Malware de alta especialización: MBR Rootkit (Mebroot)

Buenas,

Kimmo Kasslin, de F-Secure, ofreció recientemente una interesante charla en la importante conferencia Virus Bulletin, que se ha celebrado en Ottawa del 1 al 3 de octubre.

virus bulletin

La presentación de Kimmo se puede descargar en este enlace. Lo verdaderamente relevante de esta charla, además de su contenido, es que es fruto del resultado de la cooperación entre F-Secure y Symantec, demostrando lo que todos sabemos: es absolutamente absurdo que los especialistas en tecnología antivirus vayan permanentemente cada uno por su lado, y que las sinergias resultantes de la unión son el camino a seguir, no sólo para tratar de ofrecer a la población la mejor protección, sino para mejorar los resultados de estas empresas. Y no lo digo yo, lo dicen los miles de especialistas en gestión empresarial que apoyan las corrientes de compartición de conocimiento intercorporativa.

En lo que a cuestiones técnicas se refiere, en esta presentación se emplearon dos términos para definir a Mebroot: «Commercial-grade framework» y «Malware Operating system«. No en vano, Mebroot es, posiblemente, el malware con mayor especialización jamás creado, caracterizado por poseer técnicas de mimetización sin precedentes (ocultando todos los cambios que realiza en las máquinas, así como las operaciones de lectura/escritura en disco) y por su particular modo de operación, en el nivel más bajo de los sistemas Microsoft Windows. Mebroot escribe su código de inicio en el primer sector físico de los discos duros de los sistemas infectados. Cuando se inicia una máquina comprometida, Mebroot es lo primero que se carga, lo que provoca que sobreviva a todo el proceso de arranque.

Para complicar las cosas, Mebroot hace, en palabras de F-Secure, un uso muy intensivo de funciones de Windows que no están documentadas, creando un complejo sistema de comunicacion basado en nombres de dominio pseudo aleatorios (se tiene constancia de más de 1000 dominios registrados por parte de los autores) y cifrado para la comunicación establecida con el botnet a donde se haya asignado la máquina. Además, emplea un sistema de instalación orientado a evadir a los productos de seguridad instalados y que prácticamente no produce crashes en su ejecución, lo que hace notar claramente que Mebroot ha pasado por un proceso muy depurado de calidad antes de ver la luz, y que sigue siendo modificado para ser «el malware perfecto». Las primeras pruebas de concepto datan de octubre de 2007, y desde entonces, se han ido observando mejoras en Mebroot. Las últimas variantes tienen, por ejemplo, capacidad de parchear estructuras ETHREAD para mejorar la ocultación del especimen.

Para su análisis, las cosas se complican: gran parte de su código está ofuscado severamente, y las perspectivas de operación en botnet no son muy halagüeñas: se ha comprobado que puede llegar a permitir la subida y ejecución de módulos de kernel arbitrarios en las máquinas infectadas. Mebroot no utliza ejecutables en el sistema, ni llaves de registro, ni puntos estándar de ejecución.

A día de hoy, se desconoce por completo quién está detrás de Mebroot. Sólo se sabe que, en la actualidad, está dirigido a la banca en línea, siendo más de 100 el número de entidades a las que Mebroot tiene en su lista de objetivos.

Un saludo,

5 comentarios sobre “Malware de alta especialización: MBR Rootkit (Mebroot)

  1. Muy interesante, como otras recientes anotaciones tuyas.

    Que sepas que te leo aunque no comente (no llego a todo, y ahora la prioridad es la economía).

    Pues eso, que no estás solo.

    PD: je, je, había escrito por error loco en vez de solo.

  2. maty,

    No te preocupes, que estoy siguiendo Nauscopio vía RSS, y efectivamente, se te ve concentrado en the economy :D

    Y en la publicidad 2.0 :P (vaya jaleo en el blog de Dans el otro día)

    Un saludo, y a cuidarse.

  3. El pdf/ppt está en … http://www.f-secure.com/weblog/archives/vb2008_kasslin_florio.pdf

    Con relación a infecciones MBR / Mebroot y similares, me pregunto:

    A.- ¿Cómo puede un usuario normal (con productos de seguridad «normales») determinar que está infectado en estos casos?

    B.- ¿Tiene sentido empezar a pensar que… para conectarse a banca online en un futuro no muy lejano, se podría facilitar a los clientes un cd-live (biz-size), self-boot, self-connect to your bank?

    Entiéndase: se trata de arrancar tu PC en modo seguro, con independencia de los virus que tengas «arraigados».

    El punto B.- si se entiende, es todo un tema de controversia, no tanto por el aspecto técnico, sino por el aspecto de negocio / operativo, cómo se puede hacer realidad. Es de esas ideas bonitas… que no pueden prosperar, por razones «no técnicas».

  4. jcbarreto,

    a) Un usuario normal no puede darse cuenta. Si si producto antivirus/antirookit no detecta la amenaza, no creo que ningún usuario «de a pie» se ponga a ver módulos cargados en el kernel ni a «esnifar» tráfico de red.

    b) El futuro está en la doble autenticación. Los troyanos tienen un talón de aquiles, y ese es precisamente que pueden capturar lo que sabemos (usuario/clave) pero no lo que tenemos (por ejemplo, un token de un sólo uso, una coordenada enviada al móvil, etc.) (aclaro que sí pueden capturarla, pero evidentemente, no es de utilidad si la sesión activa muere). Empleando la doble autenticación en logon, se reduce drásticamente el número de incidentes. Sinceramente, a corto ni medio plazo, no me imagino a ninguna entidad entregando live cds a los usuarios. Sería una solución brillante para usuarios avanzados, pero sería una deblacle para el resto. Inasumible.

    Siempre habrá troyanos que ejecuten man in the middle, pero siempre habrá bancas en línea con autenticación débil o con menor grado de dureza en la autenticación, que serán atacadas en orden preferente.

    Un saludo,

  5. Gracias Sergio,

    Completamente de acuerdo en lo que dices, especialmente el punto b) … Menuda debacle, e inasumible.

Comentarios cerrados.