Lo sviluppo dei rootkit e dei sistemi antirootkit è sempre stato il gioco del gatto col topo. Lo scrive Marco Giuliani, ricercatore presso Prevx, che punta il dito contro una nuova minaccia venuta alla luce ancora ben poco conosciuta tra i vendor di soluzioni antivirus ed antimalware.
Se all’inizio lo sviluppo di rootkit era poco più di un semplice esercizio di programmazione, oggi lo scenario è nettamente mutato: tecniche di “mascheramento” basate sull’impiego di rootkit sono sempre più spesso impiegate per nascondere l’azione di elementi nocivi come trojan e backdoor.
La terza variante del rootkit “Tdss” si sta rapidamente diffondendo in tutto il mondo. Non è il rootkit sviluppato come “proof of concept” che ha una scarsa valenza pratica. Come ricorda Giuliani, il rootkit Tdss è ben noto alle aziende attive nel campo della sicurezza informatica: il suo obiettivo consiste nell’assumere il totale controllo della macchina infettata utilizzandola come sistema “zombie” all’interno di “botnet”.
Secondo il team di Prevx, la terza variante di Tdss può essere considerata come la più evoluta oggi in circolazione dal momento che impiega le tecniche di mascheramento più avanzate mai viste sinora. Sembra essere un pout-pourrì delle “migliori” tecniche MBR rootkit, delle caratteristiche più evolute di Rustock.C, dell’esperienza raccolta con le precedenti varianti di Tdss. Risultato? Un’infezione che si sta velocemente diffondendo attraverso la Rete e che, secondo quanto osservato da Marco Giuliani, non è ancora riconosciuta dalla maggioranza dei software per la sicurezza.
L’infezione della terza versione di Tdss è simile alle tecniche usate dai rootkit MBR: tutti i componenti kernel mode ed user mode sono memorizzati negli ultimi settori del disco fisso, fuori dal file system. Con questo approccio, tali dati sembrano essere solamente informazioni “raw”, bypassando così qualunque controllo di sicurezza. Tdss sviluppa ulteriormente questa metodologia di infezione codificando tutti i componenti prima dell’effettiva scrittura sul disco fisso: i file sono codificati e decodificati “on-the-fly”.
Per assicurarsi l’avvio automatico ad ogni ingresso nel sistema operativo, Tdss usa una tecnica già vista nel rootkit Rustock.C ed in Neprodoor: l’infezione dei driver di sistema di Windows.
Gli antirootkit che integrano tecniche per la lettura “raw” dei dati memorizzati sul disco riescono ad individuare i filtri utilizzati dai rootkit sinora sviluppati (essi riescono a mostrare i file originali anziché le copie infette). Questa volta il quadro è diverso: al momento nessun antirootkit è capace di bypassare la tecnica di filtraggio usata da Tdss e, inoltre, la presenza del rootkit non può essere comunque rilevata dal momento che le dimensioni dei file originali e di quelli infetti appaiono essere esattamente le stesse.
Mentre Prevx, come scrive Giuliani, aggiornerà a breve i propri prodotti per rimuovere l’infezione, alcuni prodotti antivirus potrebbero solamente segnalare la presenza del componente sospetto indicando le librerie tdlcmd.dll
e tdlwsp.dll
. Massima attenzione anche sul materiale prelevato da network peer-to-peer, spesso veicolo di pericolose infezioni come Tdss.