Rootkit del sector de arranque, más ruido que peligro


Se han publicado en las últimas semanas, múltiples informes y noticias acerca de un rootkit que es capaz de cargarse desde el MBR (Master Boot Record) del disco duro, cada vez que se reinicia la máquina.






Este ataque ha captado la atención de la prensa (más que de los expertos), que lo han catalogado desde simplemente curioso (o novedoso para algunos), hasta como una "gran amenaza" para la seguridad de nuestros equipos.

Principalmente, se ha dicho que es capaz de modificar el MBR sin necesidad de tener los privilegios para cambiar el código a ese nivel.

Y cómo el Master Boot Record (MBR) o sector maestro de arranque, se ejecuta antes que el sistema operativo tome el control (y por lo tanto que cualquier software de seguridad que corra bajo ese sistema), parecería ser un punto de lanzamiento ideal para un rootkit, y una amenaza grave a nuestro sistema.

Primero que nada, la infección del MBR no es novedosa, y quienes utilizamos computadoras desde la época en que los sistemas operativos entraban en un solo disquete, sabemos que es posible este tipo de infección. Pero que también es posible revertirla volviendo el MBR a su estado original. De todos modos, actualmente no es tan sencillo acceder al MBR desde el propio sistema operativo, como veremos más adelante.

La definición simple de un rootkit, lo catalogaría como "una o más herramientas usualmente asociadas con el intento de obtener o mantener acceso privilegiado, ocultando el hecho de que el sistema ha sido comprometido."

Según una definición más ajustada, David Harley y Andrew Lee (de ESET), (ver "¿La raíz de todos los males? - Rootkits revelados", http://www.vsantivirus.com/rootkits-revelados.htm), dicen que se trata de "una clase de conjunto de herramientas instalado en un sistema con privilegios de usuario con el fin de mantener acceso y control privilegiado, permitir al individuo y/o software hacer uso de dicho acceso del modo que prefiera, y ocultar o restringir el acceso a objetos tales como Procesos, Hilos de ejecución (threads), Archivos, Carpetas, Directorios y Subdirectorios, Entradas de registro, Puertos abiertos y Controladores."

Está claro que aunque esta última definición de por si no presupone que sean herramientas para realizar acciones maliciosas, ni involucren alguna clase de intrusión, es decir acceso no autorizado al equipo, el hecho de que se instalen y ejecuten sin nuestro consentimiento, lo convierten automáticamente en malware.

Volviendo al rootkit del sector de arranque, de acuerdo con los informes mencionados antes, el mismo está basado, al menos parcialmente, en otro creado con propósitos de investigación por eEye en 2005, llamado BootRoot (parte del proyecto eEye BootRootKit network kernel backdoor).

Según la información sobre BootRoot, la modificación del sector de arranque del disco con acceso directo al mismo (al nivel de Entrada/Salida del BIOS), puede ser realizado por código del usuario. Es importante hacer notar que el BootRootKit creado por eEye no causa ninguna modificación al sistema, y es solo una demostración que se "engancha" a las funciones de la biblioteca NDIS.SYS de Windows para monitorear los paquetes de red que ingresan.

eEye solo habla de que "es posible modificar el BootRootKit para que reemplace al MBR, pero ello requiere cambios en su código." Pero el BootRoot de eEye no hace eso.

El MBR no es otra cosa que un pequeño programa (en assembler) que el sistema operativo utiliza para iniciarse, y que está presente en el primer sector de las particiones primarias, y en cualquier sector de particiones extendidas de arranque.

El Master Boot Record es cargado automáticamente por el BIOS cuando se inicia el sistema desde el disco duro. Este pequeño programa se encarga de recorrer la tabla de particiones (contenida dentro del MBR) y determinar cuál es la partición preparada para arrancar (booteable), pasar de disco a memoria
el sector de arranque de ésta (boot sector), y darle a éste el control para que se ejecute y cargue el sistema operativo.

En una reciente entrada de su blog, el equipo antimalware de Microsoft (Microsoft's Anti-Malware Engineering Team), hace algunas puntualizaciones al respecto de lo publicado en estas semanas sobre este rootkit.

En primer lugar, su instalación requiere modificar el MBR para garantizar que el código malicioso pueda persistir a través de cada reinicio. Para ello, utiliza la API llamada"CreateFile", intentando abrir el dispositivo"\Device\Harddisk0\DR0" para acceso de escritura.

Para utilizar el API CreateFile de esta manera (para acceder de forma directa al disco), se requieren privilegios administrativos, según se menciona en el artículo
"INFORMACIÓN: Acceso de unidad directa en Win32",http://support.microsoft.com/kb/100027/es.

De ese modo, quien ha iniciado sesión en Windows como usuario normal, o quienes utilizan Windows Vista con el UAC habilitado (Control de Cuentas de Usuario), incluso si accidentalmente ejecutaran el instalador del rootkit, o si el mismo lo hiciera automáticamente a través de algún exploit o vulnerabilidad, o vía otro malware, lo haría con privilegios insuficientes para modificar el MBR del disco duro, por lo que no sería capaz de persistir al próximo reinicio del
sistema.

Según el artículo kb/100027 mencionado antes, para acceder a un disco físico o una unidad lógica a ese nivel utilizando las APIs, se deben tener los derechos adecuados de acceso a la unidad (es decir, el usuario que inició la sesión debe ser un administrador).

Esto hace que la amenaza de este rootkit sea mucho menos exótica de lo que ha escrito mucha prensa. Microsoft también señala que incluso un caso de MBR sucio o corrupto, puede ser resuelto fácilmente si se utiliza la opción "La última configuración buena conocida" del menú de arranque (pulsando F8 al iniciarse la máquina) o desde la consola de recuperación de Windows.

En definitiva, el famoso rootkit de sector de arranque, no es muy diferente a cualquier otro malware, desde el punto de vista de peligrosidad o accesibilidad al sistema para infectarlo, y además, tiene muy pocas probabilidades de mantenerse luego de un reinicio.

Cómo con todo código malicioso, no es bueno tenerlo en una máquina, pero tampoco representa un peligro mayor como algunas publicaciones han aseverado.

ESET NOD32 detecta el rootkit propiamente dicho, como Win32/Agent.DSJ desde la base de firmas 2768 (6/ene/08). Posibles instaladores del código, eran detectados desde octubre del pasado año como variantes del Win32/PSW.Sinowal.


* Referencias:

Microsoft Anti-Malware Engineering Team MBR rootkit: VirTool:WinNT/Sinowal.A report
http://tinyurl.com/3ct3wk

INFORMACIÓN: Acceso de unidad directa en Win32
http://support.microsoft.com/kb/100027/es

BootRoot
http://research.eeye.com/html/tools/RT20060801-7.html

Rootkit en el sector de arranque ¿otra vez?
http://www.eset.com.uy/eset/index.php?subaction=showfull&id=1200358819&n=2


* Relacionados:

Boletín técnico: virus en sectores de arranque
http://www.vsantivirus.com/fdisk-mbr.htm

¿La raíz de todos los males? - Rootkits revelados
http://www.vsantivirus.com/rootkits-revelados.htm

Por Por Jose Luis Lopez
http://www.vsantivirus.com



Otras noticias de interés:

GNU/Linux ya tiene driver NTFS de lectura/escritura
Un tercer proyecto se suma a los dos existentes para proporcionar a los usuarios una forma de escribir en una partición NTFS. ...
Microsoft confirma exploit 0 day en MS PowerPoint
Microsoft ha confirmado que existe una nueva vulnerabilidad que está siendo ya aprovechada por atacantes en Office Power Point y podría permitir la ejecución de código arbitrario. ...
MONOPOLIO TECNOLOGICO en la LEY MICROTASCON
En estos días fue públicado e el diario Quinto Día una nota por el Sr. J.A.Almenar donde expone según su criterio lo ocurrido y/o lo que ocurre con la actual Ley MicroTascon En tal artículo el Sr. J.A.Almenar ha demostrado un desconocimiento...
Asturix la distribución GNU/Linux de Asturias
Una de las distros españolas, con alrededor de 2000 usuarios y acompañada de una comunidad de desarrolladores. Asturix viene en 3 versiones para que elijas: ...
Predicción de identificadores de transacción en BIND
Se ha descubierto una vulnerabilidad en BIND que podría ser aprovechada por un atacante para envenenar la caché DNS. Esto permitiría ataques de tipo phishing, por ejemplo, si el usuario realiza una consulta a un servidor BIND comprometido y ...
Inseguridad en los servidores DNS de Microsoft
Se ha publicado una vulnerabilidad que afecta al servidor de DNS de Microsoft, en sus configuraciones por defecto, que permite que cualquier usuario modifique los registros DNS de la organización, sin necesidad de proporcionar ninguna credenci...
Prohibido Prohibir
Diego Saravia escribió un excelente artículo sobre la no prohibición en el uso de software....
Denegación de servicio en Internet Explorer 7
Microsoft Internet Explorer 7.0 es propenso a una vulnerabilidad del tipo denegación de servicio (DoS), que se produce porque la aplicación falla al intentar manejar ciertas condiciones excepcionales. ...
Liberado Mozilla 1.1
Ya fue liberada la versión final de Mozilla 1.1. Lo puedes bajar desde http://www.mozilla.org/releases Trae interesantes opciones....
Denegación de servicio en Oracle 9i Application Server
@Stake informó que se detectó una vulnerabilidad en la versión 9.0.2.0.0 de Oracle Web Cache (que forma parte de la suite Oracle Application Server), que puede provocar que los servidores afectados dejen de funcionar. El mencionado problema tiene ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • arranque
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • peligro
  • pgp
  • php
  • rootkit
  • ruido
  • sabayon
  • sector
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra