domain-Namen, um nach ihren Steuerungszentren (Control Center) zu suchen. Diese Technologie wurde anschließend auch in den Programmen der Schädlings-Familie Kido (Conficker) eingesetzt.

Innerhalb eines einzigen Jahres entwickelten sich diese Schädlingsmethoden zu Klassikern und werden heute bei vielen der am weitesten verbreiteten Schadprogrammen eingesetzt. Die Entwickler des Bootkits fuhren währenddessen mit der Entwicklung, Umsetzung und Verfeinerung ihrer Technologien fort.

So ist das Bootkit das derzeit fortschrittlichste Schadprogramm: Es verbirgt sich vor den meisten modernen AV-Programmen und wird von diesen nicht erkannt.

Ende März 2009 entdeckten die Viren-Analysten, dass sich eine neue Variante des Bootkits im Internet verbreitet. Der vorliegende Artikel stellt die Ergebnisse ihrer Analyse hinsichtlich Funktionsweise und Verbreitungsmethode vor.

Aktuelle Lage

Analysiert man die Entwicklung des Bootkits, so ergeben sich die folgenden wichtigen Veränderungen:

1. Verbreitungsmechanismus

Derzeit verbreitet sich das Bootkit über gehackte Websites, Pornoseiten und Sites, auf denen Piraten-Software zum Download bereitsteht. Praktisch alle am Infizierungsprozess beteiligten Server tragen eindeutig eine russische Handschrift: Sie sind Teil eines so genannten Partnerprogramms, über das Webseiten-Inhaber und Schadprogramm-Autoren typischerweise ihre Zusammenarbeit organisieren. Derartige Partnerschaften sind im russischen und ukrainischen Cyberkriminellen-Milieu überaus beliebt.

Zu den relativ neuen Technologien zählt auch das Verfahren zum generieren eines Domain-Namens für eine Website, die anschließend die Exploits verbreitet.

Besucht der Anwender eine infizierte Site, startet ein spezielles Skript, das anhand des PC-Datums den Namen einer Webseite erstellt. Auf diese muss der Anwender gelenkt werden, um das auf seinen Rechner zugeschnittene Exploit empfangen zu können.

Entschlüsselter Teil des Skripts, das einen Domain-Namen für die Website mit Exploits generiert.

Diese Technologie macht klassische Blacklists zur Blockierung infizierter Websites praktisch nutzlos. Durch Analyse des Namens-Algorithmus können die Experten allerdings herausfinden, welche Namen in Frage kommen und sie entsprechend blockieren.

Das in die infizierte Website integrierte Skript erstellt anhand des PC-Datums nicht nur den Domain-Namen, sondern auch Cookies, die sieben Tage lang gültig sind. Das geschieht, um ein erneutes Öffnen der Website mit Neosploit im Browser zu verhindern, falls der Anwender die infizierte Site wiederholt besuchen sollte. Findet das Skript gültige Cookies, erstellt es keinen Domain-Namen und der Anwender wird auch nicht auf Neosploit umgeleitet.

2. Rootkit-Technologien

Das Bootkit setzt wie auch früher schon auf die Infizierung des MBR, um während des Betriebssystem-Starts seinen Treiber zu laden. Dieser soll verhindern, dass der infizierte MBR entdeckt und desinfiziert wird. Die ersten Versionen fingen die IRP-Prozedur des Objekts DriverDisk ab, doch angesichts neuer Erkennungsmethoden für Schadprogramme waren die Virenschreiber gezwungen, den Funktionsalgorithmus zu verändern. Im Gegensatz zum Vorgänger verwendet die aktuelle Variante des Bootkits eine verbesserte Methode, um seine Anwesenheit im System zu verbergen. Zum gegenwärtigen Zeitpunkt benutzt keines der bekannten Rootkits eine der unten aufgeführten Methoden.

Beim Start seines Treibers sucht das Rootkit nach einem aktiven Debugger. Wird einer gefunden, so verbirgt der Schädling den infizierten MBR nicht und verrät daher auch nichts über seine Anwesenheit im System.

Um sich praktisch unsichtbar zu machen, tauscht das Rootkit beim entsprechenden Gerät (im folgenden Fall ist es die Festplatte) den Hinweis auf seinen Typ aus. Dabei tauscht der schädliche Treiber den Hinweis auf seine Funktion aus (ParseProcedure).

sgol_bootkit_0905_pic02

Installation des Hooks im Funktionsaufruf zum Austausch des MBR

Ruft nun ein AV-Programm die Festplatte für den Zugriff auf unterer Ebene auf, erfolgt ein Aufruf der abgefangenen Funktion. In ihr wird wiederum die IRP-Prozedur des Treibers auf einer noch tieferen Ebene als DriverDisk abgefangen sowie die Funktion, die beim Schließen der vorher geöffneten Festplatte aufgerufen wird. Nach Abschluss der Festplatten-Zugriffe kehren alle abgefangenen Funktionen in ihren ursprünglichen Zustand zurück.

sgol_bootkit_0905_pic03

Atapi-Treiber der unteren System-Ebene eines infizierten Systems

Besondere Aufmerksamkeit verdient der Code des Treibers, der entscheidende Veränderungen durchgemacht hat. Die meisten Funktionen, die das Abfangen der Systemfunktionen des Betriebssystems installieren oder selbst als Interceptor arbeiten, sind polymorph verändert, was die Analyse des schädlichen Codes erheblich erschwert.


Beispiel einer verschlüsselten Abfangfunktion

Schutzmethoden

Obwohl andere Antiviren-Unternehmen die aktuelle Variante des Bootkits ebenfalls erkannt haben und verschiedene Erkennungsmethoden einsetzen, bietet derzeit nur Kasperksy Lab seinen Anwendern einen zuverlässigen und umfassenden Schutz vor dem Bootkit – und zwar vor allen seinen Funktionen.

Besucht der Anwender eine infizierte Website, so blockiert Kaspersky Internet Security:

  1. den Zugriff auf die Namen generierende Website zum Laden des Exploits:

  2. Skripte zur Erstellung und zum Download von Exploits:

  3. die gefährlichsten und neuesten Exploits:

Die schwierigste und wichtigste Aufgabe, die Kaspersky Internet Security zu lösen hat, ist das Aufspüren eines aktiven Bootkits und die Desinfizierung eines befallenen Computers.

Die erste Version von Sinowal erschien Anfang 2008, doch noch im Oktober dieses Jahres waren nur vier der 15 bekanntesten AV-Produkte in der Lage, den Schädling aufzuspüren und unschädlich zu machen! (http://www.anti-malware.ru/malware_treatment_test_2008).

Die 2009 erschienene Sinowal-Variante stellt ein ebenso großes Problem dar, das die Sicherheitslösungen von Kaspersky Lab aber bereits gelöst haben:

Hat das AV-Programm die Bedrohung erkannt, kann es alle vom Rootkit installierten ‚Abfänger‘ umgehen und den befallenen MBR desinfizieren:

Der Schutz vor allen Bootkit-Funktionsetappen, angefangen vom Besuch der infizierten Website bis hin zur Infizierung des PCs, ist überaus wichtig. Bleibt der Schädling auf einer dieser Etappen unerkannt, können die Cyberkriminellen alle anderen Schutzmethoden außer Acht lassen und den Computer über diese Lücke infizieren. Das Ergebnis: Das Schadprogramm bleibt für lange Zeit unsichtbar.

Das liegt daran, dass die Virenautoren den Algorithmus zur Erstellung von Domain-Namen regelmäßig modifizieren (dieses Jahr bereits vier Mal) und bisweilen auch die Verpackungsmethoden der Exploits im Bootkit ändern.

Fazit

Das Bootkit zählt nach wie vor zu den gefährlichsten und sich am schnellsten ausbreitenden Schadprogrammen. Dieser Schädling und seine Verbreitungsmethoden brachten außerdem die interessantesten Entwicklungen auf dem Gebiet der Computervirologie in der letzten Zeit hervor.

Die AV-Industrie sollte alle Veränderungen und neue von den Bootkit-Autoren eingesetzte Technologien äußerst wachsam verfolgen, da sie schon sehr bald von vielen anderen Virenautoren genutzt werden könnten.

Noch wichtiger ist es allerdings, die bestehenden AV-Produkte und -Technologien zu verbessern, damit sie Infizierungsversuche nicht nur abwehren können, sondern auch hochkomplexe Bedrohungen erkennen, die auf einer deutlich tieferen Ebene im Betriebssystem wirksam werden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.