Rootkit TDL4 burla las protecciones de Windows

Por Dennis Fisher

En las versiones más recientes de Windows, específicamente Vista y Windows 7, Microsoft introdujo una serie de características de seguridad que evitan que el código malicioso se ejecute. Sin embargo, los atacantes continuamente encuentran nuevas formas de burlar estás protecciones, y el ejemplo más reciente es un rootkit que puede pasar por alto la protección de firma de controlador en Windows.

La funcionalidad se encuentra en TDL4, que es la última versión de un antiguo rootkit también conocido como TDSS. TDSS ha causado graves problemas para los usuarios durante más de dos años, y es un ejemplo de un tipo particularmente pernicioso de rootkit que infecta el sector de arranque de una PC. Este tipo de malware se refiere a menudo como un bootkit y puede ser extremadamente difícil de quitar una vez que se detecta. Las versiones anteriores de TDSS – TDL1, TDL2 y TDL3 son detectados por la mayoría de las aplicación es antimalware, pero es TDL4 el más problemático actualmente.

TDL4 tiene una función específica que está diseñado para evitar una protección en Windows 7 y Windows Vista que requiere que el código cargado a nivel del núcleo en una máquina sea firmado. La política de código de Windows firmado en modo de núcleo es aplicable principalmente en máquinas de 64 bits.

“A partir de Windows Vista, los refuerzo en el código firmados en modo de núcleo son llevados a cabo por un componente conocido como Código de Integridad. Código de Integridad es una característica que mejora la seguridad del sistema operativo mediante la verificación de la integridad de un archivo cada vez que la imagen del archivo se carga en memoria. La función del Código de Integridad es detectar si un controlador no firmado se carga en modo de núcleo, o si un archivo de sistema binario ha sido modificado por el código malicioso que podría haber sido ejecutado por un administrador “, dice Microsoft en su explicación de la funcionalidad.

El rootkit TDL4 implemento una función que escapa a esta protección, cambiando el proceso de arranque en máquinas protegidas, de acuerdo con un análisis del TDL4 por parte de Sunbelt Software. El rootkit complementa esto y modifica los programas que Windows permite cargar con controladores no firmados.

“La opción de inicio se cambia en la memoria del código ejecutado por  el MBR infectado. La opción de arranque establece el valor de una opción de configuración llamada ‘LoadIntegrityCheckPolicy” que determina el nivel de la validación de los programas de inicio. El rootkit cambia este valor de configuración y lo ajusta a un nivel bajo, lo que efectivamente permite la carga de un archivo rootkit dll malicioso sin firma. El rootkit es kdcom.dll, que es una versión infectada de kdcom.dll que se incluye con Windows “, escribió Chandra Prakash de Sunbelt en el análisis sobreTDL4.

“El rootkit también deshabilita los depuradores a través de la función NOP’ing como se describe a continuación. Esto hace que la ingeniería inversa de este rookit sea muy difícil La función KdDebuggerInitialize1 dentro del  kdcom.dll infectado, llamado durante la ejecución normal del sistema, instala el rootkit que se engancha a la funciones de despacho de IRP del controlador del minipuerto por debajo del disco para ocultar su MBR malicioso. ”

Las primeras versiones de TDL / TDSS rootkit se utilizaron en los programas de marketing por afiliación y las campañas de SEO de sombrero negro. También formaban parte de redes de robots y tenían una funcionalidad específica diseñada para ocultar otros programas maliciosos. Un análisis de las tres primeras versiones de TDL / TDSS por parte de los investigadores de Kaspersky Lab, mostraron que el rootkit no sólo es muy avanzado, también está en continuo desarrollo y perfeccionamiento por parte de un equipo motivado y con talento.

“Dado que los cibercriminales han dedicado considerables esfuerzos en seguir apoyando a este malware, corregir errores, e inventar diferentes técnicas para eludir la firma basada en heurísticas y proactivas de detección, TDSS es capaz de penetrar en una computadora incluso si una solución antivirus está instalada y en funcionamiento . El hecho de que el robo se comunica con el centro de comando y control de forma cifrada hace que sea mucho más difícil analizar los paquetes de la red. Un componente extremadamente poderoso del rootkit oculta tanto de malware los componentes más importantes y el hecho de que la computadora fue infectada. El equipo de la víctima se convierte en parte de una red de la red de robots, y tendrá otro tipo de malware instalado en ella. La ganancia de los cibercriminales provienen de la venta  de  pequeña redes de robots  y el uso de sistemas de búsquedas infectadas “, escribieron Sergio Golavanov y Rusakov Vyacheslav. “Siempre que un programa malicioso es rentable, los cibercriminales seguirán  con su apoyo y desarrollo.”

Fuente