Evolución de los bootkit en el 2011

Compartiremos con ustedes parte del informe realizado por David Harley, Eugene Rodionov y Aleksandr Matrosov. Acerca del crecimiento y evolución durante el 2011 de los códigos maliciosos que atacan a sistemas operativos de 64 bits: bootkits. El 2011 presentó un gran crecimiento en la cantidad de amenazas técnicamente complejas.  A lo largo del año pasado hemos sido testigos de un incremento en la cantidad de códigos maliciosos apuntando contra la plataforma 64 bits de Microsoft Windows, particularmente las bootkits. En el diagrama a continuación se puede observar esta evolución a lo largo del tiempo:

TDL4 bootkit

Durante el 2010, especialistas de ESET habían predicho una evolución de este código malicioso a lo largo del año pasado. TDL4, detectado por ESET NOD32 Antivirus como Win32/Olmarik presentó distintas variantes que incluían nuevas funcionalidades. Los desarrolladores de esta amenaza intentaron sobrepasar la actualización de seguridad KB2506014, que contenía una vulnerabilidad que les permitía abusar del Entorno de preinstalación de Windows (Windows PE).

TDL4 es uno de los primeros bootkit propagados que infecta a sistemas de 64 bits. Con el objetivo de controlar el equipo antes de la carga del sistema operativo, sobreescribe el código de la MBR (Master Boot Record) sin modificar la tabla de particiones.

Cuando el código de inicio de TDL4 recibe el control, localiza la información oculta dentro del disco y continúa el proceso de carga del sistema utilizando los componentes maliciosos del bootkit.

Bootkit Olmasco

A comienzos del 2011 se reportó un nuevo bootkit, detectado por ESET NOD32 Antivirus como Win32/Olmasco (también conocido como MaxSS). Esta nueva familia de códigos maliciosos se basa en nuevas técnicas de desarrollo  evolucionadas en comparación con TDL4. A diferencia de Win32/Olmarik, esta amenaza modifica la tabla de particiones del disco en lugar de modificar el código de la MBR. Lo que hace este malware es buscar  una entrada vacía en la tabla de particiones y un sector libre al final del disco duro para crear una partición oculta en dónde almacena información. La siguiente imagen muestra la manera en la cual se distribuyen las particiones en un disco infectado:


La información que escribe en la VBR (Volume Boot Record) imita a la de una partición legítima de NTFS (New Technology File System): este enfoque hace que Win32/Olmasco sea más difícil de detectar. Cuando se analiza la información en el disco podemos ver como supone ser una partición de este sistema de archivos tan ampliamente utilizado:

ZeroAccess rootkit

Win32/Sirefef, conocido también como ZeroAccess, apareció a inicios del 2011 con una nueva variante que atacaba a sistemas de 64 bits. A diferencia de las amenazas que hemos presentado anteriormente ( TDL4 y Win32/Olmasco), no es un bootkit. Aunque existe una versión de este código malicioso contra sistemas operativos de 64 bits, no contiene un controlador que se ejecute en modo kernel. La única variante de esta amenaza que incluye un  controlador solo afecta a sistemas x86. Por esta razón, el algoritmo de infección del sistema es diferente en sistemas operativos de 32 o 64 bits.

En los sistemas x86 ZeroAcces tiene un comportamiento similar al rootkit TDL4. Infecta el controlador del sistema para iniciarse durante el proceso de inicio mediante la sobreescritura del archivo original. Entonces, durante el inicio del sistema se carga el controlador infectado en lugar del original.

La infección funciona diferente en los sistemas de 64 bits. Ante la falta de un controlador de 64 bits, el código maliciosos crear la librería consrv.dll en el directorio “%systemroot%system32” y lo registra como parte del subsistema de Windows. El objetivo de este registro es que el proceso de Subsistema de Administración de Sesiones (smss.exe) cargue la librería al inicio del sistema. La lista de los subsistemas que necesitan ser cargados se almacenan dentro de la llave de registro alojada en “HKLMSYSTEMCurrentControlSetControlSession ManagerSubSystems”. Si falta alguno de los componentes necesarios por el subsistema el equipo no inicia correctamente. Por lo tanto, esta acción debe ser tenida en cuenta cuando se desea eliminar la amenaza del sistema: borrar la librería consrv.dll sin aplicar el cambio correspondiente en registro de Windows puede hacer fallar el sistema.

Rovnix bootkit

Uno de los códigos maliciosos que definió un nuevo tipo de amenazas durante el 2011 fue Win32/Rovnik. Este bootkit modifica la VBR (Volume Boot Record) y el código del Bootsrap. A través de esta técnica, el código malicioso puede saltear la protección de las soluciones de seguridad ya que esta funcionalidad hace que sea mucho más compleja su eliminación del sistema.

Otro hecho interesante, es que el constructor para los bootkits de VBR como Win32/Rovnix fue ofrecido en Internet. Por ejemplo, Win32/Carberp –  uno de los troyanos bancarios más peligrosos –  fue actualizado para incluir funcionalidades de bootkit. Los desarrolladores de esta amenaza comenzaron a probar un bookit para la venta mediadios de año.

El objetivo de esta recopilación, acerca de algunos de los códigos maliciosos más complejos del 2011, deja en evidencia que para este año veremos la evolución de este tipo de amenazas. Por este motivo siempre es necesario proteger los equipos con una solución antivirus con capacidad de detección proactiva, mantenerse actualizado en lo que respecta a noticias de seguridad informática e instalar las actualizaciones de seguridad del sistema operativos y las aplicaciones instaladas en él.

Pablo Ramos
Especialista en Awareness & Research

Autor , ESET

Síguenos