Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

miércoles, 9 de septiembre de 2009

La peligrosidad de una nueva generación de bootkits

Si bien tanto los rootkits como los bootkit forman parte de un mismo concepto y los objetivos finales terminan siendo siempre los mismos, existe una serie de patrones que los diferencian y hacen del bootkit la inevitable evolución del rootkit convencional sumando al estado del arte acciones más complejas.

Por definición, un rootkit esta diseñado para esconder ciertas actividades que un atacante puede realizar en un sistema vulnerado, siendo precisamente esta característica la aprovechada por los desarrolladores de malware para ocultar las actividades del mismo (manipulación de claves del registro, procesos, archivos, etc.) al momento de infectar un sistema. Es decir, el objetivo principal de un rootkit es evitar que las actividades de un atacante sean descubiertas.

Esta situación representa un grave y potencial peligro para la seguridad de cualquier sistema informático ya que, dependiendo del tipo de rootkit, pueden pasar inadvertidos tranquilamente, ya que generalmente poseen la capacidad de correr a bajo nivel (a nivel del kernel).

Por eso las compañías antivirus suelen catalogarlo como peligrosos o extremadamente peligrosos, incluso, quizás sea esta una de las respuestas sobre los esfuerzos de securizar el núcleo de los sistemas operativos.

En relación a esto, a principios de año (2009) fuimos testigos de la aparición de un tipo de rootkit que infecta la MBR (Master Boot Record) de los equipos pero que a diferencia de los rootkits convencionales de este estilo, esta nueva variante es mucho más nocivo y agresivo. Su nombre es Stoned Bootkit (basado en el famoso virus Stoned), fue desarrollado por Peter Kleissner y presentado en BlackHat 2009.

Al activarse desde la MBR, el bootkit se asegura la infección del equipo antes del arranque del sistema operativo, pudiendo ejecutarse desde cualquier dispositivo de almacenamiento (USB, CD, DVD, etc.). Esto significa que no se verán rastros en los sistemas operativos (procesos en memoria por ejemplo) ya que el bootkit no realiza modificaciones directas sobre este.

A pesar de ser considerada una herramienta que permite administrar un sistema (al igual que el rootkit) tal cual su nombre lo indica (conjunto de herramientas del sector de arranque) puede, sin lugar a dudas, ser utilizada con fines maliciosos, y teniendo en cuenta que Stoned Bootkit esta diseñado para funcionar también en Windows 7, independientemente de su arquitectura (32-bits o 64-bits), puede representar el código malicioso más explotado durante el 2010.

Información relacionada
Bootkit multiplataforma al ataque...

# Jorge Mieres

3 comentarios:

Jiménez dijo...

Tus predicciones siempre resultan ciertas, no sé si temerte o agradecerte para seguir un paso adelante a los códigos maliciosos y sus creadores. Tendremos que empezar una campaña de lectura muy fuerte para hacer conciencia en todos los usuarios y especialistas IT. Para no esperar un ataque tipo Confiker para hacer algo. Suerte, buen trabajo

Proteger dijo...

Saludo hace mucho sigo tu blog, la verdad me tiene anodadado esto del bootkit, si sabes donde conseguir una muestra de este tipo seria genial para su estudio

Jorge Mieres dijo...

Hola José, las campañas de concientización son fundamentales para cualquier ámbito y como bien afirmas, Conficker es un claro ejemplo :-)

Publicar un comentario en la entrada