Malware rootkit

O que é o malware rootkit?

O malware rootkit é uma coleção de software desenvolvida para dar a atores maliciosos controle sobre uma aplicação ou rede de computadores. Uma vez ativado, o programa malicioso configura uma backdoor para exploração e pode inserir malware adicional, como ransomware, bots, keyloggers ou trojans. Os rootkits podem permanecer no local por anos porque são difíceis de detectar, em parte devido à sua capacidade de bloquear alguns softwares antivírus e de varredura de malware.

Tipos de rootkits

Os rootkits conhecidos podem ser classificados em algumas famílias amplas, embora também existam muitos híbridos. As principais famílias são:

Rootkits de firmware

Um rootkit de firmware tem como alvo o software que executa componentes de hardware específicos, armazenando-se no software que é executado durante o processo de boot, antes do sistema operacional iniciar. Eles são especialmente sigilosos porque podem persistir após a reinstalação do sistema operacional.

O uso de rootkits de firmware cresceu à medida que a tecnologia se afastou dos softwares de BIOS com codificação fixa e se aproximou dos softwares de BIOS que podem ser atualizados remotamente. Sistemas de computação em nuvem que colocam múltiplas máquinas virtuais em um só sistema físico também são vulneráveis.

Exemplos de rootkits de firmware incluem:

• Rootkit UEFI
• Cloaker
• Rootkit VGA

Rootkits modo kernel

Um rootkit modo kernel é um malware sofisticado que pode adicionar, excluir ou editar códigos ao sistema operacional. Eles são complicados de criar e, se um rootkit de kernel apresentar bugs, isso afetará bastante o desempenho do computador-alvo. O lado positivo é que o rootkit de kernel com bug deixa rastros que são detectados pelas soluções antivírus.

Exemplos de rootkits modo kernel incluem:

• Spicy Hot Pot
• FU
• Knark

Rootkits Bootloader

Os rootkits bootloader inicializam simultaneamente com o sistema operacional e têm como alvo o MBR (Master Boot Record), que é o primeiro código executado ao inicializar um computador, ou o VBR (Volume Boot Record), que contém o código necessário para iniciar o processo de inicialização ou o código para carregar um sistema operacional ou aplicação. Ao se anexar a um desses tipos de registros, o rootkit bootloader não aparecerá na visualização padrão do sistema de arquivos e será difícil de detectar pelo antivírus ou removedor de rootkits.

Exemplos de rootkits bootloader incluem:

• Stoned Bootkit
• Olmasco
• Rovnix

Rootkits virtualizados

Ao contrário dos rootkits modo kernel, que são inicializados ao mesmo tempo que o sistema-alvo, o rootkit virtualizado é inicializado antes do SO. Os rootkits virtualizados se instalam profundamente no computador e são extremamente difíceis de remover, ou mesmo impossíveis.

Rootkits modo usuário

Rootkits modo usuário modificam o comportamento das APIs. Eles podem exibir informações falsas aos administradores, interceptar chamadas do sistema, filtrar saídas de processo e executar outras ações para ocultar sua presença. No entanto, como os rootkits modo usuário têm como alvo aplicações em vez de sistemas operacionais ou outros processos críticos, eles deixam rastros que acionam alertas de antivírus e removedores de rootkit e não são tão difíceis de remover quanto alguns outros tipos de malware rootkit.

Exemplos de rootkits modo usuário incluem:

• Vanquish
• Hacker Defender
• Aphex

Rootkits de memória

Os rootkits de memória são carregados na RAM, portanto, persistem somente até que a RAM seja limpa com a reinicialização do sistema. Enquanto ativos, suas atividades maliciosas consomem os recursos do sistema alvo e, portanto, reduzem o desempenho da memória RAM em questão.

Exemplo de rootkit: Spicy hot pot

A CrowdStrike encontrou um uso interessante para um rootkit que sequestra navegador para alterar a página inicial do usuário para uma página controlada pelo invasor. Esta é uma abordagem diferente do sequestrador de navegador típico, que usa executáveis maliciosos ou chaves de registro para alterar a página inicial do usuário.

Rootkit

Esse malware, chamado de Spicy Hot Pot, carrega despejos de memória do sistema do usuário para os servidores do seu operador e insere uma atualização local que garante que o malware seja capaz de permanecer atualizado. Em um avanço em relação ao sequestrador de navegador anterior, o Spicy Hot Pot incorpora outra etapa para permanecer em sigilo: ele instala dois drivers modo kernel no disco, e estes se instalam durante o processo de infecção por malware.

Esses drivers maliciosos executam diversas funções. Eles podem:

• Impedir que o software de segurança intercepte suas funções de retorno de chamada
• Coletar despejos de memória criados no sistema do computador a partir de um diretório específico
• Permitir que o ator malicioso atualize o malware da maneira que desejar
• Interceptar e modificar solicitações de entrada e saída do usuário
• Interceptar tentativas de administradores de exibir arquivos maliciosos, tornando-os efetivamente invisíveis, mesmo para um scanner de rootkit

Descoberta

O Spicy Hot Pot foi exposto quando a equipe da CrowdStrike Falcon® Complete™ foi alertada sobre um binário suspeito que estava tentando ser executado no ambiente Windows 10 de um cliente. A investigação revelou que o binário foi agrupado com um rootkit de sequestro de navegador. Este rootkit colocou sete drivers executáveis e dois maliciosos no sistema cliente antes de desativar o modo de hibernação da máquina alvo. Os drivers do kernel colocados no disco não eram visíveis ao usuário porque o rootkit impedia que os arquivos de malware fossem exibidos.

Investigação

A equipe da CrowdStrike reconheceu que o rootkit já foi observado em 2019 e que vem gerando variantes desde então. A CrowdStrike conseguiu simular as ações do malware e, no processo, descobriu a presença de uma variante mais disseminada do que o rootkit sob investigação. Essa variante tinha um registro de data e hora de criação de quatro anos atrás, o que indicava que o Spicy Hot Pot era baseado em uma ferramenta de cracking mais antiga que provavelmente havia sido reembalada e redistribuída por seu criador.

Dos nove arquivos descartados pelo rootkit Spicy Hot Pot, oito foram assinados por diferentes certificados de assinatura emitidos por uma só entidade. Esses certificados de assinatura tinham datas de validade de 10 anos e de apenas um minuto, mas todos haviam expirado. Apesar de estarem expirados, eles ainda puderam ser instalados com sucesso devido a exceções à aplicação de assinatura de driver.

A equipe da CrowdStrike então comparou o primeiro certificado de assinatura com um repositório público de amostras de malware e encontrou centenas de amostras exclusivas de malware relacionadas ao Spicy Hot Pot. A implicação foi que o operador do malware estava confortável em seguir usando esses certificados e era improvável que parasse tão cedo.

Embora o Spicy Hot Pot filtre as solicitações de entrada e saída do usuário para ocultar seus arquivos, a CrowdStrike Falcon® foi capaz de usar telemetria para expor as ações de infecção programadas no malware, e a capacidade Falcon Real Time Response (RTR) foi capaz de localizar os drivers do kernel e os binários descartados presentes no sistema-alvo.

Remediação

Assim como outros rootkits, os drivers de filtro de kernel do Spicy Hot Pot não podem ser desinstalados pelo usuário. Um driver malicioso impede a remoção de chaves de registro, serviços e dos próprios drivers, portanto, removê-los remotamente pode ser um desafio. Como é típico, a remoção de malware rootkit geralmente requer desligar a máquina ou inicializá-la no modo de segurança, o que não pode ser feito remotamente. No entanto, a CrowdStrike conseguiu encontrar uma maneira de impedir que o Spicy Hot Pot fosse executado na inicialização, o que possibilitou a correção remota.

O Spicy Hot Pot coloca drivers maliciosos na pasta WindowsApps. Ao renomear a pasta, os drivers de filtro ficaram visíveis porque o caminho referenciado pelos drivers maliciosos não existia mais e, portanto, os drivers não foram carregados. Neste ponto, os serviços e as chaves de registro associados ao rootkit Spicy Hot Pot puderam ser removidos.

Como se proteger contra rootkits

Os rootkits se espalham da mesma forma que qualquer malware: e-mail, unidades USB, vulnerabilidade, etc. As organizações devem realizar todas as práticas padrão de proteção de endpoint, como treinamento de conscientização de segurança, programas de gerenciamento de vulnerabilidades e controle de dispositivos para proteger seus endpoints. Essas etapas impedem que alguns malwares penetrem na infraestrutura, mas não funcionam para todos e não ajudam na correção.

A maioria das soluções de proteção de endpoint se concentra no sistema operacional local e nas aplicações executadas nele. Avanços nesta área, como machine learning, detecção e resposta de endpoint (EDR) e análise comportamental tornaram mais difícil para os ciber criminosos atingirem seus objetivos. Em resposta, os atores maliciosos mudaram sua atenção para as camadas de computação abaixo do sistema operacional - o software que executa o hardware. O malware rootkit está em ascensão.

A melhor proteção contra o malware rootkit é uma solução de proteção de endpoint que usa tecnologias avançadas como IA, telemetria e resposta em tempo real, que podem identificar rootkits difíceis de detectar e detê-los antes que sejam executados. Outra funcionalidade importante é o monitoramento contínuo e auditável da BIOS de cada endpoint para evitar ataques de rootkit de kernel. Com essas capacidades, a organização será capaz de deter ataques antes que eles tenham a chance de se ativar e até mesmo detectar ameaças latentes adormecidas nas profundezas de suas camadas de computação.