Malware de alta especialización: MBR Rootkit (Mebroot)

Buenas,

Kimmo Kasslin, de F-Secure, ofreció recientemente una interesante charla en la importante conferencia Virus Bulletin, que se ha celebrado en Ottawa del 1 al 3 de octubre.

virus bulletin

La presentación de Kimmo se puede descargar en este enlace. Lo verdaderamente relevante de esta charla, además de su contenido, es que es fruto del resultado de la cooperación entre F-Secure y Symantec, demostrando lo que todos sabemos: es absolutamente absurdo que los especialistas en tecnología antivirus vayan permanentemente cada uno por su lado, y que las sinergias resultantes de la unión son el camino a seguir, no sólo para tratar de ofrecer a la población la mejor protección, sino para mejorar los resultados de estas empresas. Y no lo digo yo, lo dicen los miles de especialistas en gestión empresarial que apoyan las corrientes de compartición de conocimiento intercorporativa.

En lo que a cuestiones técnicas se refiere, en esta presentación se emplearon dos términos para definir a Mebroot: «Commercial-grade framework» y «Malware Operating system«. No en vano, Mebroot es, posiblemente, el malware con mayor especialización jamás creado, caracterizado por poseer técnicas de mimetización sin precedentes (ocultando todos los cambios que realiza en las máquinas, así como las operaciones de lectura/escritura en disco) y por su particular modo de operación, en el nivel más bajo de los sistemas Microsoft Windows. Mebroot escribe su código de inicio en el primer sector físico de los discos duros de los sistemas infectados. Cuando se inicia una máquina comprometida, Mebroot es lo primero que se carga, lo que provoca que sobreviva a todo el proceso de arranque.

Para complicar las cosas, Mebroot hace, en palabras de F-Secure, un uso muy intensivo de funciones de Windows que no están documentadas, creando un complejo sistema de comunicacion basado en nombres de dominio pseudo aleatorios (se tiene constancia de más de 1000 dominios registrados por parte de los autores) y cifrado para la comunicación establecida con el botnet a donde se haya asignado la máquina. Además, emplea un sistema de instalación orientado a evadir a los productos de seguridad instalados y que prácticamente no produce crashes en su ejecución, lo que hace notar claramente que Mebroot ha pasado por un proceso muy depurado de calidad antes de ver la luz, y que sigue siendo modificado para ser «el malware perfecto». Las primeras pruebas de concepto datan de octubre de 2007, y desde entonces, se han ido observando mejoras en Mebroot. Las últimas variantes tienen, por ejemplo, capacidad de parchear estructuras ETHREAD para mejorar la ocultación del especimen.

Para su análisis, las cosas se complican: gran parte de su código está ofuscado severamente, y las perspectivas de operación en botnet no son muy halagüeñas: se ha comprobado que puede llegar a permitir la subida y ejecución de módulos de kernel arbitrarios en las máquinas infectadas. Mebroot no utliza ejecutables en el sistema, ni llaves de registro, ni puntos estándar de ejecución.

A día de hoy, se desconoce por completo quién está detrás de Mebroot. Sólo se sabe que, en la actualidad, está dirigido a la banca en línea, siendo más de 100 el número de entidades a las que Mebroot tiene en su lista de objetivos.

Un saludo,