ZeroAccess contro TDL: nuova guerra tra rootkit?

Lo scenario dei rootkit è in continua evoluzione: su di essi i criminali informatici stanno investendo con maggior convinzione dal momento che rappresentano un ottimo strumento per prendere pieno possesso di un sistema altrui. Una volta andata in porto l’infezione, la rimozione di un rootkit è spesso un’operazione piuttosto complessa da effettuare soprattutto in forza delle attività svolte, a basso livello, dal rootkit stesso. Quest’ultimo, infatti, è generalmente in grado di interagire in profondità col funzionamento del sistema operativo rilevando file aperti, processi in esecuzione, driver di periferica in uso. Attraverso la costante attività di monitoraggio, un rootkit può ostacolare il corretto funzionamento, ad esempio, dei principali software di sicurezza vanificando ogni tentativo di rimozione o, peggio, mascherando la sua presenza sul sistema.
I rootkit sono in grado di “lavorare” sul codice, sui dati o su entrambe le categorie di informazioni conservate in memoria. L’operazione che ha come scopo quella di manipolare il contenuto della memoria è solitamente identificata con l’espressione “memory patching“. I rootkit che agiscono in “kernel mode” sono i più pericolosi perché, potenzialmente, hanno modo di accedere a tutti i registri ed all’intera memoria di sistema (in questo articolo abbiamo illustrato, a grandi linee, alcuni meccanismi sui quali poggiano i rootkit).

Ad aprile, Webroot – attraverso l’acquisita Prevx – aveva lanciato l’allerta circa la scoperta di un nuovo rootkit che sembrava ampiamente ispirarsi al noto e pericolosissimo TDL (ved. quest’articolo). Il nome dell'”inedita” minaccia? ZeroAccess.
Oggi Marco Giuliani, Threat Research Analyst per Webroot, torna sull’argomento: “chi ha sviluppato ZeroAccess sembra considerare il rootkit TDL come un nemico da distruggere. La domanda è: c’è qualche collegamento tra coloro che hanno realizzato ZeroAccess e chi manovra, dietro le quinte, TDL?“. L’esperto di Webroot ha risposto affermativamente. Sembra essersi scatenata una nuova battaglia tra gli autori di componenti rootkit.

Giuliani motiva la sua convinzione mostrando prove concrete: “uno dei plugin scaricati da ZeroAccess, chiamato desktop.ini, (…) integra una specifica routine che mira a combattere il rootkit TDL. Nel caso in cui il sistema fosse già stato infettato da TDL, il rootkit ZeroAccess provvederà a disabilitarlo“.

Come viene spiegato in quest’analisi tecnica, TDL – una volta insediatosi su un sistema – utilizza un’unità virtuale nascosta all’interno della quale il malware provvede a memorizzare i dati relativi alla sua configurazione ed altri file infetti (TDL crea un disco nascosto formattando gli ultimi settori dell’hard disk utilizzando un file system “proprietario” e codificando il contenuto dell’unità con l’algoritmo RC4).
La nuova variante di ZeroAccess, non appena in esecuzione, rileva l’eventuale presenza di TDL quindi provvede a sovrascrivere il suo disco nascosto con delle informazioni casuali. Al successivo riavvio del personal computer, il rootkit TDL sarà sempre attivo in modalità kernel ma non potrà più operare correttamente dal momento che il suo payload, contenuto nel disco nascosto, è stato rimosso.

Giuliani ha però individuato anche ulteriori aspetti che legano TDL a ZeroAccess tanto da far pensare che ZeroAccess sia frutto della vendita, sul “mercato nero”, del codice sorgente di TDL3 oppure che almeno una parte del team che ha realizzato i due rootkit sia composto dalle medesime figure (un diagramma, preparato dai tecnicid di Webroot riassume la situazione).

Altre informazioni sull’argomento rootkit sono disponibili facendo riferimento a questi articoli ed a questi approfondimenti.