Rootkit Analyse von TDL4 / TDSS / TDL / Alureon

Aleksandr Matrosov hat von ESET hat sich mit der Analyse von einem Rootkit / Bootkit beschäftigt. Das Rootkit  Win32/Olmarik family läuft jetzt in Version 4 also TDL4. Eine der Hauptneuerungen ist die 64Bit Version von TDL4 vergleichen mit TDL3, was die Reichweite erhöht. Dieses Rootkit wird von Cyberkriminellen im PPI (Pay Per Install) verfahren angeboten. 
Auffällige Prozesse im Process Explorer könnten bald Geschichte sein...
Wer gleich komplett auf englisch lesen möchte sollte am Ende des Artikels gehen ;-)


Hauptbestandteil von TDL4 ist der Kernel-mode Treiber welcher installiert wird. Dieser läuft auf Ring-0 und erlaubt allerhand durch API-Hooking, Subclassing. Desweiteren wird ein Bootkit eingesetzt um sich selbst zu laden. Dieses Rootkit benutzt einen Trick in macht eine Injection mit der cmd.dll oder unter 64 Bit Systemen mit cmd64.dll theoretisch auf jeden Prozess, allerdings liegt eine Liste bei welche Prozesse abgeläuscht werden sollen z.B. Firefox. Um dort z.B. eine HTML-Injection vorzunehmen um z.B. Webseiten umzuleiten also beispielsweise im <form action="------" verändern, oder gar gleich ein komplettes <iframe>  einzufügen, um das Dokument an einen anderen Server zu schicken, welcher dann wieder zurückleitet, bei einer beliebigen Login Seite, oder sogar bei Geldtransaktionen. 


Das Rootkit kann aus der Ferne C&C - Server gesteuert werden


Die Kommunikation läuft über HTTP/HTTPS ab. Wobei die Domain vom Steuerserver mit RC4 cipher verschlüsselt wird. Im Part 2 vom Artikel werden die einzelnen Steuerkommandos erklärt z.B. Download und Execute oder auch DownloadCrypted... die Verwendung sollte klar sein, weitere Malware herrunterladen, oder halt eigene Updates von sich selbst. Verschlüsselt bewirkt das Antiviren Programme damit schneller ein Problem haben. 


Hooking mswsock - Umleiten von Datenverkehr

Das Rootkit hängt sich in der mswsock.dll an 

• WSPSend;
• WSPRecv;
• WSPCloseSocket.

Es fängt zum Beispiel die Windows Update Seite ab. Es erkennt HTTP Verbindungen und vergleicht ob diese Verändert werden sollen.  In späteren Blog-Beiträgen werde ich einmal ein paar Beispiele geben wie man mit der Windows API arbeiten kann. Firewalls arbeiten nach einem ähnlichem Prinzip wie dieses Rootkit. Es werden auch Systemtreiber installiert die Ring-0 Zugriff erlauben, wodurch ein Hooking von Betriebssystemfunktionen überhaupt erst möglich wird. 


Das Hidden-FS - komplett verstecktes Dateisystem in Disk-Partition


In dem Dateisystem liegen die kompletten Komponenten des Rootkits liegen verborgen. Es wird einfach Speicherplatz beansprucht am Ende der Systempartition. Es erzeugt im Betriebssystem einen eigenen physikalischen Treiber um auf die Max. 8MB zugreifen zu können. Es überschreibt genauer gesagt den miniport Gerätetreiber für die Festplatte. Der Treiber überwacht den Bootsektor und das versteckte Dateisystem vor eingriffen.  

Bootkit - Wie das Monster sich lädt und in den Speicher lädt.

Es wird der Master Boot Record (MBR) überschrieben. Dieser wird im Verlaufe des Bootvorgangs wiederherstellt aus dem versteckten Dateisystem. Der Trick hierbei das Bootkit bleibt im Arbeitsspeicher erhalten und kontrolliert ab sofort alle Festplattenzugriffe. Wer genauer wissen möchte Wie sich das Bootkit startet sollte den englischen Beitrag lesen dieser enthält einige Veranschaulichungen und beschreibt im Detail wie es zu zum Beispiel an der Treiber Signaturprüfung für einen Kernel-Treiber vorbeikommt, wieso das Bootkit selbst den MBR beschützt!

Alle Teiler der Kolumne zum Nachlesen

• TDSS part 1: The x64 Dollar Question
• TDSS part 2: Ifs and Bots
• TDSS part 3: Bootkit on the Other Foot