Tuesday, September 21, 2010

Sonunda 64-bit rootkit geldi

hitman

AV firmalarının korkulu rüyası TDSS, bir diğer adı ile Alureon virüsü, x64 sistemlerde de hortladı.

TDSS virüsünde bulunan rootkit sistemi şimdiye kadar gelmiş geçmiş en karmaşık rootkit. Tamamen kernel’de çalışan ve en alt seviye I\O fonksyonlarını hook ederek kendini saklayan bu virüs 32 bit sistemlerde hard disk’te en yakın sürücüyü infect ederek bulaşıyordu ve bu sürücü genellikle ntfs.sys oluyordu ancak x64 sistemlerde, dijital imzalı olmayan sürücüler yüklenemediği için bu sistemlere bulaşamıyordu.

Vista henüz beta(RC2) sürümünde iken , muhteşem kadın Joanna Rutkowska, “pagefile attack” yöntemi ile Windows kernel’ine, dijital imzası olmayan sürücü yüklemeyi BlackHat konferasında göstermişti. Bunun üzerine Microsoft, userland kodun, raw disk ulaşımını engelleyerek bu atağı engellemişti.

Ve şimdi TDSS virüsünün yazarları yeniden x64 kernel’inde imzasız sürücü çalıştırmanın yolunu bulup TDSS4’u yaydılar. Bu sefer TDSS, eski sürümlerindeki driver infeksyon yerine MBR (Master Boot Record) infeksyon yolunu seçmişti ve bu şekilde daha Windows boot olmadan kontrolü ele alıp işletim sistemi çekirdiğine yön verebiliyor ve dijital imza kontrollerinden önce kendi sürücülerini çalıştırmış oluyor, arkasından itina ile PatchGuard’ı etkisiz hale getirip I\O hook işlemlerini başlatıp sistem üzerinde tamamen görünmez oluyor.

TDSS, Zeus solucanın aksine metamorphic kod içermediği için Antivirüs’ler tarafından imzası alınabiliyor ancak Antivirüs’ler bu imzayı karşılaştırmak için TDSS dosyalarını sistemde bulamıyorlar :)

Eğer x64 sistem kullanıyorsanız ve sisteminize TDSS4 bulaşmış ise bunu şu anda bulup temizleyebilecek bir AntiVirüs yok ve malesef AntiLogger’da bunu durduramıyor çünkü AntiLogger, burda belirttiğimiz sebeblerden dolayı henüz x64 sistemlerde çalışamıyor.

SurfRight firmasının Hitman Pro programı, disk device stack’ı analiz ederek bu rootkit’in varlığını tespit edebiliyor ancak sistemden silemiyor. Hernekadar Hitman Pro’nun yeni versionu temizlediğini iddia etsede benim testlerimde sil dediğimde sistem çöktü.

Not: Kaspersky’in, TDSS’yi temizlemek için geliştirdiği araç (TDSSKiller), hernekadar x64 sistemlerde sorunsuz çalışsada rootkit’i tespit dahi edemiyor.

F-Secure firmasının detaylı incelemesine aşsağıdaki linkten ulaşabilirsiniz
http://www.f-secure.com/weblog/archives/The_Case_of_TDL3.pdf




No comments:

Post a Comment