Thursday, October 13, 2005

Recent rootkit news

I hope you weren't expecting things to stand still...

This past Monday, F-Secure had an entry in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir blog about a custom version of Hacker Defender. In this case, "custom" means "private commercial", meaning that someone paid for a specific version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rootkit. And don't think for an instant that this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only one...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r rootkit authors who do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very same thing.

According to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 F-Secure blog entry, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rootkit has anti-detection mechanisms. Specifically, it detects modern rootkit detectors via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir binary signature, and if it does find one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 detectors, it can modify itself or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 detector. F-Secure says that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most recent version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir BlackLight product can detect this rootkit.

This brings up something I saw over on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Incidents.org blog. Handler Patrick Nolan posted an entry about rootkits that run even in safe mode. Yes, that's right...when you try to boot your computer in safe mode (here's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 description of Safe Mode for Windows 2000) so that certain Registry keys aren't parsed, such as autostart locations, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rootkit will still launch. Check out this description from Symantec (btw...take a look at everything that last bit of malware does...).

The Registry key you're interested in is:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

On a side note, Autoruns has been updated to v8.22, and includes new functionality. I've run it on my system, and it doesn't seem to check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SafeBoot key mentioned above. However, when running your cases and parsing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry files from an image, be sure to add this one this one to your list of keys to check. Remember, though...on an image, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 correct path would be "ControlSet00x", racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than "CurrentControlSet".

Addendum 14 Oct: I caught an interesting item on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Spire Security ViewPoint blog this morning...cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a link to a VNUNet article (ZDNet's version) that mentions three guys in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Necá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rlands who got busted with a 'botnet army of 100K nodes/zombies. The bots were evidently W32.ToxBot, which Symantec states has "0-49" infections. In all fairness, though, Symantec's definition of "number of infections" is "Measures cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of computers known to be infected". This leads me over to a post on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TaoSecurity blog about digital security, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 differences between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real, "analog" world and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 indicators of engineering failures, and those in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital world. I can't imagine that all 100K of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 zombies infected with W32.ToxBot were simply home user systems. It's entirely possible that many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m were academic and corporate systems...and in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corporate systems, someone should have realized that something was going on.

I've dealt with incidents in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past in which admin machines were infected. When I was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security admin at a financial services company, I had a script that would pull down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most recent IIS 4.0 web server logs from a system that we had (and that I'd locked down, in part by removing all but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 necessary script mappings) and parse out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r-than-ordinary entries. Over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course of a couple of days, I noticed Nimda scans from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same IP address. So, I did a lookup of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP space to see who owned it, and in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end, I got lucky. The infected system was owned by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 administrator, who was also cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 technical contact for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 domain. I talked to him via cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 phone...he stated that he didn't realize that he'd had a web server on his system, and didn't know that his system was infected with Nimda (had been for several days), but once he started receiving calls (mine wasn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first), he really had no idea what do to about it.

Okay...back to our little 'bot. Take a look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Symantec write-up for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'bot, in particular cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se items:
  • Installs as a service, and oddly enough, it actually writes a description for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 service, as well
  • Besides cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Registry keys for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 service, it adds entries under "Control\SafeBoot\Minimal" and "Control\SafeBoot\Network" so that it is initiated even if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system is booted to Safe Mode
  • It looks for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "HKLM\Software\VMware" key, and doesn't run if it finds it (Note: this same technique was used in SotM 32)

Nothing in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 write-up indicates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of rootkit capabilities, but from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 capabilities this bot does have...wow. How much harder would it have been for normal admins to detect it if it did have rootkit capabilities (ie, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 use of rdriv.sys, for example)?

CA's write up on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ToxBot family

Addendum 21 Oct: VNUNet posted an article 2 days ago, announcing that rootkit creators have gone professional, selling custom versions of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir software. While "creators" is plural, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is only one such rootkit announced in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article. This was /.'d, as well. Contrary to what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article would have you believe, this is NOT new.

No comments: