Rootkit del sector de arranque, más ruido que peligro


Se han publicado en las últimas semanas, múltiples informes y noticias acerca de un rootkit que es capaz de cargarse desde el MBR (Master Boot Record) del disco duro, cada vez que se reinicia la máquina.






Este ataque ha captado la atención de la prensa (más que de los expertos), que lo han catalogado desde simplemente curioso (o novedoso para algunos), hasta como una "gran amenaza" para la seguridad de nuestros equipos.

Principalmente, se ha dicho que es capaz de modificar el MBR sin necesidad de tener los privilegios para cambiar el código a ese nivel.

Y cómo el Master Boot Record (MBR) o sector maestro de arranque, se ejecuta antes que el sistema operativo tome el control (y por lo tanto que cualquier software de seguridad que corra bajo ese sistema), parecería ser un punto de lanzamiento ideal para un rootkit, y una amenaza grave a nuestro sistema.

Primero que nada, la infección del MBR no es novedosa, y quienes utilizamos computadoras desde la época en que los sistemas operativos entraban en un solo disquete, sabemos que es posible este tipo de infección. Pero que también es posible revertirla volviendo el MBR a su estado original. De todos modos, actualmente no es tan sencillo acceder al MBR desde el propio sistema operativo, como veremos más adelante.

La definición simple de un rootkit, lo catalogaría como "una o más herramientas usualmente asociadas con el intento de obtener o mantener acceso privilegiado, ocultando el hecho de que el sistema ha sido comprometido."

Según una definición más ajustada, David Harley y Andrew Lee (de ESET), (ver "¿La raíz de todos los males? - Rootkits revelados", http://www.vsantivirus.com/rootkits-revelados.htm), dicen que se trata de "una clase de conjunto de herramientas instalado en un sistema con privilegios de usuario con el fin de mantener acceso y control privilegiado, permitir al individuo y/o software hacer uso de dicho acceso del modo que prefiera, y ocultar o restringir el acceso a objetos tales como Procesos, Hilos de ejecución (threads), Archivos, Carpetas, Directorios y Subdirectorios, Entradas de registro, Puertos abiertos y Controladores."

Está claro que aunque esta última definición de por si no presupone que sean herramientas para realizar acciones maliciosas, ni involucren alguna clase de intrusión, es decir acceso no autorizado al equipo, el hecho de que se instalen y ejecuten sin nuestro consentimiento, lo convierten automáticamente en malware.

Volviendo al rootkit del sector de arranque, de acuerdo con los informes mencionados antes, el mismo está basado, al menos parcialmente, en otro creado con propósitos de investigación por eEye en 2005, llamado BootRoot (parte del proyecto eEye BootRootKit network kernel backdoor).

Según la información sobre BootRoot, la modificación del sector de arranque del disco con acceso directo al mismo (al nivel de Entrada/Salida del BIOS), puede ser realizado por código del usuario. Es importante hacer notar que el BootRootKit creado por eEye no causa ninguna modificación al sistema, y es solo una demostración que se "engancha" a las funciones de la biblioteca NDIS.SYS de Windows para monitorear los paquetes de red que ingresan.

eEye solo habla de que "es posible modificar el BootRootKit para que reemplace al MBR, pero ello requiere cambios en su código." Pero el BootRoot de eEye no hace eso.

El MBR no es otra cosa que un pequeño programa (en assembler) que el sistema operativo utiliza para iniciarse, y que está presente en el primer sector de las particiones primarias, y en cualquier sector de particiones extendidas de arranque.

El Master Boot Record es cargado automáticamente por el BIOS cuando se inicia el sistema desde el disco duro. Este pequeño programa se encarga de recorrer la tabla de particiones (contenida dentro del MBR) y determinar cuál es la partición preparada para arrancar (booteable), pasar de disco a memoria
el sector de arranque de ésta (boot sector), y darle a éste el control para que se ejecute y cargue el sistema operativo.

En una reciente entrada de su blog, el equipo antimalware de Microsoft (Microsoft's Anti-Malware Engineering Team), hace algunas puntualizaciones al respecto de lo publicado en estas semanas sobre este rootkit.

En primer lugar, su instalación requiere modificar el MBR para garantizar que el código malicioso pueda persistir a través de cada reinicio. Para ello, utiliza la API llamada"CreateFile", intentando abrir el dispositivo"\Device\Harddisk0\DR0" para acceso de escritura.

Para utilizar el API CreateFile de esta manera (para acceder de forma directa al disco), se requieren privilegios administrativos, según se menciona en el artículo
"INFORMACIÓN: Acceso de unidad directa en Win32",http://support.microsoft.com/kb/100027/es.

De ese modo, quien ha iniciado sesión en Windows como usuario normal, o quienes utilizan Windows Vista con el UAC habilitado (Control de Cuentas de Usuario), incluso si accidentalmente ejecutaran el instalador del rootkit, o si el mismo lo hiciera automáticamente a través de algún exploit o vulnerabilidad, o vía otro malware, lo haría con privilegios insuficientes para modificar el MBR del disco duro, por lo que no sería capaz de persistir al próximo reinicio del
sistema.

Según el artículo kb/100027 mencionado antes, para acceder a un disco físico o una unidad lógica a ese nivel utilizando las APIs, se deben tener los derechos adecuados de acceso a la unidad (es decir, el usuario que inició la sesión debe ser un administrador).

Esto hace que la amenaza de este rootkit sea mucho menos exótica de lo que ha escrito mucha prensa. Microsoft también señala que incluso un caso de MBR sucio o corrupto, puede ser resuelto fácilmente si se utiliza la opción "La última configuración buena conocida" del menú de arranque (pulsando F8 al iniciarse la máquina) o desde la consola de recuperación de Windows.

En definitiva, el famoso rootkit de sector de arranque, no es muy diferente a cualquier otro malware, desde el punto de vista de peligrosidad o accesibilidad al sistema para infectarlo, y además, tiene muy pocas probabilidades de mantenerse luego de un reinicio.

Cómo con todo código malicioso, no es bueno tenerlo en una máquina, pero tampoco representa un peligro mayor como algunas publicaciones han aseverado.

ESET NOD32 detecta el rootkit propiamente dicho, como Win32/Agent.DSJ desde la base de firmas 2768 (6/ene/08). Posibles instaladores del código, eran detectados desde octubre del pasado año como variantes del Win32/PSW.Sinowal.


* Referencias:

Microsoft Anti-Malware Engineering Team MBR rootkit: VirTool:WinNT/Sinowal.A report
http://tinyurl.com/3ct3wk

INFORMACIÓN: Acceso de unidad directa en Win32
http://support.microsoft.com/kb/100027/es

BootRoot
http://research.eeye.com/html/tools/RT20060801-7.html

Rootkit en el sector de arranque ¿otra vez?
http://www.eset.com.uy/eset/index.php?subaction=showfull&id=1200358819&n=2


* Relacionados:

Boletín técnico: virus en sectores de arranque
http://www.vsantivirus.com/fdisk-mbr.htm

¿La raíz de todos los males? - Rootkits revelados
http://www.vsantivirus.com/rootkits-revelados.htm

Por Por Jose Luis Lopez
http://www.vsantivirus.com



Otras noticias de interés:

SleepServer: Computadoras que trabajan mientras duermen
En fayerwayer.com he leído un interesante artículo donde un grupo de cientifícos de la Universidad de California en San Diego desarrollaron un sofware que permite a las computadoras permanecer en red, incluso cuando se encuentran en modo suspendid...
Las webs se han convertido en medios de ataque con fines económicos
El principal objetivo de los ciberataques ya es la obtención de beneficios económicos y, para ello, se utilizan paginas web, que son atacadas únicamente como medio de infectar a sus usuarios u obtener sus credenciales. Así lo plantea el Inspector...
Neumonía atípica ataca ahora a los computadores
El temible virus cuenta ahora con una versión digital, según informaron expertos en seguridad virtual. La aplicación, descubierta en los últimos días, empieza a atacar a computadores en todo el mundo. Como explican los especialistas, el gusano ...
Detectan la mayor campaña de virus por correo electrónico
Los criminales están haciendo una tremenda campaña on-line en estos momentos con la esperanza de engañar a muchas víctimas y poder, de manera inadvertida, instalar código maligno con el que recaudar hasta un millón de dólares diarios....
Denegación de servicio a través de la función ( php_dechunk ) en PHP 5.3.x
Stefan Esser, conocido investigador de seguridad especializado en vulnerabilidades en el lenguaje de programación PHP, ha descubierto un fallo en la última versión publicada....
Juez dicta que la tecnología P2P es totalmente neutra
Un juzgado de Madrid absuelve a Pablo Soto de la demanda de cuatro grandes discográficas y productores musicales por crear software de intercambio de archivos. Las compañías pedían 13 millones de euros por daños y perjuicios....
Revista Libre GUbuntu.es #1
El 29/05/2009 los amigos de gubuntu.es publicaron la 2da edición de su revista, orientada especificamente a Ubuntu....
Xbox hackeado!
Un estudiante del Massachusetts Institute of Technology (MIT) alega haber descubierto una manera de evadir seguridades instaladas en la consola de juegos de video Xbox, permitiendole cargar cualquier software que quiera. En el articulo encontrado en ...
Ingeniería Social: Como funciona?
¿Qué táctica es la que mejor funciona para un ingeniero social del engaño? ¿Actuar como una figura de autoridad y pedir a la víctima que responda a algunas preguntas y revele información confidencial? ¿O actuar como una persona simpática y c...
Brasil invierte en defensa cibernética
Parece que la guerra cibernética es un asunto de gran interés para los gobiernos, algo en lo que Brasil no es la excepción ya que el ejército de ese país decidió la adquisición de un nuevo software para efectos de prevención contra ataques ci...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • arranque
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • peligro
  • pgp
  • php
  • rootkit
  • ruido
  • sabayon
  • sector
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra