Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

viernes, 4 de septiembre de 2009

Bootkit multiplataforma al ataque. ¿La resurrección de los virus de arranque?

Como muchos sabrán, en el mundo de los códigos maliciosos existe una extensa nomenclatura para referirse a cada uno de los programas dañinos que se encuentran dando vueltas por la gran red, adoptado en función de las instrucciones y objetivo para el cual fue diseñado, siendo el inglés el idioma más aceptado. Incluso, algunas traducciones directas quedan feas ;P

En relación a esto, quizás hayan leído sobre un nuevo nombre que viene haciendo bastante ruido a partir de la última BlackHat: Bootkit. Pero… ¿de qué se trata?

Un Bootkit es básicamente un tipo de rootkit diseñado para infectar el sector de arranque de los sistemas operativos Windows, conocido habitualmente como la Master Boot Records (MBR).

Si bien el concepto de rootkit se remonta casi a la misma existencia de las plataformas UNIX y los códigos maliciosos que abusan de esta característica tampoco son novedosos, podríamos decir que el concepto de Bootkit hace referencia a una nueva familia de malware desarrollados para evadir cualquier sistema de detección de amenazas alojando sus instrucciones dañinas en el sector de arranque.

De hecho son varios los nombres que han hecho ruido a lo largo de la historia:
  • Stoned en 1987 (fue tomado como base para el desarrollo de Michelangelo) que mostraba en pantalla diferentes mensajes.
  • BootRoot presentado por primera vez en el 2005 durante la BlackHat y diseñado para funcionar en Windows XP.
  • Kon-Bot que hace un baypass sobre el esquema de autenticación de Windows, saltándo así el proceso de autenticación.
  • Vbootkit durante el 2007, que funciona sobre Windows Vista y su segunda versión aparecida durante este año, diseñada para explotar en Windows 7 (incluido 64-bits). Ambas versiones presentadas en el BlackHat.
  • MebRoot, cuya primera variante apareció durante el año 2007, esta diseñado para robar datos de índole bancaria y del cual vemos una captura presentada en el paper “Your Computer is Now Stoned (...Again!). The Rise of MBR Rootkits” desarrollado conjuntamente entre Symantec y F-Secure donde se muestra su evolución.
  • Stoned Bootkit, también presentado en la BlackHat de este año. Es multiplataforma.
En el caso de las dos versiones de Vbootkit, éstas son consideradas pruebas de concepto (PoC), sin embargo, como toda prueba de concepto, se termina disparando en una nueva modalidad de ataque a través de malware y la segunda versión (prepara para Windows 7) puede ser una seria amenaza para el próximo año.

Ahora… dónde está el punto más relevante de todo esto. Yo creo que Mebroot ha marcado el punto de inflexión sumando al ámbito ilícito una nueva metodología acompañado de un concepto que posee relación directa con los delitos informáticos en cuanto a ataques a través de malware que buscan, no sólo obtener información que puede ser aprovechada incluso para hacer inteligencia o espionaje sino también para alimentar la economía de sus desarrolladores, y que continúa con Vbootkit v2 ya preparada para explotar Windows 7.

Bajo este escenario, la cosa viene pesada, ya que queda en completa evidencia la profesionalización de los cada vez más desarrolladores de malware.

En el caso de Stoned Bootkit, también se encuentra diseñado para saltar los esquemas de seguridad que ofrecen productos como TruCrypt al cifrar el volumen completo de una unidad, provocando un ataque directo contra TrueCrypt. Es decir, posee la capacidad de infectar un equipo incluso cuando está cifrado, ganando acceso a todo el sistema sin importar los recaudos de seguridad en torno a las credenciales con permisos administrativos.

Irónicamente, su autor utiliza una leyenda similar a la que mostraba el viejo Stoned (Your PC is now Stoned!), mostrándola en pantalla cada vez que arranca el sistema:

Your PC is now Stoned! ...again

Además y a diferencia de otros rootkits que infectan el sector de arranque de un sistema operativo específico, el nuevo Stoned posee la capacidad de infectar todas las versiones desde Windows XP hasta el tan esperado Windows 7.

Teniendo en cuenta esto, quizás se transforme en un módulo esencial para los desarrolladores de malware que busquen romper las barreras de seguridad de Windows 7.

A pesar de no existir un volumen importante de códigos maliciosos con estas características (Bootkits) cada vez que aparece uno hace ruido en el ambiente. ¿Hablamos de resurrección? Yo creo que no. Sobre todo después de probar algo que no creía posible en la actualidad: el Stoned de 1897, aún hoy explota en Windows Vista.

# Jorge Mieres

Ver más